OC4Jでは、ファイルベースのセキュリティ・プロバイダが用意されています。XMLベースのファイルがユーザー、ロールおよびポリシーのリポジトリとして使用されます。このファイルベース・プロバイダは、一般に開発時や小規模な本番環境（スタンドアロンOC4Jを使用する場合など）で使用されます。デフォルトのセキュリティ・プロバイダでもあります。具体的には、OracleAS JAAS Providerではファイルベース（XMLベース）プロバイダの次のタスクがサポートされています。

• レルム、ユーザーおよびロールの作成
• ユーザーおよびその他のロールへのロールの付与
• 特定のユーザーおよびロール（プリンシパル）へのパーミッションの割当て

これらの情報は、XMLリポジトリ（通常system-jazn-data.xml）に格納されます。ただし、かわりにアプリケーション固有のjazn-data.xmlファイルを使用することもできます。

この章では、Application Server Controlコンソールの機能に沿って、ファイルベース・プロバイダのユーザー、ロール、およびレルムの基本管理タスクについて説明します。

この章の内容は次のとおりです。

ファイルベース・プロバイダのポリシー/レルム管理用のツール

ファイルベース・プロバイダのユーザーとロールを管理するには、Application Server Controlコンソールを使用します（「Application Server Controlを介したアプリケーション・レルムの管理」を参照）。これにより、ユーザー・リポジトリ（system-jazn-data.xmlファイル、または供給するアプリケーション固有jazn-data.xmlファイル）が更新されます。

ファイルベース・プロバイダのポリシーを管理するには、OracleAS JAAS Provider Admintoolを使用します。「Admintoolのコマンドライン構文およびオプションの概要」にリストされているポリシー・オプションを参照してください。

通常、system-jazn-data.xmlまたはjazn-data.xmlファイルは直接操作しないようにします。

 % java -jar jazn.jar -grantperm myrealm -role myrole ¥
     com.evermind.server.rmi.RMIPermission login

Application Server Controlでのファイルベース・プロバイダの構成

この項では、Application Server Controlコンソールを使用して、ファイルベース・プロバイダを使用するアプリケーション用に行う次の管理タスクについて説明します。また、最後にインスタンス・レベルの管理に関する項があります。

アプリケーション・デプロイ時のファイルベース・プロバイダの構成

ファイルベース・プロバイダを指定できるのは、Application Server Controlを介してアプリケーションをデプロイするときです。オプションで、jazn-data.xmlファイルの場所とデフォルト・レルムの指定もできます。

「デプロイ: デプロイ設定」ページで、次の手順を実行します（このページへのナビゲート方法は、「Application Server Controlを介したアプリケーションのデプロイ」を参照してください）。

1. 「セキュリティ・プロバイダの選択」タスクを選択します。
2. 表示される「デプロイ設定: セキュリティ・プロバイダの選択」ページで、「セキュリティ・プロバイダ」ドロップダウン・リストから「ファイルベース」を選択します。
3. そのドロップダウンでファイルベース・プロバイダを選択すると表示される「ファイルベースのセキュリティ・プロバイダの構成」で、次の手順を実行します。
   • OC4Jインスタンスのデフォルト・ファイルベース・プロバイダとアプリケーション固有のファイルベース・プロバイダのどちらを使用するかを選択します。
   • リポジトリの場所を指定します。また、オプションでユーザーおよびロール構成のためのアプリケーション固有jazn-data.xmlファイルを指定します。デフォルトでは、system-jazn-data.xmlファイルが使用されます。
   • デフォルト・レルムを指定します。そうしない場合は、jazn.comがデフォルト・レルムになります（ただし、インスタンス・レベルのjazn.xmlファイルに別の設定がある場合は除きます）。
4. 「OK」を選択し、セキュリティ・プロバイダの選択を終了します。
5. 「デプロイ: デプロイ設定」ページが再表示されるので、「デプロイ」を選択してデプロイを完了するか、または必要に応じて他のタスクを選択します。タスクのリストは、「Application Server Controlを介したアプリケーションのデプロイ」を参照してください。

