> WebLogic Server のセキュリティ > 互換性セキュリティの使い方

WebLogic Server のセキュリティ

     前  次    新しいウィンドウで目次を開く     
ここから内容の開始

互換性セキュリティの使い方

互換性セキュリティとは、WebLogic Server 6.x で行ったセキュリティ コンフィグレーションをこのリリースの WebLogic Server で実行するための機能です。互換性セキュリティでは、6.x のセキュリティ レルム、ユーザ、グループ、および ACL の管理、ユーザ アカウントの保護、レルム アダプタ監査プロバイダのコンフィグレーションや、必要に応じてレルム アダプタ認証プロバイダ内の ID アサーション プロバイダのコンフィグレーションを行うことができます。以下の節では、互換性セキュリティをコンフィグレーションする方法について説明します。

注意 : 互換性セキュリティはこのリリースの WebLogic Server で非推奨になりました。今後のメジャー リリースではサポートされなくなります。WebLogic Server デプロイメントをこのリリースの WebLogic Server のセキュリティ機能にアップグレードすることを強くお勧めします。互換性セキュリティは、このアップグレードの間だけ使用してください。

 

互換性セキュリティの実行 : 主な手順

互換性セキュリティを設定するには、次の手順に従います。

  1. 互換性セキュリティを使用する前に、バージョン 6.x の WebLogic ドメイン (config.xml ファイルを含む) のバックアップ コピーを作成しておきます。
  2. バージョン 6.x の config.xml ファイル内に下記を追加して (存在しない場合)、ドメイン名、セキュリティ レルム名、および FileRealm を実際の名前に置き換えます。

    3. <Security Name="mydomain" Realm="mysecurity"/>
    <Realm Name=    "mysecurity" FileRealm="myrealm"/>
    <FileRealm Name="    myrealm"/>

  3. WebLogic Server の最新バージョンを新しいディレクトリにインストールします。既存の 6.x インストール ディレクトリには上書きしないようにします。詳細については、『インストール ガイド』を参照してください。
  4. 新しい WebLogic Server を指すように 6.x サーバの起動スクリプトを修正します。具体的には、次のとおり修正します。
    • クラスパスが新しい WebLogic Server の weblogic.jar ファイルを指すようにします。
    • JAVA_HOME 変数が新しい WebLogic Server を指すようにします。
  5. 6.x サーバの起動スクリプトを使用して WebLogic Server の新しいバージョンを起動します。

互換性セキュリティを適切に実行しているかどうかを検証するには、新しい WebLogic Server Administration Console を開きます。互換性セキュリティが実行されている場合、[ドメイン構造] ペインの左側に [互換性セキュリティ] ノードが表示されます。

 

互換性セキュリティ MBean の表示制限

すべての互換性セキュリティ MBean は除外対象にされているので、WebLogic Scripting Tool では一部しか表示されません。たとえば、次のコマンドを入力したとします。 

java weblogic.WLST
connect()
ls()

この場合、DomainMBean の属性は表示されますが、互換性セキュリティの属性 (FileRealmMBean など) は除外されます。しかし、次の例のように、互換性 MBean を直接指定することでアクセスできます。 

java weblogic.WLST
connect()
cmo.getFileRealms()

 

CompatibilityRealm のデフォルト セキュリティ コンフィグレーション

デフォルトでは、レルム アダプタ裁決プロバイダ、レルム アダプタ認証プロバイダ、WebLogic 認可プロバイダ、レルム アダプタ認可プロバイダ、WebLogic 資格マッピング プロバイダ、および WebLogic ロール マッピング プロバイダを備えた CompatibilityRealm がコンフィグレーションされています。

 

レルム アダプタ認証プロバイダのコンフィグレーション

互換性セキュリティを使用する場合、レルム アダプタ認証プロバイダはデフォルトで CompatibilityRealm にコンフィグレーションされます。CompatibilityRealm でレルム アダプタ認証プロバイダを使用する方法については、「CompatibilityRealm のデフォルト セキュリティ コンフィグレーション」を参照してください。

またレルム アダプタ認証プロバイダでは、このリリースの WebLogic Server で weblogic.security.acl.CertAuthenticator クラスの実装を使用できます。レルム アダプタ認証プロバイダには、X.509 トークンに基づく ID アサーションを提供する ID アサーション プロバイダが含まれています。WebLogic Server で CertAuthenticator を使用する方法については、「レルム アダプタ認証プロバイダ内の ID アサーション プロバイダのコンフィグレーション」を参照してください。

認証プロバイダがすでにコンフィグレーションされているセキュリティ レルムにレルム アダプタ認証プロバイダを追加する場合、WebLogic Server は、レルム アダプタ認証プロバイダの JASS [制御フラグ] を [OPTIONAL] に設定して、ドメイン ディレクトリに fileRealm.properties ファイルがあるかどうかをチェックします。fileRealm.properties ファイルが存在しない場合、WebLogic Server はセキュリティ レルムにレルム アダプタ認証プロバイダを追加しません。

