ページの先頭行へ戻る
Interstage Application Server V12.0.0 Java EE 7 設計・構築・運用ガイド
FUJITSU Software

5.9.2 アクセス制御プロパティファイル

メッセージブローカは、ユーザおよびグループが実行可能な操作を制御(アクセス制御)することができます。

アクセス制御する場合は、アクセス制御プロパティファイルの規則に従って、ユーザおよびグループの操作にアクセス権が付与されます。
アクセス制御しない場合は、adminグループにadmin接続サービスへのアクセス権が付与され、すべてのグループにjms接続サービスへのアクセス権が付与されます。

アクセス制御するかどうかは、imq.accesscontrol.enabledプロパティで設定します。デフォルトでは、アクセス制御します。
imq.accesscontrol.enabledプロパティの詳細については、「8.7.5 セキュリティに関するプロパティ」を参照してください。


メッセージブローカは、以下の操作を行った時に、アクセス制御プロパティファイルをチェックしてアクセス制御します。

アクセス制御プロパティファイルは、以下に格納されており、メッセージブローカごとに定義します。

[Java EE 7共通ディレクトリ]\domains\domain1\imq\instances\<メッセージブローカインスタンス名>\etc\accesscontrol.properties

[Java EE 7共通ディレクトリ]/domains/domain1/imq/instances/<メッセージブローカインスタンス名>/etc/accesscontrol.properties

アクセス制御プロパティファイルでは、以下のアクセス制御を行う規則を指定できます。

注意

  • アクセス制御プロパティファイルのversionプロパティは、変更しないでください。

  • アクセス制御プロパティファイルは、Interstage Java EE 7 DASサービス/メッセージブローカを停止してから編集してください。


以降では、以下について説明します。

アクセス制御プロパティファイルに記述する規則の基本構文

アクセス制御プロパティでアクセス制御の規則を記述するための基本構文は、要素をドット(.)で連結して記述します。

各要素について、以下に説明します。

要素

意味

設定値

リソースタイプ
(resourceType)

規則を適用するリソースのタイプを指定します。

以下のいずれかを指定します。

  • connection

  • queue

  • topic

リソース名
(resourceVariant)

リソースタイプで指定したリソースを特定する名前を指定します。
特定する必要がなく、リソースタイプに該当するすべてのリソースに対してアクセス制御を有効にする場合、ワイルドカード(*)を指定することもできます。
アクセス規則の種類にcreateを指定する場合は、リソース名を省略してください。

リソース名/ワイルドカードを指定します。
以下のリソース名が有効です。

  • リソースタイプがconnectionの場合
    NORMAL/ADMIN

  • リソースタイプがqueue/topicの場合
    物理格納先の名前

アクセス規則の種類
(operation)

リソースに対するアクセス規則の種類を指定します。リソースタイプがqueue/topicの場合にだけ指定します。

以下のいずれかを指定します。

  • produce(送信)

  • consume(受信)

  • browse(検索) (注)

  • create(作成)

(注)リソースタイプがqueueの場合にだけ指定可能です。

アクセス種別
(access)

対象者に対して、アクセスを許可するか、許可しないかを指定します。

以下のいずれかを指定します。

  • allow(アクセスを許可する)

  • deny(アクセスを許可しない)

対象種別
(principalsType)

アクセス権の付与対象が、ユーザかグループかを指定します。

以下のいずれかを指定します。

  • user(ユーザ)

  • group(グループ)

対象者
(principals)

アクセス権の付与対象を指定します。カンマ(,)で区切ることにより、複数のユーザ/グループを指定できます。

  • 対象種別がuserの場合
    ユーザ名/ユーザ名のリストを指定します。

  • 対象種別がgroupの場合
    グループ名/グループ名のリストを指定します。

  • ユーザ/グループを指定する必要がない場合
    ワイルドカード(*)を指定します。

注意

アクセス制御プロパティファイルには、ASCIIコード以外を記述できません。ASCIIコードではない文字列を含むアクセス制御プロパティファイルを使用する場合、Unicodeエスケープ文字(\uXXXX)を使用してください。


アクセス制御プロパティファイルの定義規則

アクセス制御プロパティファイルのアクセス制御の定義規則について、以下に説明します。

リソースタイプがconnectionの場合の注意事項

デフォルトでは、すべてのユーザにNORMAL接続サービスへのアクセス権を付与し、adminグループに所属するユーザにADMIN接続サービスへのアクセス権を付与します。

connection.NORMAL.allow.user=*
connection.ADMIN.allow.group=admin

リソースタイプがqueueまたはtopicの場合の注意事項

デフォルトでは、すべてのユーザ/グループが、任意の物理格納先(queueまたはtopic)のアクセス権を保持しています。

queue.*.produce.allow.user=*
queue.*.consume.allow.user=*
queue.*.browse.allow.user=*
topic.*.produce.allow.user=*
topic.*.consume.allow.user=*

また、リソースタイプがqueue/topicの場合、物理格納先を自動生成するかどうかのアクセス制御を指定可能です。自動生成に関するアクセス制御のデフォルトは、すべてのユーザ/グループに、メッセージブローカに物理格納先を自動作成させるアクセス権を保持しています。
物理格納先の自動生成については、「2.19.3 物理格納先の管理」を参照してください。

queue.create.allow.user=*
topic.create.allow.user=*

注意

物理格納先の自動作成のアクセス規則と、物理格納先のアクセス規則が一致している必要があります。