定義項目
カテゴリ | プロパティ | プロパティ名 | get | set | list |
|---|---|---|---|---|---|
× | × | ○ | |||
default-realm | ○ | ○ | × | ||
jacc | ○ | × | × | ||
× | × | ○ | |||
name | ○ | × | × | ||
classname | ○ | 注 | × | ||
レルムの追加プロパティ | |||||
jaas-context | ○ | 注 | × | ||
assign-groups | ○ | ○ | × | ||
file | ○ | × | × | ||
directory | ○ | ○ | × | ||
base-dn | ○ | ○ | × | ||
search-filter | ○ | ○ | × | ||
group-base-dn | ○ | ○ | × | ||
group-search-filter | ○ | ○ | × | ||
group-target | ○ | ○ | × | ||
com.sun.jndi.ldap.connect.pool | ○ | ○ | × | ||
運用環境のセキュリティ | |||||
module-class | ○ | ○ | × | ||
注)admin-realmの種類を変更する場合にのみ、値を変更することができます。それ以外の場合は、値を変更しないでください。
■セキュリティ
${clusterName_instanceName_configName}.security-service
デフォルトレルム
${clusterName_instanceName_configName}.security-service.default-realm
deployment descriptorにレルムを指定していない場合に、認証に使用されるレルムです。
定義済みのレルム名を指定してください。
file
JACC
${clusterName_instanceName_configName}.security-service.jacc
設定されているJACCプロバイダのクラス名です。
default
■レルム
${clusterName_instanceName_configName}.security-service.auth-realm.${name}
レルム名
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.name
レルムの名前です。
asadmin create-auth-realmサブコマンドでレルムを新規に作成する場合、レルム名は以下で構成してください。
英数字、または特殊文字(‘-’、‘_’、‘.’、‘/’、‘;’、‘#’)
先頭には、英数字または‘_’だけ指定可能
なし
本製品には、以下のレルムが事前に準備されています。
admin-realm: asadminコマンドのログイン認証時に使用するための専用のレルム
file:Java EE 7アプリケーションで使用するfileレルム
レルムクラス名
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.classname
レルムクラスの名前です。
asadmin create-auth-realmサブコマンドでレルムを新規に作成する場合、以下の値を設定してください。
fileレルムの場合
com.sun.enterprise.security.auth.realm.file.FileRealm
ldapレルムの場合
com.sun.enterprise.security.auth.realm.ldap.LDAPRealm
なし
fileレルムを使用する場合、com.sun.enterprise.security.auth.realm.file.FileRealmが指定されている必要があります。
ldapレルムを使用する場合、com.sun.enterprise.security.auth.realm.ldap.LDAPRealmが指定されている必要があります。
JAASコンテキスト
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.property.jaas-context
レルムが使用するログインモジュールのタイプを指定します。
asadmin create-auth-realmサブコマンドで新規にレルムを作る場合、--propertyオプションに以下の値を設定してください。
fileレルムの場合
fileRealm
ldapレルムの場合
ldapRealm
なし
fileレルムを使用する場合、fileRealmが指定されている必要があります。
ldapレルムを使用する場合、ldapRealmが指定されている必要があります。
グループ割り当て
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.property.assign-groups
認証済みのユーザすべてに対して割り当てるグループを指定します。複数のグループを指定する場合はカンマ(,)で区切って指定します。
グループ名は、1文字以上、255文字以内とし、以下の文字で構成してください。
英数字
アンダースコア「 _ 」
ダッシュ「 - 」
ドット文字「 . 」
複数グループを指定する場合は、カンマ「,」で区切って指定してください。
setサブコマンドで値を省略して定義項目名と「=」だけを指定して実行すると、値をなしに設定できます。認証済みのユーザすべてに対して割り当てるグループは削除されます。
なし
キーファイル
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.property.file
fileレルムのキーファイルの格納場所(ファイル名含む)を絶対パスで設定します。
${com.sun.aas.instanceRoot}/config配下のファイルを指定してください。
asadmin create-auth-realmサブコマンドで新規にfileレルムを作る場合、--propertyオプションでキーファイルを指定してください。
${com.sun.aas.instanceRoot}/configから始まるパス
本製品に、事前に準備されているレルムのキーファイルは、以下の通りです。
admin-realm: ${com.sun.aas.instanceRoot}/config/admin-keyfile
file: ${com.sun.aas.instanceRoot}/config/keyfile
なお、fileレルムを使用している場合、本定義項目が設定されていることは必須です。
ディレクトリ
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.property.directory
ldapレルムが接続するディレクトリサービスのURLを指定します。
ディレクトリサービスのURL
なし
なお、ldapレルムを使用している場合、本定義項目が設定されていることは必須です。
基本DN
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.property.base-dn
ldapレルムが接続するディレクトリサービスでユーザを検索する最上位ディレクトリのDNを指定します。
任意の文字列
なし
なお、ldapレルムを使用している場合、本定義項目が設定されていることは必須です。
ユーザを検索するための条件
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.property.search-filter
ldapレルムが接続するディレクトリサービスでユーザを検索するための条件を、「ユーザIDが設定されている属性名=%s」の形式で設定します。
任意の文字列
なし
本プロパティが設定されていない場合、「uid=%s」が設定されているものとして動作します。
グループを検索する最上位ディレクトリのDN
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.property.group-base-dn
ldapレルムが接続するディレクトリサービスでグループを検索する最上位のDNを指定します。
任意の文字列
なし
本プロパティが設定されていない場合、「基本DN」と同じDNが設定されているものとして動作します。
グループを検索するための条件
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.property.group-search-filter
ldapレルムが接続するディレクトリサービスでグループを検索するための条件を、「ユーザのdnが設定されている属性名=%d」の形式で指定します。
任意の文字列
なし
本プロパティが設定されていない場合、「uniquemember=%d」が設定されているものとして動作します。
ロールとマッピングするグループ名が設定されている属性名
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.property.group-target
ldapレルムが接続するディレクトリサービスで、ロールとマッピングするグループ名が設定されている属性名を指定します
任意の文字列
なし
本プロパティが設定されていない場合、「CN」が設定されているものとして動作します。
認証情報のプール
${clusterName_instanceName_configName}.security-service.auth-realm.${name}.property. com.sun.jndi.ldap.connect.pool
ldapレルムで認証情報をプールするかどうかを指定します。認証情報をプールしない場合、ldapレルムを使用する運用操作やアプリケーションの認証時に、ディレクトリサービスに対して毎回認証が行われます。
true: 認証情報をプールします。
false: 認証情報をプールしません。
なし
本プロパティが設定されていない場合、「true」が設定されているものとして動作します。
運用環境のログイン認証に使用するレルムクラス名
security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class
運用環境のログイン認証に使用するレルムクラス名を指定します。本定義項目を変更する場合は、admin-realmの定義項目と同時に変更する必要があります。詳細な手順は、「レルムの種類の変更方法」を参照してください。
ldapレルムの場合: com.sun.enterprise.security.auth.login.LDAPLoginModule
fileレルムの場合: com.sun.enterprise.security.auth.login.FileLoginModule
com.sun.enterprise.security.auth.login.FileLoginModule
関連情報
詳細な説明や関連記事については、以下を参照してください。
内容 | 参照先 |
|---|---|
機能説明 | |
チューニング方法 |
|
コマンド | asadminコマンドの以下のサブコマンド |
