Portable-ORBをダウンロードしないで(クライアントにあらかじめ配置して)Javaアプレットを実行する場合は、Javaライブラリに対する権限を設定します。
policytool(JDK添付)によるJavaライブラリに対する権限の設定方法を以下に示します。
policytoolを起動します。
policytool(コマンド入力)
起動後、最初に表示される[Policy Tool]の画面上で[ポリシーエントリの追加]ボタンを押下します。
表示された[ポリシーエントリ]の画面上で、各項目の値を以下のように設定します。
項目 | 設定値 |
|---|---|
CodeBase: | file:<Portable-ORB Jarファイル格納ディレクトリ>/* (注1) |
signed by: | (なし) |
注1) 区切り文字として'/'を使用してください。
[ポリシーエントリ]の画面上で[アクセス権の追加]ボタンを押下します。
表示された[アクセス権]の画面上で、各項目の値を以下の表のように設定します。[アクセス権]画面上での権限の設定は、一組の[アクセス権:/ターゲット名:/アクション:]の値を設定し、[了解]ボタンを押下します。この結果、[ポリシーエントリ]の画面に戻ります。次の一組の値を設定するには、再度、[アクセス権の追加]ボタンを押下します。これを繰り返し、必要な情報を設定します。
設定後、[ポリシーエントリ]の画面上で[完了]ボタンを押下します。
◇通常運用で必要な権限
通常の運用では、セキュリティ上の安全性を確保するため、この権限以外は設定しないでください。
権限種別 | 設定を行う権限 | ||
|---|---|---|---|
アクセス権 | ターゲット名 | アクション | |
通信権限 | SocketPermission | 通信先サーバ名 (注2) | connect |
注2) Javaアプレットから通信を行う通信先サーバ分の通信先サーバ名を設定します。
通信先サーバ名として、以下のホスト名を指定します。
-porbeditenvコマンドの「ホスト情報」で設定したホスト名
詳細については、“リファレンスマニュアル(コマンド編)”の“porbeditenv”を参照してください。
-通信するサーバアプリケーションのオブジェクトリファレンスに設定されているホスト名
odlistnsコマンド(-lオプション指定)で表示される「オブジェクトのホスト名」です。
-URLスキーマに指定したホスト名
詳細については、“9.5 URLスキーマ”および“13.4 corbaloc URLスキーマ”を参照してください。
なお、通信先サーバとして、serverA.interstage.co.jpとserverB.interstage.co.jpが存在する場合、通信先サーバ名としてserverA.interstage.co.jpとserverB.interstage.co.jpの2組の通信権限を設定します。または、信頼できる範囲を確認した上でワイルドカード(*)を使用して、*.interstage.co.jpと設定することもできます。ただし、ワイルドカード(*)のみの指定(不特定のサーバマシンとの通信)は、セキュリティ上の安全を確保するため、指定しないでください。
◇EJBアプリケーションを使用する場合に必要な権限 (注3)
権限種別 | 設定を行う権限 | ||
|---|---|---|---|
アクセス権 | ターゲット名 | アクション | |
プロパティ権限 | PropertyPermission | com.fujitsu.* | read |
java.class.path | read | ||
ランタイム権限 | RuntimePermission | getClassLoader | (指定不要) |
注3) EJBアプリケーションの詳細については、“J2EE ユーザーズガイド”の“EJB編”を参照してください。
◇Portable-ORBのログ情報を採取する場合に必要な権限 (注4)
権限種別 | 設定を行う権限 | ||
|---|---|---|---|
アクセス権 | ターゲット名 | アクション | |
ファイル権限 | FilePermission | ログ採取ファイル (注5) | read, write, delete |
ログ採取ディレクトリ (注6) | read | ||
注4) Portable-ORBのログ情報の詳細については、“リファレンスマニュアル(コマンド編)”の“porbeditenv”を参照してください。なお、ログを採取する場合は、porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリを事前に作成しておく必要があります。また、「ログ格納ディレクトリ」にはログ採取ファイル以外のユーザ資源などを格納しないでください。ログ採取後は、追加した権限を削除してください。
注5) porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリ名に「\*」を付加したパスを指定します。「ログ格納ディレクトリ」に「c:\log\porb」と指定した場合は「c:\log\porb\*」です。
注6) porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリ名を指定します。
◇SSL連携機能を使用する場合に必要な権限 (注7)
権限種別 | 設定を行う権限 | ||
|---|---|---|---|
アクセス権 | ターゲット名 | アクション | |
ファイル権限 | FilePermission | keystoreディレクトリ (注8) | read |
注7) SSL連携機能の詳細については、“セキュリティシステム運用ガイド”の“Portable-ORBでSSLを利用する方法”を参照してください。
注8) porbeditenvコマンドの「キーストア格納位置」で指定した格納位置、または-ORB_FJ_PORB_SSLPathパラメタで指定した格納位置を指定します。格納位置が「C:\Interstage\PORB\etc\keystore」の場合、「C:\Interstage\PORB\etc\keystore」です。キーストアの格納位置がネットワーク上(HTTP指定)である場合は、指定する必要はありません。
◇サーバアプリケーションでユーザ情報獲得用のAPIを使用する場合に必要な権限 (注9)
権限種別 | 設定を行う権限 | ||
|---|---|---|---|
アクセス権 | ターゲット名 | アクション | |
プロパティ権限 | PropertyPermission | user.name | read |
注9)ユーザ情報獲得用のAPIの詳細については、“リファレンスマニュアル(API編)”の“TD_get_user_information”、“TD::get_user_information”、“TDGETUSERINFORMATION”を参照してください。
[Policy Tool]の画面上で、メニュー[ファイル]→[保存]を選択します。
メニュー[ファイル]→[終了]を選択し、policytoolを終了します。
policytoolの初回実行時は、policytool終了前に、[Policy Tool]の画面からメニュー[ファイル]→[別名保存]を選択し、ポリシーファイルの名前と格納位置を指定する必要があります。ポリシーファイル指定の詳細については、“5.8.4 デジタル署名手順(keytool/jarsigner/policytool)”を参照してください。
