ページの先頭行へ戻る
Interstage Application Server V12.0.0 Java EE 7 設計・構築・運用ガイド
FUJITSU Software

5.2.6 管理ユーザーの登録

ここでは、ログイン認証で使用する管理ユーザーの登録手順を説明します。
管理ユーザーの登録情報を更新した場合、asadminコマンドの認証時に指定する管理ユーザーも更新する必要があります。指定方法の詳細は、「5.2.7 管理ユーザーの指定」を参照してください。

5.2.6.1 ログイン認証のためのレルム

本製品には、システム組み込みのレルムとしてadmin-realmが登録されています。
admin-realmは、asadminコマンド/Interstage Java EE 7管理コンソールのログイン認証時に使用するための専用のレルムです。admin-realmは削除することができません。

admin-realmにはfileレルム、ldapレルムが選択できます。インストール時には、fileレルムが設定されます。admin-realmのユーザ名とパスワードの初期値はインストール時に指定します。

admin-realmのデフォルトの設定は、以下です。

レルムの種類

ユーザ名

パスワード

グループ名

fileレルム

管理ユーザーID(省略:admin)

管理者パスワード

asadmin

5.2.6.2 レルムの種類の変更方法

admin-realmのレルムの種類を変更する場合の操作は、asadminコマンドで行う必要があります。Interstage Java EE 7管理コンソールでは変更できません。

変更方法は、以下を参照してください。

5.2.6.3 fileレルムの設定

admin-realmをfileレルムに変更する場合、以下の手順を実施します。fileレルムの詳細は、「6.3.6 fileレルムの設定」を参照してください。

  1. すべてのIJServerクラスタを停止します。

  2. Interstage Java EE 7 DASサービスのadmin-realmをfileレルムに変更するため、以下の定義項目をasadmin setサブコマンドで変更します。このとき、一回のsetサブコマンドの実行でまとめて設定を変更する必要があります。また、表の上から順に定義項目を指定する必要があります。定義項目の詳細は「セキュリティの定義項目」を参照してください。

    定義項目

    設定値

    運用環境のログイン認証に使用するレルムクラス名

    com.sun.enterprise.security.auth.login.FileLoginModule

    JAASコンテキスト

    fileRealm

    admin-realmのレルムクラス名

    com.sun.enterprise.security.auth.realm.file.FileRealm

    asadmin setサブコマンドを実行する際は、以下のように変更する定義項目をスペースで区切り、一行のコマンドラインで実行します。PDFで以下をコピーする場合、改行を含まないように注意してください。また、各行の末尾の-(ハイフン)が削除されている場合は補完してください。

    asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.FileLoginModule server.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm

    C:\Interstage\F3FMisje7\glassfish\bin\asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.FileLoginModule server.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm

    /opt/FJSVisje7/glassfish/bin/asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.FileLoginModule server.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm

  3. Interstage Java EE 7 DASサービスを再起動します。

  4. IJServerクラスタのadmin-realmをfileレルムに変更するため、すべてのIJServerクラスタの定義項目をasadmin setサブコマンドで変更します。このとき、IJServerクラスタにつき一回のsetサブコマンドの実行でまとめて設定を変更する必要があります。また、表の上から順に定義項目を指定する必要があります。

    定義項目

    設定値

    JAASコンテキスト

    fileRealm

    admin-realmのレルムクラス名

    com.sun.enterprise.security.auth.realm.file.FileRealm

    asadmin setサブコマンドを実行する際は、以下のように変更する定義項目をスペースで区切り、一行のコマンドラインで実行します。${clusterName}にはIJServerクラスタ名を指定してください。PDFで以下をコピーする場合、改行を含まないように注意してください。また、各行の末尾の-(ハイフン)が削除されている場合は補完してください。

    asadmin set ${clusterName}.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm ${clusterName}.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm

    IJServer001のadmin-realmをfileレルムに変更する場合

    C:\Interstage\F3FMisje7\glassfish\bin\asadmin set IJServer001.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm IJServer001.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm

    /opt/FJSVisje7/glassfish/bin/asadmin set IJServer001.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm IJServer001.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm

  5. 必要に応じて、fileレルムのユーザの作成/削除/更新/一覧表示、グループの一覧表示に対応する以下のサブコマンドを実行してください。

    • create-file-user

    • delete-file-user

    • update-file-user

    • list-file-users

    • list-file-groups

    注意

    • 上記のサブコマンドを使用して管理ユーザを管理する場合、--authrealmnameオプションに「admin-realm」を指定してください。

    • 「グループの割り当て」について

      --authrealmnameオプションに「admin-realm」を指定した場合、ユーザーは強制的にasadminグループに割り当てられます。

    • ユーザアカウント作成時の注意事項

      • パスワード
        8~20文字(推奨値)以内で指定してください。

      • ユーザの削除
        admin-realmには、最低1名は登録されている必要があります。最後の1名を削除した場合、運用操作ができなくなるため、削除しないでください。

