レルムの作成

Application Server では、次の 3 つのレルムが事前に設定されています。filecertificate、および admin-realm です。さらに、ldapsolaris、またはカスタムレルムも作成できます。通常、サーバーには各タイプのレルムが 1 つずつありますが、Application Server では、次の 2 つの file レルムがあります。file および admin-realm です。これらは、異なる 2 つの目的に使用される同じタイプの 2 つのレルムです。また、システムの各仮想サーバーで異なる証明書データベースを持つこともできます。

セキュリティレルムを作成するには、次の手順に従います。

  1. ツリーコンポーネントで、「設定」ノードを開きます。
  2. 「セキュリティ」ノードを開きます。
  3. 「レルム」ノードを選択します。
  4. 「レルム」ページで、「新規」をクリックします。
  5. 「レルムを作成」ページが表示されます。

  6. 「名前」フィールドにレルムの名前を入力します。
  7. 作成されたレルムのクラス名を指定します。表 39 に有効な値を示します。

    表 39 レルムクラス名に有効な値 

    レルム名

    クラス名

    file

    com.sun.enterprise.security.auth.realm.file.FileRealm

    certificate

    com.sun.enterprise.security.auth.realm.certificate.CertificateRealm

    ldap

    com.sun.enterprise.security.auth.realm.ldap.LDAPRealm

    solaris

    com.sun.enterprise.security.auth.realm.solaris.SolarisRealm

    custom

    ログインレルムクラスの名前

  8. レルムに必要なプロパティおよび希望するオプションのプロパティを追加します。
  9. プロパティを追加するには、次の手順に従います。

    1. 「プロパティを追加」をクリックします。
    2. 「名前」フィールドに、プロパティの名前を入力します。
    3. file レルムのプロパティの詳細については、「file および admin-realm レルムの編集」を参照してください。
    4. certificate レルムのプロパティの詳細については、「certificate レルムの編集」を参照してください。
    5. ldap レルムのプロパティの詳細については、「ldap レルムの作成」を参照してください。
    6. solaris レルムのプロパティの詳細については、「solaris レルムの作成」を参照してください。
    7. カスタムレルムのプロパティの詳細については、「カスタムレルムの作成」を参照してください。
    8. 「値」フィールドに、プロパティの値を入力します。
  10. 「了解」をクリックします。

同機能を持つ asadmin コマンド:create-auth-realm

ldap レルムの作成

ldap レルムは、LDAP サーバーからの情報を使用して認証を行います。ユーザー情報には、ユーザー名、パスワード、およびユーザーが属するグループが含まれます。LDAP レルムを使用するには、ユーザーおよびグループを LDAP ディレクトリで事前に定義しておいてください。

レルムを作成するには、新しいレルムの追加について説明している「レルムの作成」の手順に従い、表 40 で示されているプロパティを追加します。

表 40 ldap レルムに必要なプロパティ 

プロパティ名

説明

directory

ディレクトリサーバーの LDAP URL。

ldap:// ホスト名 : ポートという形式の LDAP URL
例: ldap://myldap.foo.com:389。

base-dn

ユーザーデータの場所のベース DN (Distinguished Name)。ツリー範囲検索が実行されるため、ユーザーデータのレベルより上に置かれます。検索ツリーが小さければ小さいほど、パフォーマンスが向上します。

検索のドメイン。
例: dc=siliconvalley, dc=BayArea, dc=sun, dc=com

jaas-context

このレルムに使用するログインモジュールのタイプ。

ldapRealm が必須です。

ldap レルムのオプションのプロパティは、表 41 に示されています。

表 41 ldap レルムのオプションのプロパティ 

プロパティ名

説明

デフォルト

search-filter

ユーザー検索に使用される検索フィルタ。

uid=%s (%s はサブジェクト名に展開される)。

group-base-dn

グループデータの場所のベース DN。

base-dn と同じですが、必要に応じて変更可能です。

group-search-filter

ユーザーのグループメンバーシップ検索に使用する検索フィルタ。

uniquemember=%d (%d はユーザー要素 DN に展開される)。

group-target

グループ名エントリを含む LDAP の属性名。

CN

search-bind-dn

search-filter 検索を実行するディレクトリの認証に使用するオプション DN。匿名検索を実行できないディレクトリにのみ必要になります。

 

search-bind-password

search-bind-dn で指定した DN の LDAP パスワード。

 