注意 : レルム アダプタ認証プロバイダによって生成されるサブジェクトには、ユーザが所属するグループのプリンシパルは含まれません。ユーザがグループに所属しているかどうかを調べるには、weblogic.security.SubjectUtils.isUserInGroup() メソッドを使用します。レルム アダプタ認証プロバイダによって生成されるサブジェクトを使用する場合、ユーザが所属するグループの完全なセットを繰り返し処理することはできません。

 

レルム アダプタ認証プロバイダ内の ID アサーション プロバイダのコンフィグレーション

レルム アダプタ認証プロバイダには、ID アサーション プロバイダが含まれています。ID アサーション プロバイダは、非推奨となった weblogic.security.acl.CertAuthenticator クラスの実装の下位互換性を提供します。ID アサーションは X.509 トークンに基づいて実行されます。デフォルトでは、ID アサーション プロバイダはレルム アダプタ認証プロバイダで有効になっていません。

ID アサーション プロバイダを有効にする方法については、Administration Console オンライン ヘルプの「ID アサーション プロバイダの有効化」を参照してください。

 

レルム アダプタ監査プロバイダのコンフィグレーション

互換性セキュリティを使用する状況でレルム アダプタ監査プロバイダを用いると、weblogic.security.audit.AuditProvider インタフェースの実装を使用できます。レルム アダプタ監査プロバイダが正常に動作するには、AuditProvider インタフェースの実装を定義しておく必要があります。AuditProvider クラスを定義するには、Administration Console の [ドメイン : 互換性セキュリティ : 全般] ページの [監査プロバイダ クラス] フィールドを使用します。

詳細については、Administration Console オンライン ヘルプの「レルム アダプタ監査プロバイダのコンフィグレーション」を参照してください。

 

互換性セキュリティでのユーザ アカウントの保護

パスワード推定は、セキュリティ攻撃の一般的なタイプです。このタイプの攻撃では、ハッカーはさまざまなユーザ名とパスワードの組み合わせを使用してコンピュータにログインしようとします。WebLogic Server には、このタイプの攻撃からユーザ アカウントを保護するためのロックアウト コンフィグレーション オプションが定義されています。デフォルトでは、これらのオプションは最高の保護レベルに設定されています。システム管理者は、すべてのオプションを無効にしたり、ユーザ アカウントがロックされるまでのログイン試行回数を増やしたり、ユーザ アカウントがロックされるまでの無効なログイン試行期間を延ばしたり、ユーザ アカウントのロック時間を変更したりできます。これらのコンフィグレーション オプションを変更すると、セキュリティ レベルが低下して攻撃を受けやすくなることに注意してください。

ユーザ アカウントを保護するためのコンフィグレーション オプション セットは 2 種類あります。一方はドメインで設定し、もう一方はセキュリティ レルムで設定します。一方のコンフィグレーション オプション セット (たとえばセキュリティ レルムのオプション) を設定している場合に、そのいずれかの値が超過しても、ユーザ アカウントがロックされないことがあります。これは、ドメインのユーザ アカウント ロックアウト オプションがセキュリティ レルムのユーザ アカウント オプションをオーバーライドすることが原因です。この状況を回避するには、セキュリティ レルムのユーザ アカウント ロックアウト オプションを無効にします。

警告 : セキュリティ レルムのユーザのロックアウト コンフィグレーション オプションを無効にした場合は、ドメインでユーザのロックアウト コンフィグレーション オプションを設定する必要があります。このようにしないと、ユーザ アカウントが保護されません。

詳細については、Administration Console オンライン ヘルプの「ユーザ アカウントの保護」と「ユーザ アカウントのロック解除」を参照してください。

 

互換性セキュリティからの 6.x セキュリティへのアクセス

互換性セキュリティを使用する場合は、ユーザおよびグループを定義するセキュリティ レルムと WebLogic Server ドメインのリソースを保護する ACL のある config.xml ファイルがすでに存在するものと想定されます。セキュリティ レルムをコンフィグレーションしたり、ACL を定義したりといった WebLogic Server 6.x のセキュリティ管理タスクは必須ではないので、そうした管理タスクについてこの節では説明しません。ただし、既存の 6.x セキュリティ レルムが壊れて、それを復元するしか選択肢がない場合は、WebLogic Administration Console オンライン ヘルプの互換性セキュリティのセクションで以下の 6.x セキュリティ管理タスクの説明を参照してください。

警告 : 互換性セキュリティは下位互換性のみを提供するものです。長期的なセキュリティ ソリューションとは考えないでください。

  ページの先頭       前  次