WebLogic Server のセキュリティ
|
 |
 |
|
以下の節では、WebLogic Server で提供されているセキュリティ プロバイダをコンフィグレーションする方法について説明します。
WebLogic Server には、多くの認証プロバイダと ID アサーション プロバイダが組み込まれているので、これらについては別の章で詳しく説明します。認証プロバイダと ID アサーション プロバイダのコンフィグレーションについては、「認証プロバイダのコンフィグレーション」を参照してください。
デフォルトでは、ほとんどの WebLogic セキュリティ プロバイダは通常そのままの状態で実行できるようにコンフィグレーションされています。ただし、以下のような状況では、コンフィグレーション情報を指定する必要があります。
セキュリティ レルム内では WebLogic が提供するセキュリティ プロバイダか、またはカスタム セキュリティ プロバイダを使用できます。カスタム セキュリティ プロバイダのコンフィグレーションについては、Administration Console オンライン ヘルプの「カスタム セキュリティ プロバイダのコンフィグレーション」を参照してください。
以下の節では、認証セキュリティ プロバイダを除く各セキュリティ プロバイダの概念とコンフィグレーション オプションについて説明します。認証プロバイダについては、「認証プロバイダのコンフィグレーション」を参照してください。
認可とは、ユーザとリソースとのやり取りを限定して、整合性、機密性、および可用性を確実にするプロセスのことです。すなわち、認可では、ユーザの身元などの情報に基づいてリソースへのアクセスを制御します。認可プロバイダをコンフィグレーションする必要があるのは、新しいセキュリティ レルムを作成するときだけです。
デフォルトでは、新しく作成されるドメイン内のセキュリティ レルムには XACML 認可プロバイダが含まれています。XACML 認可プロバイダは、XACML (eXtensible Access Control Markup Language) を使用します。WebLogic Server には、独自のポリシー言語を使用する WebLogic 認可プロバイダも用意されています。このプロバイダは「DefaultAuthorizer (デフォルト認可プロバイダ)」と呼ばれますが、デフォルトの認可プロバイダではなくなりました。
Administration Console オンライン ヘルプの「認可プロバイダのコンフィグレーション」を参照してください。
セキュリティ レルムに複数の認可プロバイダがコンフィグレーションされる場合、特定のリソースに「アクセスできるか」という質問に対して、それぞれが異なる回答を返す可能性があります。この回答は、PERMIT、DENY、ABSTAIN のいずれかです。複数の認可プロバイダの回答が一致しない場合にどうするかを決定するのが、裁決プロバイダの主な役割です。裁決プロバイダは、各認可プロバイダの回答に重みを割り当てることによって認可の衝突を解決し、最終決定を返します。
各セキュリティ レルムでは 1 つの採決プロバイダが必要であり、アクティブな採決プロバイダは 1 つだけでなければなりません。デフォルトによって、WebLogic セキュリティ レルムには WebLogic 裁決プロバイダがコンフィグレーションされます。セキュリティ レルムでは、WebLogic 裁決プロバイダまたはカスタム裁決プロバイダのいずれかを使用できます。Administration Console では、WebLogic 裁決プロバイダを「デフォルト裁決プロバイダ」と呼びます。
デフォルトによって、WebLogic 採決プロバイダのコンフィグレーション オプションの大部分が定義されています。しかし、[完全一致の許可が必要] オプションを設定することによって、WebLogic 裁決プロバイダがコンフィグレーションされた認可プロバイダからの PERMIT および ABSTAIN 票をどのように処理するかを指定できます。
PERMIT 票を投じなければ、裁決プロバイダは true を投じません。ABSTAIN 票は PERMIT 票としてカウントされます。
