| Interstage Application Server J2EE ユーザーズガイド |
|
目次
索引
|
| 第3部 EJB編 | > 第14章 EJBアプリケーションの呼出し方法 | > 14.7 アプレットのデジタル署名 |
policytoolコマンドの具体的な設定方法について説明します。ここで使用している画面では、以下の環境での動作を例にしています。
JDK1.4を使用する場合、「Policy Tool」画面は日本語で表示されますが、設定内容については変更ありません。
policytoolコマンドを起動します。
表示される「Policy Tool」画面を以下に示します。
policytoolコマンドの初回起動時に、以下のようなエラーを示すダイアログが表示されることがあります。これは、policytoolコマンドが起動と同時にユーザのセキュリティポリシファイルの読込みを行うが、初回起動時にセキュリティポリシファイルが存在しないためであり、動作上問題ありません。
ただし、2回目以降のpolicytoolコマンドの起動でこのダイアログが表示される場合は、セキュリティポリシファイルが指定された格納位置にあるかを確認してください。
キーストアファイルの格納位置、およびキーストアのタイプを指定します。
policytool起動後最初に表示される「Policy Tool」画面内で、プルダウンメニュー「Edit」→「Change KeyStore」を選択すると、以下のような「Keystore」画面が表示されます。
「New KeyStore URL」フィールドへ使用するキーストアの格納位置を指定し、「New KeyStore Type」フィールドにはキーストアタイプを指定します。それぞれのフィールドへ指定する内容を以下に示します。
設定後は、「Keystore」画面上の「OK」ボタンを押下してください。
|
OS |
格納先 |
|
Windows(R) 9x |
OSインストールディレクトリ |
|
Windows(R) 2000 |
ログインユーザのプロファイルディレクトリ |
|
Solaris OE |
ログインユーザのホームディレクトリ |
設定画面の例を以下に示します。
キーストアの格納位置を指定すると、「Keystore:」フィールドに設定した内容が反映されます。
「Policy Tool」画面上の「Add Policy Entry」ボタンを押下し、以下のような「Policy Entry」画面で各権限を設定します。
「Policy Entry」画面上の「Add Permission」ボタンを押下し、「Permissions」画面を表示します。この画面上で権限を設定します。
「Permissions」画面上での権限の設定は、一組の「Permission:/Target Name:/Actions:」の値を設定し、「OK」ボタンを押下します。この結果、「Policy Entry」画面に戻ります(次の一組の値を設定するには、再度「Add Permission」ボタンを押下します。これを繰り返し、必要な情報を設定します)。設定する権限は「プレインストール型Javaライブラリ」を使用する場合と「Portable-ORB」を使用する場合で異なります。
設定が必要となる権限を以下に記載します。
◇通常運用で必要な権限
通常の運用では、セキュリティ上の安全性を確保するため、この権限以外は設定しないでください。
|
権限種別 |
設定を行う権限 |
||
|
Permission |
Target Name |
Actions |
|
|
ランタイム権限 |
RuntimePermission(java.lang.RuntimePermission) |
loadLibrary.DLL名 (注1) |
設定不要 |
|
プロパティ権限 |
PropertyPermission(java.util.PropertyPermission) |
com.fujitsu.* |
read |
注1) インストールしている機能、および使用するJDK/JREにより以下のダイナミックリンクライブラリ(DLL)名を指定します(拡張子は指定不要)。
|
インストールしている機能 |
JDK/JRE |
ダイナミックリンクライブラリ |
|
CORBAサービスクライアント(クライアント機能) |
JDK/JRE1.3.1 |
ODjava2 |
|
JDK/JRE1.4.0 |
ODjava4 |
|
|
CORBAサービス(サーバ機能) |
JDK/JRE1.3.1 |
ODjavas2 |
|
JDK/JRE1.4.0 |
ODjavas4 |
◇通常運用で必要な権限(注2)
|
権限種別 |
設定を行う権限 |
||
|
Permission |
Target Name |
Actions |
|
|
プロパティ権限 |
PropertyPermission(java.util.PropertyPermission) |
user.dir |
read |
|
java.class.path |
read |
||
|
ファイル権限 |
FilePermission(java.io.FilePermission) |
${user.dir}\* |
read, write |
|
%OD_HOME%\etc\config (注3) |
read |
||
注2) CORBAサービスの内部ログの詳細は、“チューニングガイド”の“config”を参照してください。なお、ログ採取後は追加した権限を削除してください。
注3) %OD_HOME%は、CORBAサービス、CORBAサービスクライアントのインストールパスを指定します(デフォルトは、C:\Interstage\ODWIN)。
◇通常運用で必要な権限
通常の運用では、セキュリティ上の安全性を確保するため、この権限以外は設定しないでください。
|
権限種別 |
設定を行う権限 |
