14.2.1 jaas.conf(JAASのコンフィグレーションファイル)
- 〈この項の構成〉
(1) 形式
ユーザ認証ライブラリおよびシングルサインオンライブラリの機能を使用するために必要なJAASのコンフィグレーションファイルです。
次のようにオプションを指定します。
Application {
ログインモジュール名 Flag ModuleOptions;
};
(2) ファイルの格納先
-
Windowsの場合
<Application Serverのインストールディレクトリ>\manager\config\
-
UNIXの場合
/opt/Cosminexus/manager/config/
(3) 機能
ユーザ認証ライブラリおよびシングルサインオンライブラリの機能を使用するために必要な設定をします。JAASのコンフィグレーションファイルは,運用前に作成し,各ホストに配布する必要があります。その際,盗聴のおそれがあるため,配布の際には注意が必要です。
(4) 指定できるオプション
オプションの名称と内容を次の表に示します。
|
オプション名 |
内容 |
|---|---|
|
アプリケーション名を指定します。アプリケーションが特定できる名称を使用することを推奨します。なお,ここで指定した名称は,LoginContextクラスのインスタンス化時に使用されます。 Application Serverでは,次に示す文字列で始まる名称を使用します。そのため,アプリケーション名にこれらの文字列で始まる名称を指定しないでください。
|
|
|
使用する認証エンジンを指定します。 次のどれかのログインモジュールを指定してください。
|
|
|
LoginContextが呼び出したログインモジュールの正否によって動作を変えるためのフラグを指定します。指定するフラグの詳細については,JAASのドキュメントを参照してください。 |
|
|
ログインモジュールが実行する際に必要なオプションを指定します。指定するオプションの詳細については,「(5) WebPasswordLoginModuleに指定するオプション」〜「(10) WebPasswordLDAPLoginModuleに指定するオプション」に示します。 |
(5) WebPasswordLoginModuleに指定するオプション
WebPasswordLoginModuleに指定するオプションとデフォルト値を次に示します。
|
オプション |
内容 |
デフォルト値 |
|---|---|---|
|
「14.2.2(3) リポジトリアクセス用パラメタ」で定義したLDAP設定番号を指定します。指定する値は,ユーザ情報リポジトリを参照可能な設定を,識別する番号です。ただし,ここで指定する値は""で囲む必要があります。コンマ(,)で区切ることでLDAP設定番号を複数指定できます。複数指定すると,最初に指定されたLDAPディレクトリサーバがダウンした場合に自動的に切り替えができます。ここで指定された値は,WebPasswordLoginModuleを利用してログインする場合などのリポジトリの参照が必要な機能で使用されます。 |
0 |
|
|
「14.2.2(3) リポジトリアクセス用パラメタ」で定義したLDAP設定番号を指定します。指定する値は,ユーザ情報リポジトリを更新可能な設定を,識別する番号です。ただし,ここで指定する値は""で囲む必要があります。コンマ(,)で区切ることでLDAP設定番号を複数指定できます。複数指定すると,最初に指定されたLDAPディレクトリサーバがダウンした場合に自動的に切り替えができます。ここで指定された値は,パスワードの変更機能などの,リポジトリの内容を管理するための機能で使用されます。 |
0 |
|
|
「14.2.2(3) リポジトリアクセス用パラメタ」で定義したLDAP設定番号を指定します。このオプションは,PasswordUtilクラスを使ってパスワードを変更するときにシングルサインオン用の認証情報も変更する場合,かつシングルサインオン用の認証情報変更にLDAP接続フェールオーバを利用する場合に指定してください。指定する値は,シングルサインオン情報リポジトリを更新可能な設定を,識別する番号です。ただし,ここで指定する値は""で囲む必要があります。コンマ(,)で区切ることでLDAP設定番号を複数指定できます。複数指定すると,最初に指定されたLDAPディレクトリサーバがダウンした場合に自動的に切り替えができます。 なお,この値は統合ユーザ管理のコンフィグレーションファイルのcom.cosminexus.admin.auth.sso.ldap.wで指定した値よりも優先されます。 |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
|
|
認証するレルムを文字列で指定します。 |
なし |
|
|