ロール マッピング プロバイダは、特定のリソースのサブジェクトに付与されるロール セットを計算します。ロール マッピング プロバイダは、このロール情報を認可プロバイダに提供します。これによって、認可プロバイダは WebLogic リソースに対して「アクセスできるか」という質問に答えることができます。デフォルトでは、WebLogic セキュリティ レルムには XACML ロール マッピング プロバイダがコンフィグレーションされます。XACML ロール マッピング プロバイダは、XACML (eXtensible Access Control Markup Language) を使用します。WebLogic Server には、独自のポリシー言語を使用する WebLogic ロール マッピング プロバイダも用意されています。このプロバイダは「DefaultRoleMapper (デフォルト ロール マッピング プロバイダ)」と呼ばれますが、新しく作成されるセキュリティ レルムではデフォルトのロール マッピング プロバイダではなくなりました。セキュリティ レルムでカスタム ロール マッピング プロバイダを使用することもできます。
デフォルトによって、XACML ロール マッピング プロバイダのコンフィグレーション オプションの大部分が定義されています。しかし、[ロール デプロイメントを有効化] オプションを設定して、このロール マッピング プロバイダが Web アプリケーションおよび EJB 用のデプロイメント記述子の情報をセキュリティ レルムにインポートするかどうかを指定できます。デフォルトでは、この設定は有効になっています。
[ロール デプロイメントを有効化] をサポートするには、ロール マッピング プロバイダは DeployableRoleProvider SSPI を実装する必要があります。ロールは、XACML ロール マッピング プロバイダによって組み込み LDAP サーバに格納されます。
監査とは、リクエストの操作とそれらのリクエストの結果に関する情報を、否認防止を目的として収集、格納、および配布するプロセスのことです。言い換えれば、監査プロバイダはコンピュータのアクティビティの電子的な記録を生成します。
監査プロバイダのコンフィグレーションは任意です。デフォルト セキュリティ レルム (myrealm) には監査プロバイダはコンフィグレーションされていません。WebLogic Server には、WebLogic 監査プロバイダ (Administration Console では DefaultAuditor) というプロバイダが用意されています。また、カスタム監査プロバイダを開発することもできます。詳細については、『WebLogic セキュリティ プロバイダの開発』の「監査プロバイダ」を参照してください。
WebLogic 監査プロバイダは、表 4-1 で説明するイベントのログを記録できます。また、コンフィグレーション監査 (「コンフィグレーション監査」を参照) を有効にした場合、WebLogic 監査プロバイダは表 4-5 で説明するイベントのログを記録できます。
デフォルトによって、WebLogic 監査プロバイダのコンフィグレーション オプションの大部分が定義されています。しかし、WebLogic 監査プロバイダをコンフィグレーションする場合、以下のものを定義する必要があります。これらは、Administration Console の監査プロバイダの [コンフィグレーション|プロバイダ固有] ページ、WebLogic Scripting Tool、または Java Management Extensions (JMX) API を使用してコンフィグレーションできます。
DefaultAuditRecorder.log ファイルを作成するまでの分数を指定します。指定された時間が経過すると、監査ファイルが閉じられて新しい監査ファイルが作成されます。DefaultAuditRecorder.YYYYMMDDHHMM.log (例 : DefaultAuditRecorder.200405130110.log) という名前のバックアップ ファイルが同じディレクトリ内に作成されます。WebLogic 監査プロバイダによって記録されるすべての監査情報は、デフォルトでは WL_HOME\yourdomain\yourserver\logs\DefaultAuditRecorder.log に保存されます。監査プロバイダはセキュリティ レルム単位でコンフィグレーションされますが、各サーバは監査データをサーバ ディレクトリにある各自のログ ファイルに書き込みます。次の Java 起動オプションを使用すれば、コマンドラインで DefaultAuditRecorder.log の新しいディレクトリの場所を指定することができます。
-Dweblogic.security.audit.auditLogDir=c:\foo
新しいファイルの場所は、c:\foo\yourserver\logs\DefaultAuditRecorder.log になります。
詳細については、『WebLogic Server コマンド リファレンス』の「セキュリティ」を参照してください。