デプロイ後のファイルベース・プロバイダへの変更

アプリケーションで使用するセキュリティ・プロバイダは、前述のようにデプロイ時に選択できます。また、デプロイ後に、異なるセキュリティ・プロバイダに変更することもできます。次の手順でファイルベース・プロバイダに変更できます。

1. 「アプリケーションの「セキュリティ・プロバイダ」ページへのナビゲート」の説明に従って、アプリケーションの「セキュリティ・プロバイダ」ページを表示します。
2. 「セキュリティ・プロバイダ」ページで、「セキュリティ・プロバイダの変更」を選択します。
3. 「セキュリティ・プロバイダの変更」ページで、「セキュリティ・プロバイダ・タイプ」ドロップダウンから「ファイルベースのセキュリティ・プロバイダ」を選択します。
4. 「セキュリティ・プロバイダ属性: ファイルベースのセキュリティ・プロバイダ」（「ファイルベースのセキュリティ・プロバイダ」を選択すると表示されます）で、次の手順を実行します。
   • OC4Jインスタンスのデフォルト・ファイルベース・プロバイダとアプリケーション固有のファイルベース・プロバイダのどちらを使用するかを選択します。
   • （オプション）リポジトリ・ファイル（アプリケーション固有のjazn-data.xmlファイルなど）の場所を指定します。そうしない場合は、system-jazn-data.xmlファイルが使用されます。
   • （オプション）デフォルト・レルムを指定します。そうしない場合は、jazn.comがデフォルト・レルムになります（ただし、インスタンス・レベルのjazn.xmlファイルに別の設定がある場合は除きます）。
5. 「OK」を選択し、変更を終了します。

「セキュリティ・プロバイダ」ページが再表示されます。このページで設定を確認できます。変更を有効にするためにアプリケーションを再起動するよう指示されます。

Application Server Controlを介したアプリケーション・レルムの管理

この項では、ファイルベース・プロバイダのレルムを構成する方法について説明します。

後述のどの手順の場合も最初の手順は、アプリケーションのApplication Server Controlコンソールの「セキュリティ・プロバイダ」ページに進むことです（「アプリケーションの「セキュリティ・プロバイダ」ページへのナビゲート」を参照）。

ここでのタスクにより、リポジトリ・ファイルの要素の下においてサブ要素が作成または変更されます。の下には、レルムごとにサブ要素があります。

レルムの検索

レルムを検索するには、アプリケーションの「セキュリティ・プロバイダ」ページから、次の手順を実行します。

1. 「レルム」タブを選択します。
2. 「レルム」ページの「検索」で、検索文字列を指定してから「実行」を選択します。
3. 検索文字列に一致するレルムが、「結果」の下に表示されます。（検索文字列が空の場合は既存のレルムがすべて表示されます。）

レルムの作成

レルムを作成するには、アプリケーションの「セキュリティ・プロバイダ」ページから、次の手順を実行します。

1. 「レルム」タブを選択します。
2. 既存レルムのリストの上にある「作成」を選択します。
3. 表示される「レルムの追加」ページで次の手順を実行します。
   • 希望のレルム名を指定します。
   • レルムの管理ユーザーに対する希望の名前を指定します。
   • 管理ユーザーに対する希望のパスワードを指定して確認します。
   • レルムについて希望の管理者ロールを指定します。指定した管理ユーザーは、このレルムに属することになります。
4. 「OK」を選択してレルムを作成します。