管理ユーザーのパスワード変更方法

管理ユーザーのパスワードは、change-admin-passwordサブコマンドを実行して変更できます。

5.2.6.4 ldapレルムの設定

admin-realmをldapレルムに変更する場合、以下の手順を実施します。ldapレルムの詳細は、「ldapレルムの設定」を参照してください。

  1. ディレクトリサービスに、ユーザとasadminグループを追加します。ユーザは、asadminグループに所属させます。

  2. すべてのIJServerクラスタを停止します。

  3. Interstage Java EE 7 DASサービスのadmin-realmをldapレルムに変更するため、以下の定義項目をasadmin setサブコマンドで変更します。このとき、一回のsetサブコマンドの実行でまとめて設定を変更する必要があります。また、表の上から順に定義項目を指定する必要があります。定義項目の詳細は「セキュリティの定義項目」を参照してください。

    定義項目

    設定値

    運用環境のログイン認証に使用するレルムクラス名

    com.sun.enterprise.security.auth.login.LDAPLoginModule

    接続するディレクトリサービスのURL

    ディレクトリサービスに合わせて設定

    ユーザを検索する最上位ディレクトリのDN

    ディレクトリサービスに合わせて設定

    グループを検索する最上位ディレクトリのDN

    ディレクトリサービスに合わせて設定

    グループを検索するための条件

    ディレクトリサービスに合わせて設定

    JAASコンテキスト

    ldapRealm

    admin-realmのレルムクラス名

    com.sun.enterprise.security.auth.realm.ldap.LDAPRealm

    asadmin setサブコマンドを実行する際は、以下のように変更する定義項目をスペースで区切り、一行のコマンドラインで実行します。PDFで以下をコピーする場合、改行を含まないように注意してください。また、各行の末尾の-(ハイフン)が削除されている場合は補完してください。

    asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.LDAPLoginModule server.security-service.auth-realm.admin-realm.property.directory=接続するディレクトリサービスのURL server.security-service.auth-realm.admin-realm.property.base-dn=ユーザを検索する最上位ディレクトリのDN server.security-service.auth-realm.admin-realm.property.group-base-dn=グループを検索する最上位ディレクトリのDN server.security-service.auth-realm.admin-realm.property.group-search-filter=グループを検索するための条件 server.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm

    ディレクトリサービスに以下で管理ユーザーを登録した場合

    接続するディレクトリサービスのURL: ldap://localhost:389

    ユーザを検索する最上位のディレクトリのDN: ou=interstage,o=fujitsu,dc=com

    グループを検索する最上位ディレクトリのDN: ou=Group,ou=interstage,o=fujitsu,dc=com

    グループを検索するための条件: member=%d

    C:\Interstage\F3FMisje7\glassfish\bin\asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.LDAPLoginModule server.security-service.auth-realm.admin-realm.property.directory=ldap://localhost:389 server.security-service.auth-realm.admin-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com server.security-service.auth-realm.admin-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com server.security-service.auth-realm.admin-realm.property.group-search-filter=member=%d server.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm

    /opt/FJSVisje7/glassfish/bin/asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.LDAPLoginModule server.security-service.auth-realm.admin-realm.property.directory=ldap://localhost:389 server.security-service.auth-realm.admin-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com server.security-service.auth-realm.admin-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com server.security-service.auth-realm.admin-realm.property.group-search-filter=member=%d server.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm

  4. Interstage Java EE 7 DASサービスを再起動します。

  5. IJServerクラスタのadmin-realmをldapレルムに変更するため、すべてのIJServerクラスタの定義項目をasadmin setサブコマンドで変更します。このとき、IJServerクラスタにつき一回のsetサブコマンドの実行でまとめて設定を変更する必要があります。また、表の上から順に定義項目を指定する必要があります。