警告 : 監査プロバイダを使用すると、わずか数個のイベントのログが記録される場合でも WebLogic Server のパフォーマンスに影響が及びます。
詳細については、Administration Console オンライン ヘルプの「監査プロバイダのコンフィグレーション」を参照してください。
監査イベントには、さまざまな情報またはオブジェクトを保持できる ContextHandler が組み込まれています。WebLogic 監査プロバイダの Active ContextHandler Entries 属性は、ContextHandler 内のどの ContextElement エントリが監査プロバイダによって記録されるかを決定します。デフォルトでは、どの ContextElements も監査されません。ほとんどの場合、ContextHandler 内のオブジェクトは toString メソッドによって記録されます。
表 4-3 に、使用できる ContextHandler エントリを示します。
管理サーバをコンフィグレーションして、ユーザがコンフィグレーションを変更したときやドメイン内のリソースの管理操作を呼び出したときに、管理サーバがログ メッセージの送信と監査イベントの生成を行うようにすることができます。たとえば、ユーザがドメイン内の管理対象サーバの SSL を無効にすると、管理サーバからログ メッセージが送信されます。WebLogic 監査プロバイダを有効にしている場合は、さらにセキュリティ ログに監査イベントが書き込まれます。こうしたログ メッセージと監査イベントにより、ドメインのコンフィグレーションの変更を監査、追跡できます。この機能を、コンフィグレーション監査といいます。
コンフィグレーション監査メッセージは、管理サーバのローカル ログ ファイルに書き込まれます。コンフィグレーション監査メッセージの重大度はすべて Info になるため、デフォルトではドメイン全体のメッセージ ログには書き込まれません。
コンフィグレーション監査情報は、認可イベントに格納されます。そのため、認可イベントを消費してコンフィグレーション監査情報にアクセスする方法もあります。ただし、認可イベント内の情報はコンフィグレーションの変更の実行が許可されたかどうかを示すものであり、コンフィグレーションの変更が実際に成功したかどうかは示されません (たとえば、変更が無効だったため失敗してしまっている場合もあります)。
weblogic.Server コマンドに以下の Java オプションのいずれかを含めます。-Dweblogic.domain.ConfigurationAuditType="audit" -Dweblogic.domain.ConfigurationAuditType="log"-Dweblogic.domain.ConfigurationAuditType="logaudit"「weblogic.Server コマンドライン リファレンス」を参照してください。
DomainMBean の ConfigurationAuditType 属性の値を変更します。『WebLogic Scripting Tool ガイド』を参照してください。コンフィグレーション監査メッセージの重大度は次のとおりです。
コンフィグレーション監査メッセージは、159900 ~ 159910 の範囲のメッセージ ID によって識別されます。
コンフィグレーション監査メッセージでは、MBean オブジェクト名を使用してリソースを特定します。WebLogic Server MBean のオブジェクト名は、階層データ モデル内での MBean の場所を反映しています。この場所を反映させるために、オブジェクト名には親 MBean からの名前と値のペアが含まれています。たとえば、サーバの LogMBean のオブジェクト名は、mydomain:Name=myserverlog,Type=Log,Server=myserver です。『JMX によるカスタム管理ユーティリティの開発』の「WebLogic Server MBean のデータ モデル」を参照してください。
表 4-5 に、これらのメッセージをまとめます。
注意 : コンフィグレーション監査が有効になっているかどうかに関係なく、認可されたユーザがリソースを追加、変更、または削除するたびに、管理サブシステムからも重大度 Info のメッセージが ID 140009 で生成されます。以下に例を示します。
<Sep 15, 2005 11:54:47 AM EDT> <Info> <Management> <140009> <Configuration changes for domain saved to the repository.>
