WebLogic Security の概要



\| WebLogic Server ホーム \| WebLogic Security \| 前へ \| 次へ \| 目次 \| 索引 \| PDF 版

以下の節では、WebLogic Security について概説します。

WebLogic Security の機能

セキュリティとは、コンピュータに保存されているデータまたはコンピュータ間でやりとりされるデータが危険にさらされないことを保証する技術です。ほとんどのセキュリティ対策は、証明データとデータ暗号化を利用します。一般に証明データは、ユーザに特定のアプリケーションまたはシステムへのアクセスを許可する秘密の単語または句です。データ暗号化とは、データを解釈不能な形式に変換することです。

電子商取引（e- コマース）向けアプリケーションなどの分散アプリケーションでは、悪意のある何者かがデータを横取りし、処理を混乱させ、不正な入力を行う起点となる可能性があるアクセスポイントを多数提供します。そのため、企業の分散化が進むにつれて、セキュリティ攻撃を受ける可能性も増大します。したがって、アプリケーションの分散に伴い、その基盤となる分散コンピューティングソフトウェアによってセキュリティを実現することがますます重要になります。

WebLogic Server のセキュリティ機能を利用すると、Web ブラウザ、Java クライアント、およびほかの WebLogic Server から WebLogic Server にセキュアな接続を確立できます。さらに、セキュアな接続を経由して、WebLogic Server を BEA Tuxedo に対するクライアントとして使用することもできます。

具体的には、WebLogic Server の持つセキュリティ機能は以下のとおりです。

WebLogic Server リソースの保護を目的とした、ユーザ、グループ、ACL、およびパーミッションの論理グループを表すセキュリティレルム。Windows NT、UNIX、および LDAP セキュリティストアを使用できるように、デフォルトのセキュリティレルムまたは代替セキュリティレルムを使用することができます。その他に、独自に作成したカスタムセキュリティレルムもサポートされます。
WebLogic Server のリソースへのアクセスを要求しているクライアントの認証。認証を行うには、ユーザ名とパスワードの組み合わせか、またはセキュアソケットレイヤ（SSL）接続の一部として WebLogic Server に提示される X.509 デジタル証明書内の ID でクライアントを認証する場合は、デジタル証明書を利用します。
アクセス制御リスト（ACL）を利用したユーザおよびグループの認可。
認証用の Java Authentication and Authorization Service（JAAS）アプリケーションプログラミングインタフェース（API）。WebLogic Server の JAAS 実装では、LoginContext 認証と Subject 認可を提供します。JAAS 認可はサポートされていません。
SSL プロトコルによるデータの整合性と機密性。クライアントは、Hypertext Transfer Protocol（HTTP）、BEA 独自の T3 プロトコル、または Internet Inter-ORB（IIOP）プロトコル上の Remote Method Invocation（RMI）を使用して、WebLogic Server と SSL セッションを確立できます。
ログイン試行の失敗、認証リクエスト、デジタル証明書の拒否、無効な ACL などのイベントの監査。
クライアントの出所（ホスト名またはネットワークアドレス）またはプロトコルに基づいてクライアントのリクエストを受け付けたり拒否したりするためのクライアント接続のフィルタ処理。
WebLogic Enterprise Connectivity（WLEC）を使用した WebLogic Server セキュリティレルムから BEA Tuxedo ドメインへのセキュリティコンテキストの伝播。この機能を使用すると、リクエストを行った WebLogic Server ユーザに関するセキュリティ情報を、信頼された WLEC 接続プールの一部をなすネットワーク接続を介して BEA Tuxedo ドメインに伝播できます。

WebLogic EJB のセキュリティの詳細については、『WebLogic エンタープライズ JavaBeans プログラマーズガイド』を参照してください。

Web アプリケーションでのセキュリティの詳細については、『Web アプリケーションのアセンブルとコンフィグレーション』を参照してください。

WebLogic のセキュリティアーキテクチャ

WebLogic Server のセキュリティアーキテクチャは、ユーザの認可と認証を基本にしています。図 1-1 に、WebLogic Server のセキュリティアーキテクチャを示します。

図1-1 WebLogic Server のセキュリティアーキテクチャ

認証は、WebLogic Server 環境の最初のセキュリティレイヤです。認証とは、接続完了前に、エンティティの ID を確認するプロセスです。認証は、WebLogic Server 環境にアクセスするユーザを保護します。