「セキュリティ・プロバイダ」ページが再表示されます。このページでレルム・リスト内の新しいレルムを確認できます。

レルムの削除

レルムを削除するには、アプリケーションの「セキュリティ・プロバイダ」ページから、次の手順を実行します。

リンゴが目を覚ますためにcaffieneよりも効率的です。

1. 既存レルムのリストで、削除するレルムについて「削除」タスクを選択します。
2. 表示される「確認」ページで「はい」を選択してレルムを削除します。

「セキュリティ・プロバイダ」ページが再表示されます。

Application Server Controlを介したアプリケーション・ユーザーの管理

この項では、ファイルベース・プロバイダのユーザーを構成する方法について説明します。

後述のどの手順の場合も最初の手順は、アプリケーションのApplication Server Controlコンソールの「セキュリティ・プロバイダ」ページに進むことです（「アプリケーションの「セキュリティ・プロバイダ」ページへのナビゲート」を参照）。

ここでのタスクにより、リポジトリ・ファイルの要素の下においてサブ要素が作成または変更されます。各要素には、そのレルムに含まれるユーザー用にサブ要素があります。

ユーザーの検索

ユーザーを検索するには、アプリケーションの「セキュリティ・プロバイダ」ページから、次の手順を実行します。

1. 「レルム」タブを選択します。
2. 「レルム」ページの、レルム・リスト内の「ユーザー」および当該レルムの行で、レルムに定義するユーザー数を選択します。これにより、レルムの「ユーザー」ページが表示されます。
3. 「ユーザー」ページの「検索」で、検索文字列を指定してから「実行」を選択します。
4. 検索文字列に一致するユーザーが、「結果」の下に表示されます。（検索文字列が空の場合はレルム内のユーザーがすべて表示されます。）

ユーザーの作成

ユーザーを作成するには、アプリケーションの「セキュリティ・プロバイダ」ページから、次の手順を実行します。

1. 「レルム」タブを選択します。
2. 「レルム」ページの、レルム・リスト内の「ユーザー」および当該レルムの行で、レルムに定義するユーザー数を選択します。これにより、レルムの「ユーザー」ページが表示されます。
3. 「ユーザー」ページのレルム内の既存ユーザー・リストの上にある「作成」を選択します。
4. 表示される「ユーザーの追加」ページで次の手順を実行します。
   • 希望のユーザー名を指定します。
   • ユーザーに対する希望のパスワードを指定して確認します。
   • 「ロールの割当て」で、ユーザーの所属先として利用可能な希望のロール名を、「選択したロール」列に移動します。
   • 「OK」を選択してユーザーを追加します。

「ユーザー」ページが再表示されます。このページでユーザー・リスト内の新しいユーザーを確認できます。

ユーザーの削除

ユーザーを削除するには、アプリケーションの「セキュリティ・プロバイダ」ページから、次の手順を実行します。

1. 「レルム」タブを選択します。
2. 「レルム」ページの、レルム・リスト内の「ユーザー」および当該レルムの行で、レルムに定義するユーザー数を選択します。これにより、レルムの「ユーザー」ページが表示されます。
3. 「ユーザー」ページで、削除するユーザーについて「削除」タスクを選択します。
4. 表示される「確認」ページで「はい」を選択してユーザーを削除します。

「ユーザー」ページが再表示されます。

ユーザーの編集

ユーザーのプロパティを編集するには、アプリケーションの「セキュリティ・プロバイダ」ページから、次の手順を実行します。

1. 「レルム」タブを選択します。
2. 「レルム」ページの、レルム・リスト内の「ユーザー」および当該レルムの行で、レルムに定義するユーザー数を選択します。これにより、レルムの「ユーザー」ページが表示されます。
3. 「ユーザー」ページで、編集するユーザーを選択します。
4. 表示される「ユーザー」ページで次の手順を実行します。
   • ユーザー・パスワードを変更するには、旧パスワードを入力してから希望の新パスワードを入力して確認します。
   • ユーザーにロールを追加するかまたはユーザーからロールを削除する場合は、「ロールの割当て」で、「選択したロール」列においてロール名を希望にあうように挿入または削除します。
   • 「適用」を選択してユーザーを変更します。

