レルムの編集

レルムを編集するには、次の手順に従います。

  1. ツリーコンポーネントで、「設定」ノードを開きます。
  2. 「セキュリティ」ノードを開きます。
  3. 「レルム」ノードを開きます。
  4. 既存のレルムの名前を選択します。
  5. 「レルムを編集」ページが表示されます。

  6. 必要に応じて既存のプロパティとその値を編集します。
  7. file レルムのプロパティについては、「file および admin-realm レルムの編集」を参照してください。file レルムのユーザーを管理するには、「ユーザーを管理」ボタンをクリックします。詳しくは、「file レルムユーザーの管理」を参照してください。

    certificate レルムのプロパティの詳細については、「certificate レルムの編集」を参照してください。

  8. さらにプロパティを追加するには、「プロパティを追加」ボタンをクリックします。ページに新しい行が表示されます。有効なプロパティ名およびプロパティ値を入力します。設定可能なオプションのプロパティについては次の各表を参照してください。
  9. 「保存」をクリックして変更を保存します。

file および admin-realm レルムの編集

サーバーは、file レルムの keyfile および admin-realm レルムの admin-keyfile という名前のファイルに、すべてのユーザー、グループ、およびパスワードの情報を保持します。どちらの場合も、file プロパティで keyfile の場所が指定されています。表 44 に、file レルムに必要なプロパティを示しています。

表 44 file レルムに必要なプロパティ 

プロパティ名

説明

デフォルト値

file

keyfile の完全パスおよび名前。

install_dir/domains/domain-name/
config/keyfile

jaas-context

このレルムに使用するログインモジュールのタイプ。

fileRealm だけが有効な値です

keyfile は最初は空のため、file レルムを使用する前にユーザーを追加する必要があります。詳細については、「file レルムユーザーの管理」を参照してください。

admin-keyfile には最初、管理ユーザー名、暗号形式の管理パスワード、およびデフォルトでasadmin であるこのユーザーが属するグループが収められています。admin-realm へのユーザーの追加の詳細については、「管理ツールへのアクセス制御」を参照してください。

: admin-realm のグループ asadmin のユーザーには、管理コンソールおよび asadmin ツールを使用する権限があります。このグループには、サーバーの管理権限のあるユーザーだけを追加してください。

NSS (Network Security Services) によるユーザーの管理

Enterprise Edition の場合にのみ「file レルムユーザーの管理」の説明に従って管理コンソールを使用するか、または NSS ツールを使用して、ユーザーを管理できます。NSS (Network Security Services) とは、セキュリティが有効なクライアントおよびサーバーアプリケーションのクロスプラットフォーム開発をサポートするよう設計された一連のライブラリです。NSS で構築されたアプリケーションは、SSL v2 および v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 証明書およびその他のセキュリティ標準をサポートできます。詳細については、次の URL を参照してください。

file レルムユーザーの管理

file レルムユーザーは管理コンソールで管理します。file レルムのユーザーおよびグループは keyfile で表示され、その場所は file プロパティで指定されます。

: この手順を使用して、ユーザーを admin-realm を含む任意のレルムに追加することもできます。この節で言及されている file レルムの代わりに、ターゲットレルムの名前を代入するだけです。

file レルムのユーザーは、共通の特性で分類されるユーザーのカテゴリである J2EE グループに属することができます。たとえば、E コマースアプリケーションの顧客は CUSTOMER グループに属しますが、お得意様は PREFERRED グループに属します。ユーザーをグループに分類すると、ユーザーからの大量のアクセスを制御することが容易になります。

Application Server のインストール後の当初は、ユーザーはインストールの際に入力した管理者だけです。このユーザーは、デフォルトで Application Server を変更する権限を付与される、admin-realm レルムの asadmin グループに属します。このグループに割り当てられるすべてのユーザーは、管理者権限が付与されます。つまり、asadmin ツールおよび管理コンソールへのアクセス権があります。

file レルムユーザーを管理するには、次の手順に従います。

  1. ツリーコンポーネントで、「設定」ノードを開きます。
  2. 「セキュリティ」ノードを開きます。
  3. 「レルム」ノードを開きます。
  4. file」ノードを選択します。
  5. 「レルムを編集」ページで、「ユーザーを管理」ボタンをクリックします。
  6. 「ファイルユーザー」ページが表示されます。このページで、次のタスクを実行します。

