|
互換性セキュリティとは、WebLogic Server 6.x で行ったセキュリティ コンフィグレーションをこのリリースの WebLogic Server で実行するための機能です。互換性セキュリティでは、6.x のセキュリティ レルム、ユーザ、グループ、および ACL の管理、ユーザ アカウントの保護、レルム アダプタ監査プロバイダのコンフィグレーションや、必要に応じてレルム アダプタ認証プロバイダ内の ID アサーション プロバイダのコンフィグレーションを行うことができます。以下の節では、互換性セキュリティをコンフィグレーションする方法について説明します。
注意 : | 互換性セキュリティはこのリリースの WebLogic Server で非推奨になりました。今後のメジャー リリースではサポートされなくなります。WebLogic Server デプロイメントをこのリリースの WebLogic Server のセキュリティ機能にアップグレードすることを強くお勧めします。互換性セキュリティは、このアップグレードの間だけ使用してください。 |
config.xml
ファイルを含む) のバックアップ コピーを作成しておきます。config.xml
ファイル内に下記を追加して (存在しない場合)、ドメイン名、セキュリティ レルム名、および FileRealm
を実際の名前に置き換えます。
<Security Name="
mydomain"
Realm="
mysecurity"
/>
<Realm Name="mysecurity"
FileRealm=
"myrealm
"/>
<FileRealm Name="myrealm"
/>
互換性セキュリティを適切に実行しているかどうかを検証するには、新しい WebLogic Server Administration Console を開きます。互換性セキュリティが実行されている場合、[ドメイン構造] ペインの左側に [互換性セキュリティ] ノードが表示されます。
すべての互換性セキュリティ MBean は除外対象にされているので、WebLogic Scripting Tool では一部しか表示されません。たとえば、次のコマンドを入力したとします。
java weblogic.WLST
connect()
ls()
この場合、DomainMBean
の属性は表示されますが、互換性セキュリティの属性 (FileRealmMBean
など) は除外されます。しかし、次の例のように、互換性 MBean を直接指定することでアクセスできます。
java weblogic.WLST
connect()
cmo.getFileRealms()
デフォルトでは、レルム アダプタ裁決プロバイダ、レルム アダプタ認証プロバイダ、WebLogic 認可プロバイダ、レルム アダプタ認可プロバイダ、WebLogic 資格マッピング プロバイダ、および WebLogic ロール マッピング プロバイダを備えた CompatibilityRealm
がコンフィグレーションされています。
CompatibilityRealm
では、レルム アダプタ認証プロバイダに、config.xml
ファイルで定義された 6.x セキュリティ レルムからのユーザとグループが含まれます。
レルム アダプタ認証プロバイダのコンフィグレーションについては、「レルム アダプタ認証プロバイダのコンフィグレーション」を参照してください。
レルム アダプタ認証プロバイダに ID アサーション プロバイダをコンフィグレーションすることで、互換性セキュリティで weblogic.security.acl.CertAuthenticator
クラスの実装を使用できます。詳細については、「レルム アダプタ認証プロバイダ内の ID アサーション プロバイダのコンフィグレーション」を参照してください。
CompatibilityRealm
から weblogic.security.audit.AuditProvider
クラスの実装にアクセスできます。詳細については、Administration Console オンライン ヘルプの「レルム アダプタ監査プロバイダのコンフィグレーション」を参照してください。
互換性セキュリティを使用する場合、レルム アダプタ認証プロバイダはデフォルトで CompatibilityRealm
にコンフィグレーションされます。CompatibilityRealm
でレルム アダプタ認証プロバイダを使用する方法については、「CompatibilityRealm のデフォルト セキュリティ コンフィグレーション」を参照してください。
またレルム アダプタ認証プロバイダでは、このリリースの WebLogic Server で weblogic.security.acl.CertAuthenticator
クラスの実装を使用できます。レルム アダプタ認証プロバイダには、X.509 トークンに基づく ID アサーションを提供する ID アサーション プロバイダが含まれています。WebLogic Server で CertAuthenticator を使用する方法については、「レルム アダプタ認証プロバイダ内の ID アサーション プロバイダのコンフィグレーション」を参照してください。
認証プロバイダがすでにコンフィグレーションされているセキュリティ レルムにレルム アダプタ認証プロバイダを追加する場合、WebLogic Server は、レルム アダプタ認証プロバイダの JASS [制御フラグ] を [OPTIONAL] に設定して、ドメイン ディレクトリに fileRealm.properties