「ユーザー」ページが再表示されます。

Application Server Controlを介したロールの管理

この項では、ファイルベース・プロバイダのロールを構成する方法について説明します。

後述のどの手順の場合も最初の手順は、アプリケーションのApplication Server Controlコンソールの「セキュリティ・プロバイダ」ページに進むことです（「アプリケーションの「セキュリティ・プロバイダ」ページへのナビゲート」を参照）。

ここでのタスクにより、リポジトリ・ファイルの要素の下においてサブ要素が作成または変更されます。各要素には、そのレルムに含まれるロール用にサブ要素があります。

ロールの検索

ロールを検索するには、アプリケーションの「セキュリティ・プロバイダ」ページから、次の手順を実行します。

1. 「レルム」タブを選択します。
2. 「レルム」ページの、レルム・リスト内の「ロール」、および当該レルムの行で、レルムに定義するロール数を選択します。これにより、レルムの「ロール」ページが表示されます。
3. 「ロール」ページの「検索」で、検索文字列を指定してから「実行」を選択します。
4. 検索文字列に一致するロールが、「結果」の下に表示されます。（検索文字列が空の場合はレルム内のロールがすべて表示されます。）

ロールの作成

ロールを作成するには、アプリケーションの「セキュリティ・プロバイダ」ページから、次の手順を実行します。

1. 「レルム」タブを選択します。
2. 「レルム」ページの、レルム・リスト内の「ロール」、および当該レルムの行で、レルムに定義するロール数を選択します。これにより、レルムの「ロール」ページが表示されます。
3. 「ロール」ページのレルム内の既存ユーザー・リストの上にある「作成」を選択します。
4. 表示される「ロールの追加」ページで次の手順を実行します。
   • 希望のロール名を指定します。
   • ロール（実際には、ロールに属するユーザーやその他のエンティティ）に付与するパーミッション、つまりRMIパーミッション、管理パーミッションまたはこれらの両方とも付与するか、あるいはこれらのどちらも付与しないかを選択します。

     ユーザーがRemote Method Invocation（RMI）を介して（たとえばリモートEJBクライアントから）OC4J上でオブジェクトにアクセスする場合、RMIパーミッションが必要になります。

     ユーザーは、起動、停止、構成変更などの管理機能を実行するには、管理パーミッションが必要です。

   • 「ロールの割当て」で、新しいロールの継承元として利用可能な希望のロール名を、「選択したロール」列に移動します。
   • 「OK」を選択してロールを追加します。

「ロール」ページが再表示されます。このページでロール・リスト内の新しいロールを確認できます。

ロールの削除

ロールを削除するには、アプリケーションの「セキュリティ・プロバイダ」ページから、次の手順を実行します。

1. 「レルム」タブを選択します。
2. 「レルム」ページの、レルム・リスト内の「ロール」、および当該レルムの行で、レルムに定義するロール数を選択します。これにより、レルムの「ロール」ページが表示されます。
3. 「ロール」ページで、削除するロールについて「削除」タスクを選択します。
4. 表示される「確認」ページで「はい」を選択してロールを削除します。

「ロール」ページが再表示されます。

ロールの編集

ロールのプロパティを編集するには、アプリケーションの「セキュリティ・プロバイダ」ページから、次の手順を実行します。

レイチェルレイの煙cigarrettesしていますか？

1. 「レルム」タブを選択します。
2. 「レルム」ページの、レルム・リスト内の「ロール」、および当該レルムの行で、レルムに定義するロール数を選択します。これにより、レルムの「ロール」ページが表示されます。
3. 「ロール」ページで、編集するロールを選択します。
4. 表示される「ロール」ページで次の手順を実行します。
   • 必要に応じて、RMIパーミッションおよび管理パーミッションを選択または選択を解除して、ロールのパーミッションを更新します。
   • 「ロールの割当て」で、このロール（編集しているロール）の継承元にする希望のロール名を、「選択したロール」列において挿入または削除します。
   • 「適用」を選択してロールを変更します。