このメッセージでは、ドメインのコンフィグレーションが変更されたことは分かりますが、コンフィグレーション監査メッセージのような詳細情報は提供されません。また、このメッセージは、リソースのオペレーションを呼び出したときには生成されません。
表 4-6 に、コンフィグレーション監査メッセージのメッセージ属性をまとめます。これらの属性は、すべてのコンフィグレーション監査メッセージで共通です。
監査イベントは、監査プロバイダによって読み込まれ、特定の方法で処理されるオブジェクトです。監査プロバイダは、リクエストの操作とそれらのリクエストの結果に関する情報を、否認防止を目的として収集、格納、および配布する場合にセキュリティ レルムによって使用されるプラグイン可能なコンポーネントです。
ドメインで監査イベントの送信を有効にすると、イベントが送信されます (表 4-7 を参照。ドメインに対してコンフィグレーションされているすべての監査プロバイダは、これらのイベントを処理できます。
イベントの重大度はすべて SUCCESS になり、アクションを開始したセキュリティ プリンシパル、パーミッションが付与されていたかどうか、および要求されたアクションのオブジェクト (MBean または MBean 属性) が示されます。
|
|
|
|
|
|
|
|
|
|
|
デフォルトの WebLogic Server 監査プロバイダを有効にすると、すべての監査イベントがログ メッセージとしてその独自のログ ファイルに書き込まれます。
作成または購入されたその他の監査プロバイダは、これらのイベントをフィルタ処理して、それらを LDAP サーバ、データベース、シンプル ファイルなどの出力リポジトリに書き出すことができます。さらに、他のタイプのセキュリティ プロバイダは、監査プロバイダからの監査サービスを要求できます。『WebLogic セキュリティ プロバイダの開発』の「監査プロバイダ」を参照してください。
資格マッピングとは、リモート システム (既存のシステムやアプリケーションなど) の認証および認可メカニズムによって適切な資格セットを取得して、対象の WebLogic リソースにアクセスしようとするユーザを認証するプロセスです。WebLogic 資格マッピング プロバイダは、WebLogic Server サブジェクトを、リソースへのアクセス時に使用されるユーザ名とパスワードのペアにマップします。
デフォルトによって、WebLogic 資格マッピング プロバイダのコンフィグレーション オプションの大部分が定義されています。ただし、[資格マッピング デプロイメントを有効化] オプションを使用して、この資格マッピング プロバイダがリソース アダプタのデプロイメント記述子 (weblogic-ra.xml ファイル) からセキュリティ レルムに資格マップをインポートするかどうかを指定できます。デフォルトでは、この設定は有効になっています。
[資格マッピング デプロイメントを有効化] をサポートするには、資格マッピング プロバイダは DeployableCredentialProvider SSPI を実装する必要があります。資格マッピング情報は組み込み LDAP サーバに格納されます。
WebLogic Server の PKI (公開鍵インフラストラクチャ) 資格マッピング プロバイダは、WebLogic Server のサブジェクト (開始者) と対象リソース (および必要であれば資格アクション) を、対象リソースへのアクセス時にアプリケーションで使用できるキー ペアまたは公開証明書にマップします。PKI 資格マッピング プロバイダは、サブジェクトとリソース名を使用して対応する資格をキーストアから検索します。
PKI 資格マッピング プロバイダを使用するには、次の手順に従います。
myrealm) にはコンフィグレーションされていません。「PKI 資格マッピング属性」と Administration Console オンライン ヘルプの「資格マッピング プロバイダのコンフィグレーション」を参照してください。PKI 資格マッピング プロバイダをコンフィグレーションするには、以下の属性の値を設定します。
さらに、以下の 2 つの属性を任意で指定すると、一致するリソースまたはサブジェクトが存在しない場合、PKI 資格マッピング プロバイダが資格マッピングをどのように検索するかを指定できます。
詳細については、Administration Console オンライン ヘルプの「資格マッピング プロバイダのコンフィグレーション」を参照してください。
