ここでは、ログイン認証で使用する管理ユーザーの登録手順を説明します。
管理ユーザーの登録情報を更新した場合、asadminコマンドの認証時に指定する管理ユーザーも更新する必要があります。指定方法の詳細は、「5.2.7 管理ユーザーの指定」を参照してください。
本製品には、システム組み込みのレルムとしてadmin-realmが登録されています。
admin-realmは、asadminコマンド/GlassFish Server管理コンソールのログイン認証時に使用するための専用のレルムです。admin-realmは削除することができません。
admin-realmにはfileレルム、ldapレルムが選択できます。インストール時には、fileレルムが設定されます。admin-realmのユーザー名とパスワードの初期値はインストール時に指定します。
admin-realmのデフォルトの設定は、以下です。
レルムの種類 | ユーザー名 | パスワード | グループ名 |
|---|---|---|---|
fileレルム | 管理ユーザーID(省略:admin) | 管理者パスワード | asadmin |
admin-realmのレルムの種類を変更する場合の操作は、asadminコマンドで行う必要があります。GlassFish Server管理コンソールでは変更できません。
変更方法は、以下を参照してください。
fileレルムに変更する場合
fileレルムの設定
ldapレルムに変更する場合
ldapレルムの設定
admin-realmをfileレルムに変更する場合、以下の手順を実施します。fileレルムの詳細は、「6.3.6 fileレルムの設定」を参照してください。
すべてのGlassFish Serverクラスターを停止します。
DASのadmin-realmをfileレルムに変更するため、以下の定義項目をasadmin setサブコマンドで変更します。このとき、一回のsetサブコマンドの実行でまとめて設定を変更する必要があります。また、表の上から順に定義項目を指定する必要があります。定義項目の詳細は「セキュリティの定義項目」を参照してください。
定義項目 | 設定値 |
|---|---|
運用環境のログイン認証に使用するレルムクラス名 | com.sun.enterprise.security.auth.login.FileLoginModule |
JAASコンテキスト | fileRealm |
admin-realmのレルムクラス名 | com.sun.enterprise.security.auth.realm.file.FileRealm |
asadmin setサブコマンドを実行する際は、以下のように変更する定義項目をスペースで区切り、一行のコマンドラインで実行します。PDFで以下をコピーする場合、改行を含まないように注意してください。また、各行の末尾の-(ハイフン)が削除されている場合は補完してください。
asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.FileLoginModule server.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm |
例
C:\Interstage\glassfish5\glassfish\bin\asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.FileLoginModule server.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm |
/opt/FJSViaps/glassfish5/glassfish/bin/asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.FileLoginModule server.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm |
DASを再起動します。
GlassFish Serverクラスターのadmin-realmをfileレルムに変更するため、すべてのGlassFish Serverクラスターの定義項目をasadmin setサブコマンドで変更します。このとき、GlassFish Serverクラスターにつき一回のsetサブコマンドの実行でまとめて設定を変更する必要があります。また、表の上から順に定義項目を指定する必要があります。
定義項目 | 設定値 |
|---|---|
JAASコンテキスト | fileRealm |
admin-realmのレルムクラス名 | com.sun.enterprise.security.auth.realm.file.FileRealm |
asadmin setサブコマンドを実行する際は、以下のように変更する定義項目をスペースで区切り、一行のコマンドラインで実行します。${clusterName}にはGlassFish Serverクラスター名を指定してください。PDFで以下をコピーする場合、改行を含まないように注意してください。また、各行の末尾の-(ハイフン)が削除されている場合は補完してください。
asadmin set ${clusterName}.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm ${clusterName}.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm |
例
Cluster001のadmin-realmをfileレルムに変更する場合
C:\Interstage\glassfish5\glassfish\bin\asadmin set Cluster001.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm Cluster001.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm |
/opt/FJSViaps/glassfish5/glassfish/bin/asadmin set Cluster001.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm Cluster001.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm |
必要に応じて、fileレルムのユーザーの作成/削除/更新/一覧表示、グループの一覧表示に対応する以下のサブコマンドを実行してください。
create-file-user
delete-file-user
update-file-user
list-file-users
list-file-groups
注意
上記のサブコマンドを使用して管理ユーザーを管理する場合、--authrealmnameオプションに「admin-realm」を指定してください。
「グループの割り当て」について
--authrealmnameオプションに「admin-realm」を指定した場合、ユーザーは強制的にasadminグループに割り当てられます。
ユーザーアカウント作成時の注意事項
パスワード
8~20文字(推奨値)以内で指定してください。
ユーザーの削除
admin-realmには、最低1名は登録されている必要があります。最後の1名を削除した場合、運用操作ができなくなるため、削除しないでください。