ファイルがあるかどうかをチェックします。fileRealm.properties
ファイルが存在しない場合、WebLogic Server はセキュリティ レルムにレルム アダプタ認証プロバイダを追加しません。
注意 : | レルム アダプタ認証プロバイダによって生成されるサブジェクトには、ユーザが所属するグループのプリンシパルは含まれません。ユーザがグループに所属しているかどうかを調べるには、weblogic.security.SubjectUtils.isUserInGroup() メソッドを使用します。レルム アダプタ認証プロバイダによって生成されるサブジェクトを使用する場合、ユーザが所属するグループの完全なセットを繰り返し処理することはできません。 |
レルム アダプタ認証プロバイダには、ID アサーション プロバイダが含まれています。ID アサーション プロバイダは、非推奨となった weblogic.security.acl.CertAuthenticator クラスの実装の下位互換性を提供します。ID アサーションは X.509 トークンに基づいて実行されます。デフォルトでは、ID アサーション プロバイダはレルム アダプタ認証プロバイダで有効になっていません。
ID アサーション プロバイダを有効にする方法については、Administration Console オンライン ヘルプの「ID アサーション プロバイダの有効化」を参照してください。
互換性セキュリティを使用する状況でレルム アダプタ監査プロバイダを用いると、weblogic.security.audit.AuditProvider インタフェースの実装を使用できます。レルム アダプタ監査プロバイダが正常に動作するには、AuditProvider
インタフェースの実装を定義しておく必要があります。AuditProvider
クラスを定義するには、Administration Console の [ドメイン : 互換性セキュリティ : 全般] ページの [監査プロバイダ クラス] フィールドを使用します。
詳細については、Administration Console オンライン ヘルプの「レルム アダプタ監査プロバイダのコンフィグレーション」を参照してください。
パスワード推定は、セキュリティ攻撃の一般的なタイプです。このタイプの攻撃では、ハッカーはさまざまなユーザ名とパスワードの組み合わせを使用してコンピュータにログインしようとします。WebLogic Server には、このタイプの攻撃からユーザ アカウントを保護するためのロックアウト コンフィグレーション オプションが定義されています。デフォルトでは、これらのオプションは最高の保護レベルに設定されています。システム管理者は、すべてのオプションを無効にしたり、ユーザ アカウントがロックされるまでのログイン試行回数を増やしたり、ユーザ アカウントがロックされるまでの無効なログイン試行期間を延ばしたり、ユーザ アカウントのロック時間を変更したりできます。これらのコンフィグレーション オプションを変更すると、セキュリティ レベルが低下して攻撃を受けやすくなることに注意してください。
ユーザ アカウントを保護するためのコンフィグレーション オプション セットは 2 種類あります。一方はドメインで設定し、もう一方はセキュリティ レルムで設定します。一方のコンフィグレーション オプション セット (たとえばセキュリティ レルムのオプション) を設定している場合に、そのいずれかの値が超過しても、ユーザ アカウントがロックされないことがあります。これは、ドメインのユーザ アカウント ロックアウト オプションがセキュリティ レルムのユーザ アカウント オプションをオーバーライドすることが原因です。この状況を回避するには、セキュリティ レルムのユーザ アカウント ロックアウト オプションを無効にします。
警告 : | セキュリティ レルムのユーザのロックアウト コンフィグレーション オプションを無効にした場合は、ドメインでユーザのロックアウト コンフィグレーション オプションを設定する必要があります。このようにしないと、ユーザ アカウントが保護されません。 |
詳細については、Administration Console オンライン ヘルプの「ユーザ アカウントの保護」と「ユーザ アカウントのロック解除」を参照してください。
互換性セキュリティを使用する場合は、ユーザおよびグループを定義するセキュリティ レルムと WebLogic Server ドメインのリソースを保護する ACL のある config.xml
ファイルがすでに存在するものと想定されます。セキュリティ レルムをコンフィグレーションしたり、ACL を定義したりといった WebLogic Server 6.x のセキュリティ管理タスクは必須ではないので、そうした管理タスクについてこの節では説明しません。ただし、既存の 6.x セキュリティ レルムが壊れて、それを復元するしか選択肢がない場合は、WebLogic Administration Console オンライン ヘルプの互換性セキュリティのセクションで以下の 6.x セキュリティ管理タスクの説明を参照してください。
警告 : | 互換性セキュリティは下位互換性のみを提供するものです。長期的なセキュリティ ソリューションとは考えないでください。 |