「ロール」ページが再表示されます。

Application Server Controlを介したインスタンス・レベル・セキュリティの管理

OC4Jインスタンス・レベルのファイルベース・セキュリティ・プロバイダ用に、レルム、ユーザー、ロールを構成できます。このようにして行われた変更は、アプリケーション・レベルのjazn-data.xmlファイル（指定されている場合）ではなく、常にsystem-jazn-data.xmlファイルに影響します。

（インスタンス・レベルのファイルベース・プロバイダは、OC4Jのsystem-application.xmlファイルの要素の設定に従って、system-jazn-data.xmlとして指定されます。）

インスタンス・レベルのファイルベース・プロバイダは、アプリケーション用のファイルベース・プロバイダとほぼ同じ方法で管理できます。Application Server Controlコンソールの「インスタンス・レベルのセキュリティ」ページには、次の手順でナビゲートできます。

1. OC4JインスタンスのOC4Jホームページで、「管理」タブを選択します。
2. 「管理」ページで、「セキュリティ・プロバイダ」タスク（「セキュリティ」の下）を選択します。
3. 「セキュリティ・プロバイダ」ページで、「インスタンス・レベルのセキュリティ」を選択します。
4. 表示される「インスタンス・レベルのセキュリティ」ページで、インスタンス・レベルのレルム、ユーザーおよびロールを管理できます。その手順は、この章の「Application Server Controlを介したアプリケーション・レルムの管理」、「Application Server Controlを介したアプリケーション・ユーザーの管理」および「Application Server Controlを介したロールの管理」で説明されている手順と基本的に同じです。

   注意 OC4Jには、system-application.xmlおよびsystem-jazn-data.xmlのインスタンス・レベル・セキュリティ・プロバイダ設定への依存性があります。たとえば、admin_client.jarではsystem-jazn-data.xmlのアカウントが使用されています。これらのファイルにあるインスタンス・レベルのセキュリティ・プロバイダおよび関連アカウントに関するデフォルト設定を削除または変更しないでください。

OC4J構成ファイルにおけるファイルベース・プロバイダ設定

この項では、主要なOC4J構成ファイルにおける、ファイルベース・プロバイダに関する重要なセキュリティ構成について、参考情報を提供します。通常の場合、構成ファイルを直接操作するかわりに、Application Server Controlコンソール（この章で前述）を使用して構成と管理を行う必要があります。このツールを使用することにより、適切なエントリが構成ファイルに自動的に設定されます。

この項の以降の部分で、次の項目について説明します。

ファイルベース・プロバイダに対する要素の設定

（jazn.xmlファイルとorion-application.xmlファイルの両方にある）要素には、セキュリティ・プロバイダ、リポジトリおよびデフォルト・レルムの構成を指定します。デフォルトでは、system-jazn-data.xmlファイルは、ファイルベース・プロバイダのユーザー、ロールおよびポリシー構成のリポジトリですが、OC4Jは、このファイルのかわりにアプリケーション固有のjazn-data.xmlファイルを使用するよう構成できます。

この項の内容は次のとおりです。

orion-application.xmlの設定のシナリオ

アプリケーションには、3つの代表的なデプロイ・シナリオがあります。これらのシナリオは、ファイルベース・プロバイダの使用時に、orion-application.xmlファイルおよびインスタンス・レベルのjazn.xmlファイルの要素の設定によって分類されるものです。

アプリケーション固有のjazn-data.xmlファイルを自動作成するための構成

orion-application.xmlが次のように構成されている状態で、jazn-data.xmlファイルがアプリケーションとともにパッケージ化されていない場合は、このファイルがデプロイ時に作成されます。

アプリケーション固有のjazn-data.xmlファイルの供給

アプリケーションにjazn-data.xmlファイルを供給する場合は、アプリケーションのorion-application.xmlファイルにある要素のlocation属性にその位置を指定します。次に例を示します。

