管理セキュリティー
管理セキュリティーによって、セキュリティーを使用するかどうか、認証が行われるレジストリーのタイプ、および多くがデフォルトとして動作するその他の値が決定されます。管理セキュリティーを誤って使用可能にすると、 管理コンソールがロックされて使用できなくなったり、 サーバーが異常終了したりすることがあるので、 正しく計画することが必要です。
管理セキュリティーは、 セキュリティー・ドメイン全体で有効なセキュリティー構成を表します。 セキュリティー・ドメイン は、 同一のユーザー・レジストリーのレルム 名で構成されたすべてのサーバーから構成されます。 場合によっては、レルムは、ローカル・オペレーティング・システムのレジストリーのマシン名にすることができます。 この場合、すべてのアプリケーション・サーバーは、同じ物理マシン上に置かれていなければなりません。 また場合によっては、レルムはスタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリーのマシン名にすることもできます。
LDAP プロトコルを サポートするユーザー・レジストリーに リモートでアクセスできるため、 複数のノード構成がサポートされています。 そのため、どこからでも認証を使用可能にできます。
セキュリティー・ドメインの基本的な要件は、 セキュリティー・ドメイン内の 1 つのサーバーのレジストリーまたはリポジトリーによって戻されるアクセス ID が、 同じセキュリティー・ドメイン内の別のサーバーのレジストリーまたはリポジトリーから戻されるアクセス ID と同じであることです。 アクセス ID はユーザーを一意的に識別するもので、 リソースに対してアクセスが許可されているかどうかを判別する許可で使用されます。
管理セキュリティー構成は、セキュリティー・ドメイン内のすべてのサーバーに適用されます。
管理セキュリティーをオンにする理由
管理セキュリティーをオンにすると、 無許可のユーザーからサーバーを保護する設定がアクティブになります。 管理セキュリティーは、プロファイルの作成時に、 デフォルトで使用可能になっています。 一部の環境では、開発システムのようにセキュリティーが不要の場合もあります。 これらのシステムでは、管理セキュリティーを使用不可にできます。 ただし、一般的な環境では、 権限のないユーザーが管理コンソールやビジネス・アプリケーションにアクセスできないようにする必要があります。 アクセスを制限するには、 管理セキュリティーを使用可能にしなければなりません。
管理セキュリティーの保護対象
セキュリティー・ドメイン用の管理セキュリティーの構成には、以下のテクノロジーの構成が含まれます。
- HTTP クライアントの認証
- IIOP クライアントの認証
- 管理コンソールのセキュリティー
- ネーミング・セキュリティー
- SSL トランスポートの使用
- サーブレット、エンタープライズ Bean、および mbean のロール・ベースの許可検査
- ID の伝搬 (RunAs)
CBIND 検査
- 共通ユーザー・レジストリー
- 認証メカニズム
- 以下のような、セキュリティー・ドメインの振る舞いを定義するその他のセキュリティー情報
- 認証プロトコル (Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) セキュリティー)
- その他各種の属性