たとえば、次のように LDAP ユーザー、Joe Java が LDAP ディレクトリで定義されているとします。

uid=jjava,ou=People,dc=acme,dc=com
uid=jjava
givenName=joe
objectClass=top
objectClass=person
objectClass=organizationalPerson
objectClass=inetorgperson
sn=java
cn=Joe Java

ldap レルムの作成または編集をする際には、例示したコードを使用して、表 42 で示す値を入力できます。

表 42 ldap レルムの値の例 

プロパティ名

プロパティ値

directory

サーバーへの LDAP URL。例: ldap://ldap.acme.com:389

base-dn

ou=People,dc=acme,dc=com

より上位に置くことも可能です (例: dc=acme、dc=com)。ただし、トラバースするツリーの範囲が広ければ、それだけパフォーマンスが低下します。

jaas-context

ldapRealm

solaris レルムの作成

solaris レルムは、システム設定で指定されているとおり、基礎となる Solaris ユーザーデータベースからユーザーおよびグループの情報を取得します。solaris レルムは、認証のための基礎となる PAM インフラストラクチャを呼び出します。設定されている PAM モジュールに root 権限が必要な場合、ドメインはこのレルムを使用するため root として実行される必要があります。詳細については、セキュリティサービスに関する Solaris ドキュメントを参照してください。

solaris には、1 つの必須プロパティ jaas-context があり、これは使用するログインモジュールのタイプを指定します。プロパティ値は solarisRealm である必要があります。

: solaris レルムは Solaris 9 以降でのみサポートされています。

カスタムレルムの作成

4 つのビルトインレルムに加えて、ユーザーデータを、リレーショナルデータベースなどのほかの何らかの方法で格納するカスタムレルムも作成できます。カスタムレルムの作成は、このマニュアルの対象外です。詳細については、『Application Server Developer's Guide』の「Securing Applications」の章を参照してください。

管理者として知っておく必要のある主な事柄は、カスタムレルムが、JAAS (Java Authentication and Authorization Service) パッケージから派生した LoginModule と呼ばれるクラスによって実装されていることです。

カスタムレルムを使用するには、Application Server を次のように設定してください。

  1. 「レルムの作成」の手順のアウトラインに従い、カスタムレルムの名前および LoginModule クラスの名前を入力します。myCustomRealm などの一意で任意の名前が、カスタムレルムに使用できます。
  2. 表 43 に示されたプロパティを追加します。

    表 43 カスタムレルムに有効なプロパティ 

    プロパティ名

    プロパティ値

    jaas-context

    LoginModule クラス名。例: simpleCustomRealm

    auth-type

    レルムの説明。例:「カスタムレルムの分かりやすい例」。

  3. 「了解」をクリックします。
  4. ドメインのログイン設定ファイル install_dir/domains/domain_name/config/login.conf を編集し、ファイルの最後に JAAS LoginModule の完全修飾クラス名を次のように追加します。
  5. realmName {
       fully-qualified-LoginModule-classname required;
    };

    次に例を示します。

    myCustomRealm {
       com.foo.bar.security.customrealm.simpleCustomLoginModule required;
    };
  6. LoginModule クラスおよび依存するすべてのクラスを、ディレクトリ install_dir/domains/domain_name/lib/classes にコピーします。
  7. コンソールに「再起動が必要です」と表示される場合は、サーバーを再起動します。
  8. レルムが正常にロードされたことを確認します。
  9. サーバーがレルムをロードしたことを確かめるため、install_dir/domains/domain_name/logs/server.log を確認してください。サーバーは、レルムの init() メソッドを呼び出す必要があります。

関連項目


著作権表示