管理ユーザーのパスワード変更方法
管理ユーザーのパスワードは、change-admin-passwordサブコマンドを実行して変更できます。
admin-realmをldapレルムに変更する場合、以下の手順を実施します。ldapレルムの詳細は、「ldapレルムの設定」を参照してください。
ディレクトリサービスに、ユーザーとasadminグループを追加します。ユーザーは、asadminグループに所属させます。
すべてのGlassFish Serverクラスターを停止します。
DASのadmin-realmをldapレルムに変更するため、以下の定義項目をasadmin setサブコマンドで変更します。このとき、一回のsetサブコマンドの実行でまとめて設定を変更する必要があります。また、表の上から順に定義項目を指定する必要があります。定義項目の詳細は「セキュリティの定義項目」を参照してください。
定義項目 | 設定値 |
|---|---|
運用環境のログイン認証に使用するレルムクラス名 | com.sun.enterprise.security.auth.login.LDAPLoginModule |
接続するディレクトリサービスのURL | ディレクトリサービスに合わせて設定 |
ユーザを検索する最上位ディレクトリのDN | ディレクトリサービスに合わせて設定 |
グループを検索する最上位ディレクトリのDN | ディレクトリサービスに合わせて設定 |
グループを検索するための条件 | ディレクトリサービスに合わせて設定 |
JAASコンテキスト | ldapRealm |
admin-realmのレルムクラス名 | com.sun.enterprise.security.auth.realm.ldap.LDAPRealm |
asadmin setサブコマンドを実行する際は、以下のように変更する定義項目をスペースで区切り、一行のコマンドラインで実行します。PDFで以下をコピーする場合、改行を含まないように注意してください。また、各行の末尾の-(ハイフン)が削除されている場合は補完してください。
asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.LDAPLoginModule server.security-service.auth-realm.admin-realm.property.directory=接続するディレクトリサービスのURL server.security-service.auth-realm.admin-realm.property.base-dn=ユーザを検索する最上位ディレクトリのDN server.security-service.auth-realm.admin-realm.property.group-base-dn=グループを検索する最上位ディレクトリのDN server.security-service.auth-realm.admin-realm.property.group-search-filter=グループを検索するための条件 server.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm |
例
ディレクトリサービスに以下で管理ユーザーを登録した場合
接続するディレクトリサービスのURL: ldap://localhost:389
ユーザを検索する最上位ディレクトリのDN: ou=interstage,o=fujitsu,dc=com
グループを検索する最上位ディレクトリのDN: ou=Group,ou=interstage,o=fujitsu,dc=com
グループを検索するための条件: member=%d
C:\Interstage\glassfish5\glassfish\bin\asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.LDAPLoginModule server.security-service.auth-realm.admin-realm.property.directory=ldap://localhost:389 server.security-service.auth-realm.admin-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com server.security-service.auth-realm.admin-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com server.security-service.auth-realm.admin-realm.property.group-search-filter=member=%d server.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm |
/opt/FJSViaps/glassfish5/glassfish/bin/asadmin set security-configurations.authentication-service.adminAuth.security-provider.adminFile.login-module-config.adminFileLM.module-class=com.sun.enterprise.security.auth.login.LDAPLoginModule server.security-service.auth-realm.admin-realm.property.directory=ldap://localhost:389 server.security-service.auth-realm.admin-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com server.security-service.auth-realm.admin-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com server.security-service.auth-realm.admin-realm.property.group-search-filter=member=%d server.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm server.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm |
DASを再起動します。
GlassFish Serverクラスターのadmin-realmをldapレルムに変更するため、すべてのGlassFish Serverクラスターの定義項目をasadmin setサブコマンドで変更します。このとき、GlassFish Serverクラスターにつき一回のsetサブコマンドの実行でまとめて設定を変更する必要があります。また、表の上から順に定義項目を指定する必要があります。
定義項目 | 設定値 |
|---|---|
接続するディレクトリサービスのURL | ディレクトリサービスに合わせて設定 |
ユーザを検索する最上位ディレクトリのDN | ディレクトリサービスに合わせて設定 |
グループを検索する最上位ディレクトリのDN | ディレクトリサービスに合わせて設定 |
グループを検索するための条件 | ディレクトリサービスに合わせて設定 |