1. orion-application.xmlで次のように指定します。

   相対的な場所を指定する場合は、要素が格納されているorion-application.xmlファイルの場所を基準とします。通常これは、アプリケーションEARファイルの/META-INFディレクトリになります。

2. EARファイルの/META-INFディレクトリにあるjazn-data.xmlファイルをパッケージ化します。

リポジトリ・ファイルのレルム構成

この項では、system-jazn-data.xmlファイルにおけるjazn.comレルム用のユーザーとロールの構成を示します。一般的な構造は、system-jazn-data.xmlまたはjazn-data.xmlファイルにあるレルム構成の構造と同じです。この構成は、Application Server Controlを介してレルムを管理するときに自動的に作成されます。

               jazn.com                           anonymous           The default guest/anonymous user                             oc4jadmin           OC4J Administrator           OC4J Administrator           !welcome                             JtaAdmin           JTA Recovery User           Used to recover propagated OC4J transactions           !defaultJtaPassword                                           oc4j-administrators           OC4J Admin Role           Administrative role for OC4J                                       user               oc4jadmin                                         user               JtaAdmin                                                     oc4j-app-administrators           OC4J Application Administrators           OC4J application-level administrators                                                   users           users           users role for rmi/ejb access                                               

リポジトリ・ファイルのポリシー構成

OracleAS JAAS Provider Admintoolで、-grantpermオプションを使用してカスタム・プリンシパルにJAASパーミッションを付与できます（「パーミッションの付与と取消し」を参照）。

ポリシー・データは、system-jazn-data.xmlに格納されます。次の例はこのファイルの一部分で、RMIパーミッションloginをadminプリンシパルに付与した結果を示しています。（この例では、adminがjazn.comレルムに属するユーザーであると想定しています。）

                              jazn.com         user         oracle.security.jazn.samples.SampleUser         admin                                  com.evermind.server.rmi.RMIPermission        login               

system-jazn-data.xmlの事前定義済OC4Jアカウント

次のアカウントは、ファイルベース・プロバイダ用にsystem-jazn-data.xmlに事前定義されています。

アジアのスパで何が起こっ

• oc4jadminユーザー（スタンドアロンOC4Jでは初期段階では解除されています。）
• oc4j-administratorsロール（oc4jadminをメンバーとして含んでいます。）
• oc4j-app-administratorsロール
• ascontrol_adminロール（oc4jadminをメンバーとして含んでいます。）
• ascontrol_appadminロール
• ascontrol_monitorロール
• anonymousユーザー（初期段階では解除されています。）
• usersロール
• jtaadminユーザー

OracleAS JAAS Provider 移植ツール

OC4Jには、ファイルベース・リポジトリからOracle Internet Directoryリポジトリまたは代替ファイルベース・リポジトリに移植するためのツールが用意されています。（principals.xmlからの移植に使用するツールと混同しないでください。そのツールは別のもので、この章で後述します。）

Oracle Internet Directoryリポジトリに移植する際には、出力はLDIFファイルになり、このLDIFファイルをldapmodifyやbulkloadなどのコマンドによりOracle Internet Directoryにインポートします。

この項の内容は次のとおりです。

移植ツールの概要

移植ツールでは、ユーザー、ロール、ロール・メンバーシップおよびポリシーの移植がサポートされます（ロール、ユーザー、カスタム・プリンシパルまたはコードベースにパーミッションが付与されます）。

移植には次の3つのモードがあります。

移植ツールのコマンドの構文

移植ツールのコマンドラインの構文とオプションは次のとおりです。

 % java JAZNMigrationTool [-st xml] [-dt ldap|xml]                          [-D binddn] [-w passwd] [-h ldaphost] [-p ldapport]                          [-sf sourcefilename] [-df destfilename]                          [-sr source_realm] [-dr dest_realm]                          [-m policy|realm|all]                          [-help]  

