Application Server では、次の 3 つのレルムが事前に設定されています。file
、certificate
、および admin-realm
です。さらに、ldap
、solaris
、またはカスタムレルムも作成できます。通常、サーバーには各タイプのレルムが 1 つずつありますが、Application Server では、次の 2 つの file レルムがあります。file
および admin-realm
です。これらは、異なる 2 つの目的に使用される同じタイプの 2 つのレルムです。また、システムの各仮想サーバーで異なる証明書データベースを持つこともできます。
セキュリティレルムを作成するには、次の手順に従います。
「レルムを作成」ページが表示されます。
プロパティを追加するには、次の手順に従います。
file
レルムのプロパティの詳細については、「file および admin-realm レルムの編集」を参照してください。certificate
レルムのプロパティの詳細については、「certificate レルムの編集」を参照してください。ldap
レルムのプロパティの詳細については、「ldap レルムの作成」を参照してください。solaris
レルムのプロパティの詳細については、「solaris レルムの作成」を参照してください。
同機能を持つ asadmin
コマンド:create-auth-realm
ldap
レルムは、LDAP サーバーからの情報を使用して認証を行います。ユーザー情報には、ユーザー名、パスワード、およびユーザーが属するグループが含まれます。LDAP レルムを使用するには、ユーザーおよびグループを LDAP ディレクトリで事前に定義しておいてください。
レルムを作成するには、新しいレルムの追加について説明している「レルムの作成」の手順に従い、表 40 で示されているプロパティを追加します。
ldap
レルムのオプションのプロパティは、表 41 に示されています。
たとえば、次のように LDAP ユーザー、Joe Java が LDAP ディレクトリで定義されているとします。
uid=jjava,ou=People,dc=acme,dc=com
uid=jjava
givenName=joe
objectClass=top
objectClass=person
objectClass=organizationalPerson
objectClass=inetorgperson
sn=java
cn=Joe Java
ldap
レルムの作成または編集をする際には、例示したコードを使用して、表 42 で示す値を入力できます。
solaris
レルムは、システム設定で指定されているとおり、基礎となる Solaris ユーザーデータベースからユーザーおよびグループの情報を取得します。solaris
レルムは、認証のための基礎となる PAM インフラストラクチャを呼び出します。設定されている PAM モジュールに root 権限が必要な場合、ドメインはこのレルムを使用するため root として実行される必要があります。詳細については、セキュリティサービスに関する Solaris ドキュメントを参照してください。
solaris
には、1 つの必須プロパティ jaas-context
があり、これは使用するログインモジュールのタイプを指定します。プロパティ値は solarisRealm
である必要があります。
注: solaris
レルムは Solaris 9 以降でのみサポートされています。
4 つのビルトインレルムに加えて、ユーザーデータを、リレーショナルデータベースなどのほかの何らかの方法で格納するカスタムレルムも作成できます。カスタムレルムの作成は、このマニュアルの対象外です。詳細については、『Application Server Developer's Guide』の「Securing Applications」の章を参照してください。
管理者として知っておく必要のある主な事柄は、カスタムレルムが、JAAS (Java Authentication and Authorization Service) パッケージから派生した LoginModule
と呼ばれるクラスによって実装されていることです。
カスタムレルムを使用するには、Application Server を次のように設定してください。
LoginModule
クラスの名前を入力します。myCustomRealm
などの一意で任意の名前が、カスタムレルムに使用できます。/domains/
domain_name/config/login.conf
を編集し、ファイルの最後に JAAS LoginModule
の完全修飾クラス名を次のように追加します。
realmName {
fully-qualified-LoginModule-classname required;
};
次に例を示します。
myCustomRealm {
com.foo.bar.security.customrealm.simpleCustomLoginModule
required;
};
LoginModule
クラスおよび依存するすべてのクラスを、ディレクトリ install_dir/domains/
domain_name/lib/classes
にコピーします。
サーバーがレルムをロードしたことを確かめるため、install_dir/domains/
domain_name/logs/server.log
を確認してください。サーバーは、レルムの init()
メソッドを呼び出す必要があります。
関連項目