該当レルムにログインしたユーザのパスワードを統合ユーザ管理のセッションに保持するかどうかを,trueまたはfalseで指定します。大文字と小文字は区別されません。 trueを指定した場合は保持します。falseを指定した場合は保持しません。なお,trueを指定しても,該当レルムですでにログインしている場合,すでに保持しているパスワードを上書きすることはありません。パスワードを保持しない場合,同一セッションの同一レルムに2回目以降WebPasswordLDAPLoginModuleを使用してログインするとき,ユーザIDとパスワードの入力が必要になります。 なお,ここで指定された値は統合ユーザ管理のコンフィグレーションファイルのcom.cosminexus.admin.auth.keep_passwordで指定された値よりも優先されます。 |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
|
|
com.cosminexus.admin.auth.keep_passwordにtrueを指定した場合,パスワードを保持するときに暗号化するかどうかを,trueまたはfalseで指定します。大文字と小文字は区別されません。 trueを指定した場合はパスワードを暗号化します。 falseを指定した場合は暗号化しません。 なお,ここで指定された値は統合ユーザ管理のコンフィグレーションファイルのcom.cosminexus.admin.auth.keep_password.encryptで指定された値よりも優先されます。 |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
|
|
統合ユーザ管理のセッションフェイルオーバ機能が有効,かつcom.cosminexus.admin.auth.keep_passwordにtrueを指定した場合に,統合ユーザ管理のセッションに保持したパスワードをセッションフェイルオーバの対象にするかどうかを指定します。
セッションフェイルオーバをした場合,同一セッションの同一レルムにWebPasswordLDAPLoginModuleを使用してログインするとき,2回目以降はユーザIDとパスワードの入力が必要になります。 (指定例) com.cosminexus.admin.auth.gsession.keep_password=true |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
(6) WebSSOLoginModuleに指定するオプション
WebSSOLoginModuleに指定するオプションとデフォルト値を次に示します。
|
オプション |
内容 |
デフォルト値 |
|---|---|---|
|
WebSSOLoginModuleから呼び出すログインモジュールの識別子を指定します。ここで指定された識別子を基にJAAS対応ユーザ管理の設定ファイルから必要な情報を読み込みます。 なお,この指定が省略されていた場合は,標準ログインモジュール(WebPasswordLoginModule)を仮定します。 |
WebPasswordLoginModule |
|
|
「14.2.2(3) リポジトリアクセス用パラメタ」で定義したLDAP設定番号を指定します。指定する値は,シングルサインオン情報リポジトリを参照可能な設定を,識別する番号です。ただし,ここで指定する値は""で囲む必要があります。コンマ(,)で区切ることでLDAP設定番号を複数指定できます。複数指定すると,最初に指定されたLDAPディレクトリサーバがダウンした場合に自動的に切り替えができます。ここで指定された値は,WebSSOLoginModuleを利用してシングルサインオンをする場合などのリポジトリの参照が必要な機能で使用されます。 なお,この値は統合ユーザ管理のコンフィグレーションファイルのcom.cosminexus.admin.auth.sso.ldap.rで指定した値よりも優先されます。 |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
|
|
「14.2.2(3) リポジトリアクセス用パラメタ」で定義したLDAP設定番号を指定します。指定する値は,シングルサインオン情報リポジトリを更新可能な設定を,識別する番号です。ただし,ここで指定する値は""で囲む必要があります。コンマ(,)で区切ることでLDAP設定番号を複数指定できます。複数指定すると,最初に指定されたLDAPディレクトリサーバがダウンした場合に自動的に切り替えができます。ここで指定された値は,パスワードの変更機能などの,リポジトリの更新が必要な機能で使用されます。 なお,この値は統合ユーザ管理のコンフィグレーションファイルのcom.cosminexus.admin.auth.sso.ldap.wで指定した値よりも優先されます。 |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
|
|
認証するレルムを,文字列で指定します。 |
なし |
(7) DelegationLoginModuleに指定するオプション