||
|
Permission |
Target Name |
Actions |
|
|
通信権限 |
SocketPermission(java.net.SocketPermission) |
通信先サーバ名 (注1) |
connect |
注1) JavaアプレットをダウンロードしたWebサーバ以外のサーバマシンと通信する場合に、通信先サーバ分の通信先サーバ名を設定します。通信するサーバマシンがJavaアプレットをダウンロードしたWebサーバのみの場合は、設定する必要はありません。
通信先サーバ名として、以下のホスト名を指定します。
−porbeditenvコマンドの「ホスト情報」で設定したホスト名
(詳細は、“リファレンスマニュアル(コマンド編)”の“porbeditenv”参照)。
−通信するサーバアプリケーションのオブジェクトリファレンスに設定されているホスト名
(odlistnsコマンド(-lオプション指定)で表示される「オブジェクトのホスト名」)。
−URLスキーマに指定したホスト名
なお、通信先サーバとして、serverA.interstage.co.jpとserverB.interstage.co.jpが存在する場合、通信先サーバ名としてserverA.interstage.co.jpとserverB.interstage.co.jpの2組の通信権限を設定します。または、信頼できる範囲を確認した上でワイルドカード(*)を使用して、*.interstage.co.jpと設定することもできます。ただし、ワイルドカード(*)のみの指定(不特定のサーバマシンとの通信)は、セキュリティ上の安全を確保するため、指定しないでください。
◇EJBアプリケーションを使用する場合に必要な権限 (注2)
|
権限種別 |
設定を行う権限 |
||
|
Permission |
Target Name |
Actions |
|
|
プロパティ権限 |
PropertyPermission(java.util.PropertyPermission) |
com.fujitsu.* |
read |
|
java.class.path |
read |
||
|
ランタイム権限 |
RuntimePermission(java.lang.RuntimePermission) |
getClassLoader |
(指定不要) |
注2) EJBアプリケーションの詳細については、“J2EE ユーザーズガイド”の“EJB編”を参照してください。
◇Portable-ORBのログ情報を採取する場合に必要な権限 (注3)
|
権限種別 |
設定を行う権限 |
||
|
Permission |
Target Name |
Actions |
|
|
ファイル権限 |
FilePermission(java.io.FilePermission) |
ログ採取ファイル (注4) |
read, write, delete |
|
ログ採取ディレクトリ (注5) |
read |
||
注3) Portable-ORBのログ情報の詳細は、“リファレンスマニュアル(コマンド編)”の“porbeditenv”を参照してください。なお、ログを採取する場合は、porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリを事前に作成しておいてください。また、「ログ格納ディレクトリ」にはログ採取ファイル以外のユーザ資源等を格納しないでください。ログ採取後は、追加した権限を削除してください。
注4) porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリ名に「\*」を付加したパスを指定します(「ログ格納ディレクトリ」に「c:\log\porb」と指定した場合は「c:\log\porb\*」)。
注5) porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリ名を指定します。
◇SSL連携機能を使用する場合に必要な権限 (注6)
|
権限種別 |
設定を行う権限 |
||
|
Permission |
Target Name |
Actions |
|
|
ファイル権限 |
FilePermission(java.io.FilePermission) |
keystoreディレクトリ (注7) |
read |
注6) SSL連携機能の詳細は、“セキュリティシステム運用ガイド”の“Portable-ORBでSSLを利用する方法”を参照してください。
注7) porbeditenvコマンドの「キーストア格納位置」で指定した格納位置、または、-ORB_FJ_PORB_SSLPathパラメタで指定した格納位置を指定します(格納位置が「C:\Interstage\PORB\etc\keystore」の場合、「C:\Interstage\PORB\etc\keystore」)。キーストアの格納位置がネットワーク上(HTTP指定)である場合は、指定する必要はありません。
◇サーバアプリケーションでユーザ情報獲得用のAPIを使用する場合に必要な権限 (注8)
|
権限種別 |
設定を行う権限 |
||
|
Permission |
Target Name |
Actions |
|
|
プロパティ権限 |
PropertyPermission(java.util.PropertyPermission) |
user.name |
read |
注8)ユーザ情報獲得用のAPIの詳細は、“リファレンスマニュアル(API編)”(注:Plusでは提供していません。)の“TD_get_user_information”/“TD::get_user_information”/“TDGETUSERINFORMATION”を参照してください。
ランタイム権限の設定画面の例を以下に示します。
|
目次
索引
|