ユーザーの追加

「ファイルユーザー」ページで、次の手順に従って新しいユーザーを追加してください。

  1. 「新規」をクリックして、新しいユーザーを「file」レルムに追加します。
  2. 「ファイルユーザー」ページで次の情報を入力します。
  3. 「了解」をクリックして、このユーザーを file レルムのユーザーのリストに追加します。「取消し」をクリックすると保存せずに終了します。

同機能を持つ asadmin コマンド: create-file-user

ユーザーの編集

「ファイルユーザー」ページで、次の手順に従ってユーザーの情報を変更してください。

  1. 「ユーザー ID」列で、ユーザーの名前をクリックして変更します。
  2. 「file レルムユーザーを編集」ページが表示されます。

  3. 「パスワード」および「パスワードの確認」フィールドに新しいパスワードを入力して、ユーザーのパスワードを変更します。
  4. 「グループ リスト」フィールドのグループを追加または削除して、ユーザーが属するグループを変更します。グループ名をコンマで区切ってください。グループを事前に定義する必要はありません。
  5. 「保存」をクリックして、このユーザーを file レルムのユーザーのリストに保存します。「閉じる」をクリックすると保存せずに終了します。
ユーザーの削除

「ファイルユーザー」ページで、次の手順に従ってユーザーを削除してください。

  1. 削除するユーザーの名前の左側にあるチェックボックスを選択します。
  2. 「削除」をクリックします。
  3. 「閉じる」をクリックすると「レルムを編集」ページに戻ります。

同機能を持つ asadmin コマンド: delete-file-user

certificate レルムの編集

certificate レルムは、SSL 認証をサポートしています。このレルムでは、Application Server のセキュリティコンテキストにユーザー ID が設定され、トラストストアとキーストアファイルのクライアント証明書から暗号を使用して取得されたユーザーデータが入力されます。を参照してください。keytool を使用して、これらのファイルにユーザーを追加してください。詳細については、次の URL にある『The J2EE 1.4 Tutorial』の「Security」の章を参照してください。

J2EE コンテナは、certificate レルムを使用して、証明書からの各ユーザーの DN (Distinguished Name) に基づいた承認処理を行います。DN とは、その公開鍵を証明書が識別するエンティティの名前です。この名前には、X.500 標準が使用され、インターネット全体で一意であるように意図されています。キーストアおよびトラストストアの詳細については、次の URL にある keytool のドキュメントを参照してください。

表 45 は、certificate レルムのオプションのプロパティを示しています。

表 45 certificate レルムのオプションのプロパティ 

プロパティ

説明

assign-groups

グループ名のコンマで区切られたリスト。有効な証明書を提出するすべてのクライアントがこのグループに割り当てられます。たとえば、employee,manager など。この場合、これらはユーザーグループの名前です。

jaas-context

このレルムに使用するログインモジュールのタイプ。certificate レルムでは、値は必ず certificateRealm にする必要があります。

関連項目

相互認証の設定

相互認証では、サーバーとクライアントサイドの両方で認証が有効です。相互認証をテストするには、有効な証明書を持つクライアントが存在している必要があります。相互認証の詳細については、次の URL にある『The J2EE 1.4 Tutorial』 の「Security」の章を参照してください。

すべてのアプリケーションに対する相互認証の有効化

Application Server は、HTTPS 認証に certificate レルムを使用します。

このレルムを使用するすべてのアプリケーションについて相互認証を指定するには、次の手順に従います。

  1. ツリーコンポーネントで、「設定」ノードを開きます。
  2. 「セキュリティ」ノードを開きます。
  3. 「レルム」ノードを開きます。
  4. certificate」レルムを選択します。
  5. 「プロパティを追加」ボタンをクリックします。
  6. 「保存」をクリックします。
  7. コンソールに「再起動が必要です」と表示される場合は、Application Server を再起動します。
  8. サーバーの再起動の後、相互認証では certificate を使用するすべてのアプリケーションに対してクライアント認証が必要になります。

アプリケーションの相互 SSL 認証の有効化

特定のアプリケーションで相互認証を有効にするには、deploytool を使用して認証のメソッドを Client-Certificate に設定してください。deploytool の使用方法の詳細については、次の URL にある『The J2EE 1.4 Tutorial』の「Security」 の章を参照してください。


著作権表示