JAASコンテキスト | ldapRealm |
admin-realmのレルムクラス名 | com.sun.enterprise.security.auth.realm.ldap.LDAPRealm |
asadmin setサブコマンドを実行する際は、以下のように変更する定義項目をスペースで区切り、一行のコマンドラインで実行します。${clusterName}にはGlassFish Serverクラスター名を指定してください。PDFで以下をコピーする場合、改行を含まないように注意してください。また、各行の末尾の-(ハイフン)が削除されている場合は補完してください。
asadmin set ${clusterName}.security-service.auth-realm.admin-realm.property.directory=接続するディレクトリサービスのURL ${clusterName}.security-service.auth-realm.admin-realm.property.base-dn=ユーザを検索する最上位ディレクトリのDN ${clusterName}.security-service.auth-realm.admin-realm.property.group-base-dn=グループを検索する最上位ディレクトリのDN ${clusterName}.security-service.auth-realm.admin-realm.property.group-search-filter=グループを検索するための条件 ${clusterName}.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm ${clusterName}.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm |
例
Cluster001のadmin-realmをldapレルムに変更する場合
C:\Interstage\glassfish5\glassfish\bin\asadmin set Cluster001.security-service.auth-realm.admin-realm.property.directory=ldap://localhost:389 Cluster001.security-service.auth-realm.admin-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com Cluster001.security-service.auth-realm.admin-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com Cluster001.security-service.auth-realm.admin-realm.property.group-search-filter=member=%d Cluster001.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm Cluster001.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm |
/opt/FJSViaps/glassfish5/glassfish/bin/asadmin set Cluster001.security-service.auth-realm.admin-realm.property.directory=ldap://localhost:389 Cluster001.security-service.auth-realm.admin-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com Cluster001.security-service.auth-realm.admin-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com Cluster001.security-service.auth-realm.admin-realm.property.group-search-filter=member=%d Cluster001.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm Cluster001.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm |
注意
「グループ割り当て」について
「セキュリティの定義項目」の「グループ割り当て」にasadminグループを指定した場合、ディレクトリサービスへの問い合わせ結果でヒットした全ユーザーに、強制的にasadminグループが割り当てられます。そのため、ディレクトリサービス上でユーザーがasadminグループに所属していない場合でも運用操作が可能となります。ディレクトリサービスでのグループに基づくログイン制限が不要な場合にのみ「グループ割り当て」を指定することを推奨します。
サービスの自動起動について
admin-realmにldapレルムを使用している場合、DASの操作時やGlassFish Serverクラスターの起動時にディレクトリサービスを利用した認証が行われるため、DASの操作やGlassFish Serverクラスターの起動よりも前にディレクトリサービスの起動が完了している必要があります。
「PCMIサービスの起動時/停止時の出口機能」を利用してシステム起動時にDASの操作やGlassFish Serverクラスターの起動をしている場合は、ディレクトリサービスの後にPCMIサービスが起動されるように、システム起動時のサービス自動起動の順番を設定するようにしてください。
ldapレルムに変更後に認証に失敗する場合について
「12.3.5 認証に失敗する旨のメッセージが出力される場合」を参照し、対処を行ってください。
DASの再起動
admin-realmの設定を変更した場合は、DASの再起動を行ってください。
loginサブコマンドの再実行
以下に該当する操作により管理ユーザーの情報が変更されても、loginサブコマンドで生成/更新されるpassファイル、および設定されているサービス管理ユーザーの情報には反映されません。
管理ユーザーの増減、所属するグループの変更、またはパスワードの更新を行った。
必要に応じて再度loginサブコマンドを実行してください。
また、Java VMプロセスの生死監視機能の「プロセスの自動再起動」に自動再起動する(デフォルト)を設定している場合、管理ユーザーの情報更新後にlogin --pcmiサブコマンドを実行してpassファイルを更新してください。詳細は、「2.5.1 Java VMプロセスの生死監視」を参照してください。
長いパスワード
推奨値(8~20文字)を超えるパスワードを使用した場合、正常に動作しない可能性があります。
管理ユーザーID、管理者パスワードに使用可能な文字
管理ユーザーIDは、1文字以上、255文字以内とし、以下の文字で構成してください。
英数字
アンダースコア「_」
ハイフン「-」
ピリオド「.」
管理者パスワードに使用可能な文字については「10.1.17.1 change-admin-passwordサブコマンド」を参照してください。
パスワードの推奨値については、「1.4.5 GlassFishで使用するパスワードに関する注意事項」を参照してください。