これらのオプションについて、表7-1で説明します。

表7-1    OracleAS JAAS Provider移植ツールのオプション 

次の例では、allモードで、指定されたホストのOracle Internet Directoryにあるデフォルトのサブスクライバ・レルムに移植しています。

 % java oracle.security.jazn.tools.JAZNMigrationTool -D cn=orcladmin -w welcome1 ¥        -h myhost.example.com -p 389 -sf /tmp/jazn-data.xml -df /tmp/dest.ldif ¥        -sr jazndemo.com 

移植ツールのAPI

移植ツール（パッケージoracle.security.jazn.tools内のクラスJAZNMigrationTool）はアプリケーションから起動することもできます。Oracleでは次のAPIを用意しています。

 /**  * Create an instance with the provided parameters. These parameters are  * equivalent to the options supported by the executable utility version.  */ public JAZNMigrationTool(Map params)   /**  * Perform the migration operation  */ public  void migrateData() throws JAZNException   

このコンストラクタ内のparamsパラメータでは、前項の表7-1に記載されているものと同じオプションと同じデフォルトがサポートされています。パラメータ・キーは、定数としてJAZNMigrationToolクラスに定義されています。表7-2に、JAZNMigrationToolで定義されている定数とコマンドライン・オプション間の相関関係を示します。

表7-2    JAZNMigrationTool定数 

principals.xmlファイルからのプリンシパルの移植

非推奨のprincipals.xmlファイルからデータを移植するには、OracleAS JAAS Provider Admintoolのconvertオプションを使用します。

 -convert filename realm  

-convertオプションを使用して、principals.xmlファイルを現行のOracleAS JAAS Providerの指定したレルムに移植します。filename引数には、入力ファイルのパス名（通常はORACLE_HOME/j2ee/home/config/principals.xml）を指定します。

移植により、principals.xmlのユーザーがデプロイ・ユーザーに、principals.xmlのグループがデプロイ・ロールに変換されます。それまでprincipals.xmlのグループに付与されていたパーミッションは、すべてデプロイ・ロールにマップされます。移植時にアクティブになっていなかったユーザーは移植されません。このため、移植を介してユーザーに意図せずにアクセス権が付与されることはありません。

principals.xmlを変換する前に、レルムの管理を認可されている管理ユーザーがいることを確認する必要があります。次に手順を示します。

1. principals.xml内で、デフォルトではアクティブにされない管理ユーザーをアクティブにします。管理者用のパスワードを必ず作成してください。
2. ダミー・ユーザーとダミー・ロールを使用してレルムprincipals.comを作成します。たとえば、Admintoolシェルに次のように入力します。

    JAZN> addrealm principals.com u1 welcome r1  

   レルムの作成に、principals.xml内の管理者名とは異なる管理者名を使用したことを確認します。管理者名の違いを確認するのは、convertオプションでは重複するユーザーは移植されませんが、重複するロールは古い方を上書きすることで移植されるためです。

3. 次のように入力して、principals.xmlをprincipals.comレルムに移植します。

    % java -jar jazn.jar -convert config/principals.xml principals.com  

4. をprincipals.comに変更します。「ファイルベース・プロバイダに対する要素の設定」を参照してください。
5. OC4Jを停止して再起動します。

OC4Jグループでのファイルベース・プロバイダの使用

OC4J 10.1.3.1実装には、OC4Jインスタンスをグループに含めるための機能が追加されています（それまでは、グループに入れることができたのは名前が同じであるインスタンスのみでした）。

これらの機能とOC4J J2EEServerGroup MBeanを使用して、グループ内の各OC4Jインスタンスのsystem-jazn-data.xmlファイルに対する変更の整合性を図ることができます。