    定義項目

    設定値

    接続するディレクトリサービスのURL

    ディレクトリサービスに合わせて設定

    ユーザを検索する最上位ディレクトリのDN

    ディレクトリサービスに合わせて設定

    グループを検索する最上位ディレクトリのDN

    ディレクトリサービスに合わせて設定

    グループを検索するための条件

    ディレクトリサービスに合わせて設定

    JAASコンテキスト

    ldapRealm

    admin-realmのレルムクラス名

    com.sun.enterprise.security.auth.realm.ldap.LDAPRealm

    asadmin setサブコマンドを実行する際は、以下のように変更する定義項目をスペースで区切り、一行のコマンドラインで実行します。${clusterName}にはIJServerクラスタ名を指定してください。PDFで以下をコピーする場合、改行を含まないように注意してください。また、各行の末尾の-(ハイフン)が削除されている場合は補完してください。

    asadmin set ${clusterName}.security-service.auth-realm.admin-realm.property.directory=接続するディレクトリサービスのURL ${clusterName}.security-service.auth-realm.admin-realm.property.base-dn=ユーザを検索する最上位ディレクトリのDN ${clusterName}.security-service.auth-realm.admin-realm.property.group-base-dn=グループを検索する最上位ディレクトリのDN ${clusterName}.security-service.auth-realm.admin-realm.property.group-search-filter=グループを検索するための条件 ${clusterName}.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm ${clusterName}.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm

    IJServer001のadmin-realmをldapレルムに変更する場合

    C:\Interstage\F3FMisje7\glassfish\bin\asadmin set IJServer001.security-service.auth-realm.admin-realm.property.directory=ldap://localhost:389 IJServer001.security-service.auth-realm.admin-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com IJServer001.security-service.auth-realm.admin-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com IJServer001.security-service.auth-realm.admin-realm.property.group-search-filter=member=%d IJServer001.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm IJServer001.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm

    /opt/FJSVisje7/glassfish/bin/asadmin set IJServer001.security-service.auth-realm.admin-realm.property.directory=ldap://localhost:389 IJServer001.security-service.auth-realm.admin-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com IJServer001.security-service.auth-realm.admin-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com IJServer001.security-service.auth-realm.admin-realm.property.group-search-filter=member=%d IJServer001.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm IJServer001.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm

注意

  • 「グループ割り当て」について

    「セキュリティの定義項目」の「グループ割り当て」にasadminグループを指定した場合、ディレクトリサービスへの問い合わせ結果でヒットした全ユーザに、強制的にasadminグループが割り当てられます。そのため、ディレクトリサービス上でユーザがasadminグループに所属していない場合でも運用操作が可能となります。ディレクトリサービスでのグループに基づくログイン制限が不要な場合にのみ「グループ割り当て」を指定することを推奨します。

  • サービスの自動起動について

    admin-realmにldapレルムを使用している場合、Interstage Java EE 7 DASサービスの操作時やIJServerクラスタの起動時にディレクトリサービスを利用した認証が行われるため、Interstage Java EE 7 DASサービスの操作やIJServerクラスタの起動よりも前にディレクトリサービスの起動が完了している必要があります。

    「PCMIサービスの起動時/停止時の出口機能」を利用してシステム起動時にInterstage Java EE 7 DASサービスの操作やIJServerクラスタの起動をしている場合は、ディレクトリサービスの後にPCMIサービスが起動されるように、システム起動時のサービス自動起動の順番を設定するようにしてください。

  • ldapレルムに変更後に認証に失敗する場合について

    12.3.5 認証に失敗する旨のメッセージが出力される場合」を参照し、対処を行ってください。

5.2.6.5 admin-realmおよび管理ユーザーの情報更新時の注意

Interstage Java EE 7 DAS サービスの再起動

admin-realmの設定を変更した場合は、Interstage Java EE 7 DAS サービスの再起動を行ってください。

loginサブコマンドの再実行

以下に該当する操作により管理ユーザーの情報が変更されても、loginサブコマンドで生成/更新されるpassファイル、および設定されているサービス管理ユーザーの情報には反映されません。

必要に応じて再度loginサブコマンドを実行してください。

また、Java VMプロセスの生死監視機能の「プロセスの自動再起動」に自動再起動する(デフォルト)を設定している場合、管理ユーザの情報更新後にlogin --pcmiサブコマンドを実行してpassファイルを更新してください。詳細は、「2.5.1 Java VMプロセスの生死監視」を参照してください。

長いパスワード

推奨値(8~20文字)を超えるパスワードを使用した場合、正常に動作しない可能性があります。

管理ユーザーID、管理者パスワードに使用可能な文字

管理ユーザーIDは、1文字以上、255文字以内とし、以下の文字で構成してください。

また、管理者パスワードには、マルチバイト文字、および空白や制御コードは使用できません。
パスワードの推奨値については、「1.4.5 Java EE 7で使用するパスワードに関する注意事項」を参照してください。