必要な場合、資格マッピングに資格アクションを割り当てることができます。資格アクションは、さまざまな環境で使用される資格マッピングを区別するための任意の文字列です。たとえば、リモート リソースからのメッセージを復号化するための資格マッピングと、同じリソースに送られるメッセージに署名するための資格マッピングを使用するとします。これらの 2 つの資格マッピングを区別するには、サブジェクト開始者と対象リソースでは不十分です。この場合、資格アクションを使用して、一方の資格マッピングに decrypt、他方に sign というラベルを付けます。PKI 資格マッピング プロバイダを呼び出すアプリケーションは、目的の資格アクション値を ContextHandler に指定し、プロバイダに渡すことができます。
SAML 資格マッピング プロバイダは、SAML セキュリティ アサーションのプロデューサとして機能します。これにより、WebLogic Server はシングル サインオン用に SAML を使用するためのソース サイトとして機能できます。SAML 資格マッピング プロバイダは、対象サイトまたはリソースのコンフィグレーションに基づく認証されたサブジェクトに対する SAML 1.1 アサーションを生成します。SAML 資格マッピング プロバイダは、SAML サイト間転送サービスとしてコンフィグレーションできます。
WebLogic Server のこのリリースには、2 種類の SAML 資格マッピング プロバイダが用意されています。SAML 資格マッピング プロバイダ バージョン 2 はコンフィグレーション オプションが大幅に拡張されており、新しいデプロイメントにはこのバージョンの使用をお勧めします。SAML 資格マッピング プロバイダ バージョン 1 は WebLogic Server 9.1 で非推奨になりました。セキュリティ レルムに複数の SAML 資格マッピング プロバイダを含めることはできません。また、セキュリティ レルムに SAML 資格マッピング プロバイダと SAML ID アサーション プロバイダの両方が含まれる場合は、両方のバージョンが同じでなければなりません。バージョン 2 の SAML プロバイダと同じセキュリティ レルム内でバージョン 1 の SAML プロバイダを使用しないでください。SAML 資格マッピング プロバイダ バージョン 1 のコンフィグレーションについては、WebLogic Server 9.0 マニュアルの「SAML 資格マッピング プロバイダのコンフィグレーション」を参照してください。
WebLogic Server の SAML のサポートについては、『WebLogic Security について』の「SAML (Security Assertion Markup Language)」と「SAML ソース サイトとして動作する WebLogic Server」を参照してください。SAML 資格マッピング プロバイダを SAML シングル サインオン コンフィグレーションで使用する方法については、「Web ブラウザと HTTP クライアントによるシングル サインオンのコンフィグレーション」を参照してください。
WebLogic Server を SAML セキュリティ アサーションのソースとして機能するようにコンフィグレーションする場合には、SAML アサーションが受け付けられることを要求できるパーティを登録する必要があります。各 SAML リライイング パーティに対して、使用する SAML プロファイル、そのリライイング パーティの詳細、およびそのリライイング パーティに対するアサーションで予想される属性を指定できます。詳細については、以下を参照してください。
WebLogic Server は、Web サービス リクエスト、双方向 SSL、または他の保護された対話の一部としてデジタル証明書を受け取る場合があります。これらの証明書を検証するために、WebLogic Server には証明書検索および検証 (CLV) フレームワークが組み込まれています。このフレームワークの役割は、X.509 証明書チェーンを検索および検証することです。CLV フレームワークの主要な要素は、証明書パス ビルダと証明書パス検証プロバイダです。CLV フレームワークでは、証明書チェーンへの参照が与えられている場合、そのチェーンを見つけて検証する 1 つ (および唯一) のアクティブな証明書パス ビルダと、証明書チェーンを検証するゼロまたは 1 つ以上の証明書パス検証プロバイダが必要です。
WebLogic Server が証明書を受け取ると、CLV フレームワークは、証明書パス ビルダとしてコンフィグレーションされているセキュリティ プロバイダを使用して証明書チェーンを検索および検証します。証明書チェーンを検索および検証したら、コンフィグレーションされている各証明書パス検証プロバイダをコンフィグレーションされた順に呼び出して、証明書チェーンをさらに検証します。証明書パス ビルダとすべての証明書パス検証プロバイダが正常に検証を完了した場合にのみ、証明書チェーンが有効になります。