WebLogic Server のデフォルトの認証方式は、一方向認証です。一方向認証は、ユーザが個人データを提出する前にセキュアな接続の確立を希望するインターネット上では一般的な方式です。WebLogic Server がクライアントのリクエストを受け取ると、WebLogic Server は提示されたユーザ名とパスワードを、WebLogic Server セキュリティレルムで定義されているユーザ名とパスワードに照合して認証します。ユーザ名とパスワードが正しいことが確認されると、クライアントは、WebLogic Server 環境へのアクセスを許可されます。

SSL プロトコルが使用されている場合、セキュアな接続を確立するには、WebLogic Server がデジタル証明書チェーンをクライアントに提示して、ID を証明する必要があります。クライアントは信頼された認証局のデジタル証明書一式を使用して、WebLogic Server が提示したデジタル証明書の認証されたものであることを確認します。WebLogic Server 上の SSL プロトコルが相互 SSL 用にコンフィグレーションされている場合は、クライアントも ID の正当性を確認するデジタル証明書のチェーンを渡す必要があります。

WebLogic Server 環境内では、使用可能なリソースにアクセスするユーザを認可によって制御します。認可は、ユーザおよびグループの定義と WebLogic Server 内のリソースに割り当てられたパーミッションに基づいています。リソースには、イベント、サーブレット、JDBC 接続プール、パスワード、JMS 送り先、および JNDI コンテキストがあります。WebLogic Server はセキュリティレルムを使用して、ユーザ、グループ、ACL、およびパーミッションをリソースとして論理的に編成します。WebLogic Server のリソースは、1 つのセキュリティレルムの ACL によって保護されます。ユーザはセキュリティレルムで定義されていないと、そのセキュリティレルムに属するリソースにアクセスできません。

ユーザがリソースに対してメソッドを実行しようとすると、アクセスを許可するかどうかを決めるために次の手順が取られます。

リソースが保護されていて、ユーザが認証を受けていない場合、ユーザは認証を要求されます。認証に失敗した場合、リクエストは拒否されます。
WebLogic Server がそのメソッドを呼び出したユーザを識別します。ユーザを識別できない場合、リクエストは拒否されます。
WebLogic Server は、必要なパーミッションのセットを調べて、WebLogic Server のリソースに対してメソッドを呼び出します。
呼び出しを行ったユーザが必要なパーミッションのうちの少なくとも 1 つを持っている場合、WebLogic Server はそのメソッドの呼び出しを許可します。

次の節では、WebLogic Server が各種の接続に応じてセキュリティを提供する方法について説明します。

Web ブラウザとの接続

Web ブラウザは、次のように WebLogic Server と対話します。

ユーザは、Web ブラウザでリソースの URL を入力して、WebLogic Server のリソースを呼び出します。
WebLogic Server の Web サーバはリクエストを受け取ります。WebLogic Server では独自の Web サーバを用意していますが、Apache Server、Microsoft Internet Information Server、および Netscape Enterprise Server も Web サーバとして使用できます。
Web サーバは、要求された WebLogic Server リソースが ACL によって保護されているかどうかチェックします。WebLogic Server リソースが保護されている場合、Web サーバは確立されている HTTP 接続を使用して、ユーザのユーザ ID とパスワードを要求します。
ユーザの Web ブラウザが WebLogic Server からのリクエストを受け取ると、ユーザに対してユーザ ID とパスワードを要求します。
Web ブラウザは、ユーザ ID とパスワードと一緒にリクエストを再送信します。
Web サーバはリクエストを Web サーバプラグインに転送します。WebLogic Server では、Web サーバ用に以下のプラグインを提供します。
- Apache-Weblogic Server プラグイン
- Netscape Server アプリケーションプログラミングインタフェース（NSAPI）
- Internet Information Server アプリケーションプログラミングインタフェース（ISAPI）
  Web サーバプラグインは、HTTP プロトコルを使用して、ユーザから受け取った認証データ（ユーザ ID とパスワード）と一緒に認証リクエストを WebLogic Server 内のリソースに送信することで認証を行います。
認証に成功すると、WebLogic Server は、ユーザがそのリソースへのアクセスに必要なパーミッションを持っているかどうかを調べます。
認可が成功すると、サーブレットエンジンがリクエストを遂行します。サーブレットエンジンは、WebLogic Server に入っています。
サーブレットに対してメソッドを呼び出す前に、サーブレットエンジンはセキュリティチェックを実行します。サーブレットエンジンは、このチェックで、ユーザの資格をセキュリティコンテキストから取り出し、ユーザがサーブレットに対してメソッドを呼び出す認可を持っていることを確認します。