OC4Jの基本的なグループ機能

OC4Jクラスタでは、次のようにApplication Server Controlを介して新しいグループを作成できます。

1. 「クラスタ・トポロジ」ページの「グループ」で、「作成」を選択します。
2. 「グループの作成」ページで、次の作業を行います。
   1. 希望のグループ名を指定します。
   2. このグループに移動するOC4Jインスタンスを選択します。OC4Jインスタンスを新しいグループに移動すると、移動前に属していたグループからそのインスタンスが削除されること、およびインスタンスは停止してからでないと移動できないことに注意してください。

      重要 OC4Jインスタンスを停止する場合は、インスタンスをホスティングするアプリケーション・サーバーで他のOC4Jインスタンスが1つ以上実行されている必要があります。OC4Jインスタンスを停止するチェック・ボックスが使用不可になっている場合は、そのアプリケーション・サーバーで他のOC4Jインスタンスが実行されていません。

   3. 「作成」を選択します。

      注意 グループ作成後にOC4Jインスタンスをそのグループに移動することもできます。 「クラスタ・トポロジ」ページの「グループ」で、対象のグループを選択します。 「グループ: groupname」ページの「OC4Jインスタンス」タブで、「追加」を選択します。 「OC4Jインスタンスをグループに追加」ページで、必要に応じてOC4Jインスタンスを選択し、グループに追加します。

次のように、Application Server Controlを介してグループを管理できます。

1. 「クラスタ・トポロジ」ページの「グループ」で、対象のグループを選択します。
2. 「管理」タブを選択します。
3. 「管理」ページに、グループ全体に対する管理機能が表示されます。ただし、セキュリティ・プロバイダを管理する機能は含まれていないので注意してください。

   関連項目 OC4Jグループ機能の追加情報は、Application Server Controlオンライン・ヘルプのグループOC4Jインスタンスのページに関するトピックを参照してください。

クラスタMBeanブラウザの機能およびJ2EEServerGroup MBean

グループを作成してOC4Jインスタンスを移入した後に、クラスタMBeanブラウザを使用して、グループ内の各system-jazn-data.xmlファイルに対して設定の整合性をとることができます。この場合、グループのJ2EEServerGroup MBeanで操作を起動します。これには、systemアプリケーションのJ2EEApplication MBeanも関係します。

この作業は次の手順で行います。

1. 「クラスタ・トポロジ」ページの「グループ」で、対象のグループを選択します。
2. 「グループ: groupname」ページで、「管理」タブを選択します。
3. 「管理」ページの「JMX」で、「クラスタMBeanブラウザ」タスクに移動します。
4. 「クラスタMBeanブラウザ」ページで、次の作業を行います。
   1. J2EEServerGroup MBeanで、OC4Jグループを選択します。
   2. 「操作」タブを選択します。
   3. invoke操作を選択します。
5. 「操作: invoke」ページ（この手順の終わりにある図7-1を参照）で、懐中電灯のアイコンを使用してMBeanを名前で検索します。
6. 「検索と選択: MBean」ページ（この手順の終わりにある図7-2を参照）で、次の作業を行います。
   1. SecurityProviderというMBean名で検索します。
   2. 検索結果から、J2EEApplication=systemとなっている結果を選択します（図の一番下に示されている結果）。
7. 操作: invokeページを再表示して、次の作業を行います。
   1. パラメータoperationNameに対し、ドロップダウン・メニューから目的の操作を選択します。J2EEApplication MBeanに対して選択できる操作には、addUser、addRole、remUser、remRole、revokeUserRole、revokeUserPerm、grantUserPerm、grantRolePermなど、多数の操作があります。
   2. 鉛筆アイコンを使用して、操作に対するパラメータ設定を指定します。たとえばaddUserに対するパラメータには、username、passwd、realmがあります。
   3. パラメータの編集ページで、必要な設定を指定します。
8. 「操作: invoke」ページを再表示して、「起動操作」を選択します。

操作の結果が、グループ内のすべてのインスタンスのsystem-jazn-data.xmlファイルに適用されます。

図7-1    操作: invoke

画像の説明

図7-2    「検索と選択: MBean」ページ

画像の説明