スタンドアロン クライアント プログラマーズ ガイド

セキュリティ対応クライアントの開発

JAAS (Java Authentication and Authorization Service) およびセキュア ソケット レイヤ (SSL) を使用する Weblogic クライアントを開発できます。以下の節では、セキュリティ対応クライアントの開発について説明します。

• JAAS を使用するクライアントの開発
• SSL を使用するクライアントの開発
• シン クライアントで JAAS および SSL を使用する際の制約
• セキュリティのコード サンプル

 

---

JAAS を使用するクライアントの開発

JAAS では、ユーザ ID に基づくアクセス制御機能が提供されます。WebLogic Server クライアントの認証方法として推奨される手法です。一般には、ファイルの読み取りや書き込みの認証方法として使用します。クライアントの証明書認証 (双方向 SSL 認証ともいう) が必要な場合は JNDI 認証を使用します。JAAS 認証を実装する方法については、「Using JAAS Authentication in Java Clients」を参照してください。

 

---

SSL を使用するクライアントの開発

BEA WebLogic Server では、WebLogic Server クライアント、サーバ、Java クライアント、Web ブラウザ、および他のサーバの間で転送されるデータの暗号化用にセキュア ソケット レイヤ (SSL) がサポートされています。

すべての SSL クライアントに、信頼を指定する必要があります。信頼とは、どの信頼性のある認証局がクライアントから信頼されるのかを指定する CA 証明書の集合です。SSL 接続を確立するためには、RMI クライアントでサーバのデジタル証明書を発行した認証局を信頼する必要があります。サーバの信頼性のある CA 証明書の場所は、RMI クライアントを起動する際に指定します。

デフォルトでは、JDK (...\jre\lib\security\cacerts) から利用できるすべての信頼性のある認証局が RMI クライアントから信頼されます。ただし、サーバの信頼性のある CA 証明書が、以下のいずれかのタイプの信頼キーストアに格納されている場合は、そのキーストアを使用するために特定のコマンドライン引数を指定する必要があります。

• デモ信頼 - デモ用信頼キーストア (DemoTrust.jks) の信頼性のある CA 証明書は、WL_HOME\server\lib directory ディレクトリに格納されます。JDK cacerts キーストアの信頼性のある CA も信頼されます。デモ信頼を使用するには、次のコマンドライン引数を指定します。

-Dweblogic.security.TrustKeyStore=DemoTrust

必要に応じて、次のコマンドライン引数を使用すると JDK cacerts 信頼キーストアのパスワードを指定できます。

-Dweblogic.security.JavaStandardTrustKeystorePassPhrase=password

password は、Java 標準信頼キーストアのパスワードです。このパスワードは、キーストアを作成するときに定義します。

• カスタム信頼 - 独自に作成した信頼キーストア。カスタム信頼を使用するには、次のコマンドライン引数を指定します。

信頼キーストアへの完全修飾パスを指定します。

weblogic.security.CustomTrustKeyStoreFileName=filename

必要に応じて、キーストアのタイプを指定します。通常、指定する値は jks です。

weblogic.security.TrustKeystoreType=CustomTrust

必要に応じて、キーストアの作成時に定義されたパスワードを指定します。

weblogic.security.CustomTrustKeystorePassPhrase=password

サーバサイド SSL の実装方法の詳細については、「SSL を使用した RMI over IIOP のコンフィグレーション」を参照してください。

 

---

シン クライアントで JAAS および SSL を使用する際の制約

WebLogic シン クライアント アプリケーションでの JAAS 認証は以下のクラスでのみサポートされます。

• UsernamePasswordLoginModule
• Security.runAs

WebLogic シン クライアントでは、双方向 SSL のみがサポートされます。双方向 SSL には、SECURITY_CREDENTIALS プロパティに指定されている SSLContext が必要です。例として、次のクライアント コードを参照してください。

.
.
.
// KeyManager の KeyManagerFactory を取得する 
System.out.println("Retrieving KeyManagerFactory & initializing");
    KeyManagerFactory kmf =     KeyManagerFactory.getInstance("SunX509","SunJSSE");
    kmf.init(ks,keyStorePassword);

// SSLContext を取得して初期化する
System.out.println("Initializing the SSLContext");
    SSLContext sslCtx = SSLContext.getInstance("SSL");
    sslCtx.init(kmf.getKeyManagers(),null,null);

// SSLContext を初期コンテキスト ファクトリに渡し、InitialContext
// を取得する
System.out.println("Getting initial context");
    Hashtable props = new Hashtable();      props.put(Context.INITIAL_CONTEXT_FACTORY,
        "weblogic.jndi.WLInitialContextFactory");
    props.put(Context.PROVIDER_URL,
        "corbaloc:iiops:" +
         host + ":" + port +
        "/NameService");
    props.put(Context.SECURITY_PRINCIPAL,"weblogic");
    props.put(Context.SECURITY_CREDENTIALS, sslCtx);
    Context ctx = new InitialContext(props);
.
.
.

 

---

セキュリティのコード サンプル

WebLogic Server 製品には、セキュリティのサンプルが用意されています。これらのサンプルは、SAMPLES_HOME\server\examples\src\examples\security ディレクトリにあります。各サンプルの説明と、サンプルをビルド、コンフィグレーション、実行する方法については、package-summary.html ファイルを参照してください。これらのコード サンプルは、変更して再利用できます。