DelegationLoginModuleに指定するオプションとデフォルト値を次に示します。
|
オプション |
内容 |
デフォルト値 |
|---|---|---|
|
DelegationLoginModuleが呼び出すカスタムログインモジュール名(クラス名)を,文字列で指定します。指定は,完全限定名(fully qualified name)で記述してください。 |
なし |
|
|
認証するレルムを,文字列で指定します。 |
なし |
(8) WebCertificateLoginModuleに指定するオプション
WebCertificateLoginModuleに指定するオプションとデフォルト値を次に示します。
|
オプション |
内容 |
デフォルト値 |
|---|---|---|
|
「14.2.2(3) リポジトリアクセス用パラメタ」で定義したLDAP設定番号を指定します。指定する値は,ユーザ情報リポジトリを参照可能な設定を,識別する番号です。ただし,ここで指定する値は""で囲む必要があります。コンマ(,)で区切ることでLDAP設定番号を複数指定できます。複数指定すると,最初に指定されたLDAPディレクトリサーバがダウンした場合に自動的に切り替えができます。ここで指定された値は,WebCertificateLoginModuleを利用してログインする場合などのリポジトリの参照が必要な機能で使用されます。 |
0 |
|
|
認証するレルムを,文字列で指定します。 |
なし |
(9) WebPasswordJDBCLoginModuleに指定するオプション
WebPasswordJDBCLoginModuleに指定するオプションとデフォルト値を次に示します。
|
オプション |
内容 |
デフォルト値 |
|---|---|---|
|
「14.2.2(3) リポジトリアクセス用パラメタ」で定義したJDBC設定番号を指定します。指定する値は,ユーザ情報リポジトリを参照可能な設定を,識別する番号です。ただし,ここで指定する値は""で囲む必要があります。ここで指定された値は,WebPasswordJDBCLoginModuleを利用してログインする場合などのリポジトリの参照が必要な機能で使用されます。 |
0 |
|
|
認証するレルムを,文字列で指定します。 |
なし |
|
|
該当レルムにログインしたユーザのパスワードを統合ユーザ管理のセッションに保持するかどうかをtrueまたはfalseで指定します。大文字と小文字は区別されません。 trueを指定した場合は保持します。falseを指定した場合は保持しません。なお,trueを指定しても,該当レルムですでにログインしている場合,すでに保持しているパスワードを上書きすることはありません。パスワードを保持しない場合,同一セッションの同一レルムに2回目以降WebPasswordLDAPLoginModuleを使用してログインするとき,ユーザIDとパスワードの入力が必要になります。 ただし,ここで指定された値は統合ユーザ管理のコンフィグレーションファイルのcom.cosminexus.admin.auth.keep_passwordで指定された値よりも優先されます。 |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
|
|
com.cosminexus.admin.auth.keep_passwordにtrueを指定した場合,パスワードを保持するときに暗号化するかどうかをtrueまたはfalseで指定します。大文字と小文字は区別されません。 trueを指定した場合はパスワードを暗号化します。 falseを指定した場合は暗号化しません。 ただし,ここで指定された値は統合ユーザ管理のコンフィグレーションファイルのcom.cosminexus.admin.auth.keep_password.encryptで指定された値よりも優先されます。 |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
|
|
統合ユーザ管理のセッションフェイルオーバ機能が有効,かつcom.cosminexus.admin.auth.keep_passwordにtrueを指定した場合に,統合ユーザ管理のセッションに保持したパスワードをセッションフェイルオーバの対象にするかどうかを指定します。
セッションフェイルオーバをした場合,同一セッションの同一レルムにWebPasswordLDAPLoginModuleを使用してログインするとき,2回目以降はユーザIDとパスワードの入力が必要になります。 (指定例) com.cosminexus.admin.auth.gsession.keep_password=true |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
(10) WebPasswordLDAPLoginModuleに指定するオプション