図 1-2 に、Web ブラウザのセキュアログインプロセスを示します。

図1-2 Web ブラウザのセキュアログイン

HTTPS プロトコルは、ここで説明している使い方でさらに高いレベルのセキュリティを提供します。SSL プロトコルは、Web ブラウザと WebLogic Server との間で転送されるデータを暗号化するので、ユーザ ID とパスワードはクリアテキストでは転送されません。したがって、SSL プロトコルを使ってユーザのパスワードが保護されている場合、WebLogic Server はユーザを認証できます。

詳細については、以下の節を参照してください。

サーブレット、JSP、EJB、RMI オブジェクト、および Java アプリケーションとの接続

サーブレット、JSP、EJB、RMI オブジェクト、および Java アプリケーションは、Java Authentication and Authorization Service（JAAS）を使用して、WebLogic Server を認証します。JAAS は、Java 2 Software Development Kitの標準拡張機能です。JAAS の認証コンポーネントを使用すると、コードの実行形態が Java アプリケーション、JSP、EJB、RMI オブジェクト、またはサーブレットのいずれであっても、クライアントの ID を安全かつ確実に管理できます。WebLogic Server では、JAAS は既存の Security サービスプロバイダインタフェース（SPI）の上の層に追加され、レルムベースの認可をそのまま利用できます。これが必要となる理由は、WebLogic Server が JAAS の認可コンポーネントを提供しないからです。すべての認可チェックは、基礎となるセキュリティレルムを通して行われます。

JAAS 認証を使用する場合、Java クライアントは、Configuration オブジェクトを参照する LoginContext オブジェクトをインスタンス化することで認証プロセスを有効にします。Configuration オブジェクトは、クライアントの認証に用いるコンフィグレーション済み LoginModule を指定します。LoginModule オブジェクトは、クライアントの資格を要求して確認します。WebLogic Server で使用する認証メカニズムのタイプごとに LoginModule オブジェクトを作成する必要があることに注意してください。たとえば相互認証を使用する場合は、資格を要求するとともに提供する LoginModule オブジェクトを作成する必要があります。WebLogic Server では、LoginModule オブジェクトを提供していません。

クライアント（サーブレット、JSP、EJB、RMI オブジェクト、および Java アプリケーション）は、次の方法で、WebLogic Server と安全に対話します。

クライアントは、LoginModule オブジェクトと CallbackHandler オブジェクトをインスタンス化する LoginContext を作成します。
- LoginContext が、LoginModule とその実行順序を指定する Configuration オブジェクトを参照します。
- CallbackHandler オブジェクトが、ユーザからの入力（パスワードやデジタル証明書ファイルの名前など）を集めて、LoginModule に渡します。
クライアントは、LoginContext オブジェクトの login() メソッドを呼び出します。次に、login() メソッドが指定された LoginModule を呼び出します。
LoginModule は、クライアントの資格を要求して確認します。
認証に成功すると、WebLogic Server は、クライアントが要求したリソースへのアクセスに必要なパーミッションを持っているかどうかを調べます。パーミッションは、WebLogic Server セキュリティレルムで定義されたリソースの ACL で調べます。
ACL の認可が成功すると、クライアントからのリクエストが WebLogic Server によって遂行されます。

パスワード認証を実装する LoginModule を使用する場合は、SSL プロトコルを利用するよう WebLogic Server をコンフィグレーションできます。SSL プロトコルは、ユーザ ID とパスワードがクリアテキストでは転送されないように、クライアントと WebLogic Server との間で転送されるデータを暗号化します。

図 1-3 に、サーブレット、JSP、EJB、RMI オブジェクト、および Java アプリケーションのセキュアログインプロセスを示します。

図1-3 Java クライアント用のセキュアログイン

WebLogic Server は、別の WebLogic Server に対するクライアントとして機能できます。この場合、WebLogic Server はクライアントと同じ認証方法を使用します。

注意: WebLogic Server では、認証を渡す方法として JNDI メソッドもサポートしています。ただし、この機能は JAAS 認証に置き換えられます。

詳細については、以下の節を参照してください。

管理サーバとの接続

WebLogic Server では、管理サーバとは、すべてのコンフィグレーション情報の中央ソースとしての役割を持つ WebLogic Server のことです。管理サーバは、1 つの WebLogic Server または複数の WebLogic Server から構成されるクラスタのコンフィグレーション情報を格納できます。管理サーバとその他の WebLogic Server との接続は、盗聴、改ざん、反復、偽装などの攻撃から保護する必要があります。