チェーンが有効になるのは、以下のすべての条件が true の場合です。
WebLogic Server には、2 種類の CLV セキュリティ プロバイダが用意されています。証明書パス ビルダと証明書パス検証プロバイダの両方として機能する WebLogic 証明書パス プロバイダ (「証明書パス プロバイダ」を参照) と、証明書レジストリ (「証明書レジストリ」を参照) です。WebLogic 証明書パス プロバイダは、証明書チェーン全体に対して信頼性のある CA ベースの検証を行う場合に使用します。証明書レジストリは、証明書が登録されているかどうかだけを検証する場合に使用します。どちらの検証も行う場合、両方を使用します (証明書レジストリを現在のビルダとして指定する)。
証明書の検索と検証の詳細については、「ID と信頼のコンフィグレーション」を参照してください。
WebLogic Server のデフォルト セキュリティ レルムには、WebLogic 証明書パス プロバイダがコンフィグレーションされます。証明書パス プロバイダには、証明書パス ビルダと証明書パス検証プロバイダの 2 つの機能があります。証明書パス プロバイダは、目的の証明書または証明書チェーンを受け取ります。必要な場合、サーバの信頼性のある CA のリストを使用して証明書チェーンを完成させます。チェーンの作成後、証明書パス プロバイダはチェーンを検証します。つまり、チェーン内の署名、チェーンの期限切れ、チェーンの基本制約、およびチェーンがサーバの信頼性のある CA の 1 つによって発行された証明書で終了していることをチェックします。
WebLogic 証明書パス プロバイダのコンフィグレーションは必要ありません。ただし、[現在のビルダ] 属性を使用して、証明書パス プロバイダをアクティブな証明書チェーン ビルダとして使用するかどうかを指定できます。
証明書レジストリは、WebLogic Server へのアクセスが許可されている信頼性のある証明書のリストを明示的に登録できるセキュリティ プロバイダです。証明書レジストリをセキュリティ レルムの一部としてコンフィグレーションした場合、その証明書レジストリに登録されている証明書だけが有効であると見なされます。証明書レジストリは、失効チェックを実行するための、費用のかからないメカニズムを提供します。証明書レジストリから証明書を削除することによって、証明書を即座に無効にできます。このレジストリは、組み込み LDAP サーバに格納されます。
証明書レジストリは、証明書パス ビルダと証明書パス検証プロバイダの両方です。どちらの場合でも、証明書レジストリは、チェーンの目的の証明書がレジストリに格納されていることを検証しますが、それ以外の検証は行いません。証明書レジストリをセキュリティ レルムの証明書パス ビルダとして使用し、WebLogic 証明書パス プロバイダまたは別のセキュリティ プロバイダを使用してチェーン全体の検証を行う場合、各サーバの信頼性のあるキーストアに中間およびルート CA を登録し、証明書レジストリに目的の証明書を登録する必要があります。
WebLogic Server のデフォルト セキュリティ レルムには、証明書レジストリは含まれていません。証明書レジストリをコンフィグレーションしたら、WebLogic Administration Console を使用してレジストリの証明書を追加、削除、および参照できます。Java keytool ユーティリティを使用すると、証明書をキーストアからファイルにエクスポートできます。Administration Console を使用すると、PEM または DER ファイルの証明書をファイル システムから証明書レジストリにインポートできます。また、Administration Console では、証明書の内容 (サブジェクト DN、発行者 DN、シリアル番号、有効日、フィンガープリントなど) を参照できます。
詳細については、Administration Console オンライン ヘルプの「証明書パス プロバイダのコンフィグレーション」を参照してください。
注意 : WebLogic キーストア プロバイダは非推奨になりました。下位互換性のためにのみサポートされています。代わりに Java キーストア (JKS) を使用してください。WebLogic キーストア プロバイダによってサポートされていたすべての機能は、Java キーストアを使用することで利用できます。
WebLogic キーストア プロバイダのコンフィグレーションの詳細については、Administration Console オンライン ヘルプの「キーストアのコンフィグレーション」を参照してください。
|
|
|