WebPasswordLDAPLoginModuleに指定するオプションとデフォルト値を次に示します。
|
オプション |
内容 |
デフォルト値 |
|---|---|---|
|
「14.2.2(3) リポジトリアクセス用パラメタ」で定義したLDAP設定番号を指定します。指定する値は,ユーザ情報リポジトリを,参照可能な設定を識別する番号です。ただし,ここで指定する値は""で囲む必要があります。コンマ(,)で区切ることでLDAP設定番号を複数指定できます。複数指定すると,最初に指定されたLDAPディレクトリサーバがダウンした場合に自動的に切り替えができます。ここで指定された値は,WebPasswordLDAPLoginModuleを利用してログインする場合などのリポジトリの参照が必要な機能で使用されます。 |
0 |
|
|
「14.2.2(3) リポジトリアクセス用パラメタ」で定義したLDAP設定番号を指定します。指定する値は,ユーザ情報リポジトリを,更新可能な設定を識別する番号です。ただし,ここで指定する値は""で囲む必要があります。コンマ(,)で区切ることでLDAP設定番号を複数指定できます。複数指定すると,最初に指定されたLDAPディレクトリサーバがダウンした場合に自動的に切り替えができます。ここで指定された値は,パスワードの変更機能などの,リポジトリの内容を管理するための機能で使用されます。 |
0 |
|
|
「14.2.2(3) リポジトリアクセス用パラメタ」で定義したLDAP設定番号を指定します。このオプションは,PasswordUtilクラスを使ってパスワードを変更するときにシングルサインオン用の認証情報も変更する場合,かつシングルサインオン用の認証情報変更にLDAP接続フェールオーバを利用する場合に指定してください。指定する値は,シングルサインオン情報リポジトリを更新可能な設定を,識別する番号です。ただし,ここで指定する値は""で囲む必要があります。コンマ(,)で区切ることでLDAP設定番号を複数指定できます。複数指定すると,最初に指定されたLDAPディレクトリサーバがダウンした場合に自動的に切り替えができます。 なお,この値は統合ユーザ管理のコンフィグレーションファイルのcom.cosminexus.admin.auth.sso.ldap.wで指定した値よりも優先されます。 |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
|
|
認証するレルムを,文字列指定します。 |
なし |
|
|
該当レルムにログインしたユーザのパスワードを統合ユーザ管理のセッションに保持するかどうかをtrueまたはfalseで指定します。大文字と小文字は区別されません。 trueを指定した場合は保持します。falseを指定した場合は保持しません。なお,trueを指定しても,該当レルムですでにログインしている場合,すでに保持しているパスワードを上書きすることはありません。パスワードを保持しない場合,同一セッションの同一レルムに2回目以降WebPasswordLDAPLoginModuleを使用してログインするとき,ユーザIDとパスワードの入力が必要になります。 なお,ここで指定された値は統合ユーザ管理のコンフィグレーションファイルのcom.cosminexus.admin.auth.keep_passwordで指定された値よりも優先されます。 |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
|
|
com.cosminexus.admin.auth.keep_passwordにtrueを指定した場合,パスワードを保持するときに暗号化するかどうかをtrueまたはfalseで指定します。大文字と小文字は区別されません。 trueを指定した場合はパスワードを暗号化します。 falseを指定した場合は暗号化しません。 なお,ここで指定された値は統合ユーザ管理のコンフィグレーションファイルのcom.cosminexus.admin.auth.keep_password.encryptで指定された値よりも優先されます。 |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |
|
|
統合ユーザ管理のセッションフェイルオーバ機能が有効,かつcom.cosminexus.admin.auth.keep_passwordにtrueを指定した場合に,統合ユーザ管理のセッションに保持したパスワードをセッションフェイルオーバの対象にするかどうかを指定します。
セッションフェイルオーバをした場合,同一セッションの同一レルムにWebPasswordLDAPLoginModuleを使用してログインするとき,2回目以降はユーザIDとパスワードの入力が必要になります。 (指定例) com.cosminexus.admin.auth.gsession.keep_password=true |
<統合ユーザ管理のコンフィグレーションファイルで指定した値> |