ページの先頭行へ戻る
Interstage Application Server Java EE運用ガイド(Java EE 6編)
Interstage

6.5.2 アクセス制御プロパティファイル

アクセス制御プロパティファイルには、ユーザおよびグループがどの操作を実行可能であるかを指定します。メッセージブローカごとに異なるアクセス制御プロパティファイルが使用できます。

メッセージブローカは、以下の操作を行った時に、アクセス制御プロパティファイルをチェックします。

アクセス制御プロパティファイルは、以下に格納されます。

[Java EE 6共通ディレクトリ]\domains\domain1\imq\instances\imqbroker\etc\accesscontrol.properties

[Java EE 6共通ディレクトリ]/domains/domain1/imq/instances/imqbroker/etc/accesscontrol.properties

アクセス制御プロパティファイルでは、以下のアクセス制御を行う規則を指定できます。

注意

  • アクセス制御プロパティファイルのversionプロパティは、変更しないでください。

  • アクセス制御プロパティファイルは、Interstage Java EE 6 DASサービスを停止してから編集してください。


以降では、以下について説明します。

アクセス制御プロパティファイルに記述する規則の基本構文

アクセス制御プロパティでアクセス制御の規則を記述するための基本構文は、要素をドット(.)で連結して記述します。

各要素について、以下に説明します。

要素

意味

設定値

リソースタイプ
(resourceType)

規則を適用するリソースのタイプを指定します。

以下のいずれかを指定します。

  • connection

  • queue

  • topic

リソース名
(resourceVariant)

リソースタイプで指定したリソースを特定する名前を指定します。
特定する必要がなく、リソースタイプに該当するすべてのリソースに対してアクセス制御を有効にする場合、ワイルドカード(*)を指定することもできます。
アクセス規則の種類にcreateを指定する場合は、リソース名を省略してください。

リソース名/ワイルドカードを指定します。
以下のリソース名が有効です。

  • リソースタイプがconnectionの場合
    NORMAL/ADMIN

  • リソースタイプがqueue/topicの場合
    物理接続先の名前

アクセス規則の種類
(opeartion)

リソースに対するアクセス規則の種類を指定します。リソースタイプがqueue/topicの場合にだけ指定します。

以下のいずれかを指定します。

  • produce(送信)

  • consume(受信)

  • browse(検索) (注)

  • create(作成)

(注)リソースタイプがqueueの場合にだけ指定可能です。

アクセス種別
(access)

対象者に対して、アクセスを許可するか、許可しないかを指定します。

以下のいずれかを指定します。

  • allow(アクセスを許可する)

  • deny(アクセスを許可しない)

対象種別
(principalsType)

アクセス権の付与対象が、ユーザかグループかを指定します。

以下のいずれかを指定します。

  • user(ユーザ)

  • group(グループ)

対象者
(principals)

アクセス権の付与対象を指定します。カンマ(,)で区切ることにより、複数のユーザ/グループを指定できます。

  • 対象種別がuserの場合
    ユーザ名/ユーザ名のリストを指定します。

  • 対象種別がgroupの場合
    グループ名/グループ名のリストを指定します。

  • ユーザ/グループを指定する必要がない場合
    ワイルドカード(*)を指定します。

注意

アクセス制御プロパティファイルには、ASCIIコード以外を記述できません。ASCIIコードではない文字列を含むアクセス制御プロパティファイルを使用する場合、Unicodeエスケープ文字(\uXXXX)を使用してください。


アクセス制御プロパティファイルの定義規則

アクセス制御プロパティファイルのアクセス制御の定義規則について、以下に説明します。

リソースタイプがconnectionの場合の注意事項

デフォルトでは、すべてのユーザにNORMAL接続サービスへのアクセス権を付与し、adminグループに所属するユーザにADMIN接続サービスへのアクセス権を付与します。

connection.NORMAL.allow.user=*
connection.ADMIN.allow.group=admin

ADMIN接続サービスへのアクセス権を付与する方法は、ユーザリポジトリにより、設定方法が異なります。

単層型ファイルリポジトリ

リソースタイプがqueueまたはtopicの場合の注意事項

デフォルトでは、すべてのユーザ/グループが、任意の物理格納先(queueまたはtopic)のアクセス権を保持しています。

queue.*.produce.allow.user=*
queue.*.consume.allow.user=*
queue.*.browse.allow.user=*
topic.*.produce.allow.user=*
topic.*.consume.allow.user=*

また、リソースタイプがqueue/topicの場合、物理格納先を自動生成するかどうかのアクセス制御を指定可能です。自動生成に関するアクセス制御のデフォルトは、すべてのユーザ/グループに、メッセージブローカに物理格納先を自動作成させるアクセス権を保持しています。
物理格納先の自動生成については、「3.12.3 物理格納先の管理」を参照してください。

queue.create.allow.user=*
topic.create.allow.user=*

注意

物理格納先の自動作成のアクセス規則と、物理格納先のアクセス規則が一致している必要があります。