SSL プロトコルと証明書を使用する場合、管理サーバは、管理対象の WebLogic Server が起動されるたびに自身のデジタル証明書をそのサーバ対して提示します。次に管理対象 WebLogic Server は、デジタル証明書内の情報を利用して管理サーバを認証します。

管理サーバのデジタル証明書は、BEA から提供されます。デジタル証明書は、WebLogic Server のインストール時に \wlserver6.1\config\mydomain にインストールされます。

デフォルトでは、管理サーバとその他の WebLogic Server との接続は安全ではありません。ユーザ名とパスワードが入ったファイルは暗号化されていません。ユーザ名とパスワードは接続を介してクリアテキストで送信され、コンフィグレーション情報は保護されません。このため、SSL プロトコルと証明書を使用して、管理サーバ内のコンフィグレーション情報を保護することをお勧めします。

図 1-4 に、管理サーバと管理対象 WebLogic Server との間のセキュアログインプロセスを示します。

図1-4 管理対象サーバと管理サーバ用のセキュアログイン

詳細については、「セキュリティの管理」を参照してください。

BEA Tuxedo に対するクライアントとしての WebLogic Server の使い方

WebLogic Server セキュリティレルムのセキュリティのスコープは、BEA Tuxedo ドメイン内のスコープとは異なります。それぞれがユーザの独自のセキュリティストアを持ち、独自にアクセスを制御します。ただし、WebLogic Enterprise Connectivity を使用することで、信頼された WLEC 接続プールの一部をなす接続を介して、WebLogic Server セキュリティレルムで認証済みユーザの ID から BEA Tuxedo ドメイン内の認証済みプリンシパルの ID を形成できます。この機能は、セキュリティコンテキストの伝播と呼ばれます。

注意: WebLogic Server 製品でのセキュリティコンテキストの伝播は一方向のみです。つまり、ユーザの ID は、WebLogic Server セキュリティレルムから BEA Tuxedo ドメインへの方向にのみ伝播できます。

図 1-5 に、WebLogic Server 環境と BEA Tuxedo 環境との間でセキュリティコンテキストが伝播される仕組みを示します。

図1-5 WebLogic Server と BEA Tuxedo との間のセキュリティコンテキストの伝播

セキュリティコンテキストを伝播する場合、WebLogic Server ユーザのセキュリティ ID が、IIOP リクエストのサービスコンテキストの一部に含まれます。このリクエストは、WLEC 接続プールの一部をなすネットワーク接続を経由して、BEA Tuxedo ドメインに送信されます。WLEC 接続プール内の各ネットワーク接続は、定義済みのユーザ ID を使用して認証されます。WLEC 接続プールを確立するには、パスワードと証明書の両方を使用します。

伝播されたセキュリティ ID は、IIOP リスナ/ハンドラが BEA Tuxedo ドメイン内でユーザの役割を果たすために使用します。ユーザの役割を果たす ID は、認可用と監査用にそれぞれ 1 つのトークンのペアで表されます。これらのトークンは、BEA Tuxedo ドメインの対象 CORBA オブジェクトに伝播され、認可と監査が行われる際に使用されます。

ユーザ ID のマッピングを容易にするため、BEA Tuxedo 内の IIOP リスナ/ハンドラは認証プラグインを使用します。このプラグインは、ユーザ ID を認可および監査トークンにマッピングします。マッピングされたトークンは、対象となる CORBA オブジェクトに転送されるリクエストの一部として伝播されます。対象となる CORBA オブジェクトはトークンを使用して、ユーザの ID やユーザに関連付けられているロールまたはグループの名前など、リクエストの発信元についての情報を調べます。

SSL プロトコルを使用すると、WebLogic Server セキュリティレルムから送信されるリクエストの機密性と整合性を保護できます。SSL 暗号化は、BEA Tuxedo ドメイン内の CORBA オブジェクトに送信される IIOP リクエストを対象として行われます。リクエストを保護するには、WebLogic Connectivity と BEA Tuxedo CORBA アプリケーションの両方で、SSL プロトコルを使用するようコンフィグレーションする必要があります。

詳細については、以下の節を参照してください。

「セキュリティの管理」の「セキュリティコンテキストの伝播のコンフィグレーション」
『WebLogic Enterprise Connectivity ユーザーズガイド』