セキュリティー保護されたディレクトリの作成

1. 「ファイル」>「新規プロジェクト」(Ctrl-Shift-N) を選択し、「Java Web」カテゴリから「Web アプリケーション」を選択して「次へ」をクリックします。
2. プロジェクトに WebApplicationSecurity という名前を付けます。デフォルトの設定を受け入れます。
3. (任意) 「ライブラリの格納用に専用フォルダを使用」チェックボックスを選択し、ライブラリフォルダの場所を指定します。このオプションの詳細は、「プロジェクトライブラリの共有」を参照してください。
4. 「次へ」をクリックします。
5. アプリケーションを配備するサーバーを選択します。IDE に登録されているサーバーのみ表示されます。「次へ」をクリックします。
6. フレームワークを追加する必要はないので、「完了」をクリックします。
7. EE 6 アプリケーションを作成した場合は、IDE の「プロジェクト」ウィンドウでプロジェクトのノードを右クリックし、「新規」>「その他」>「Web」>「標準の配備記述子 (web.xml)」を選択します。デフォルト設定をすべて受け入れてウィザードを完了します。

   注: このチュートリアルでは配備記述子でセキュリティーを構成する方法を示しますが、EE 6 アプリケーションではデフォルトで配備記述子の代わりに注釈を使用します。

8. IDE の「プロジェクト」ウィンドウで「Web ページ」を右クリックし、「新規」>「その他」を選択します。
9. 「新規ファイル」ウィザードで、「カテゴリ」に「その他」を選択し、「ファイルの種類」に「フォルダ」を選択します。「次へ」をクリックします。

10. 「新規フォルダ」ウィザードでフォルダに「secureAdmin」という名前を付け、「完了」をクリックします。

    「プロジェクト」ウィンドウの「Web ページ」フォルダに、secureAdmin フォルダが表示されます。
11. 前の 3 つの手順を繰り返して、secureUser という名前の別のフォルダを作成します。
12. 「プロジェクト」ウィンドウで、フォルダ secureUser を右クリックして「新規」>「HTML」を選択し、secureUser フォルダ内に新しい html ファイルを作成します。
13. 新しいファイルに pageU という名前を付け、「完了」をクリックします。

    「完了」をクリックすると、ソースエディタでファイル pageU.html が開きます。

14. ソースエディタで、pageU.html 内の既存コードを次のコードに置き換えます。

    <html>
       <head>
          <title>User secure area</title>
       </head>
       <body>
          <h1>User Secure Area</h1>
       </body>
                </html>

15. secureAdmin フォルダを右クリックし、pageA という名前の新しい html ファイルを作成します。
16. ソースエディタで、pageA.html 内の既存コードを次のコードに置き換えます。

    <html>
       <head>
          <title>Admin secure area</title>
       </head>
       <body>
          <h1>Admin secure area</h1>
       </body>
                </html>

JSP の索引ページの作成

セキュリティー保護された領域へのリンクを含む JSP の索引ページを作成します。ユーザーがリンクをクリックすると、ユーザー名とパスワードが求められます。基本的なログインを使用している場合、デフォルトブラウザのログインウィンドウが表示されます。ログインフォームページを使用する場合、ユーザーはフォームにユーザー名とパスワードを入力します。

1. ソースエディタで index.jsp を開き、次の pageA.html および pageU.html へのリンクを追加します。

   <p>Request a secure Admin page <a href="secureAdmin/pageA.html">here!</a></p>
   <p>Request a secure User page <a href="secureUser/pageU.html" >here!</a></p>

2. 変更を保存します。

ログインフォームの作成 (Tomcat では必須、GlassFish サーバーでは任意)

基本的なログインの代わりにログインフォームを使用する場合、フォームを含む jsp ページを作成できます。ログイン方法を構成するときに、ログインページとエラーページを指定します。

重要: Tomcat ユーザーはログインフォームを作成する必要があります。

1. 「プロジェクト」ウィンドウで「Web ページ」フォルダを右クリックし、「新規」>「JSP」を選択します。
2. ファイルに login という名前を付け、その他のフィールドはデフォルトの値のままにし、「完了」をクリックします。
3. ソースエディタで、login.jsp の <body> タグの間に次のコードを挿入します。
   

   <form action="j_security_check" method="POST">
      Username:<input type="text" name="j_username"><br>
      Password:<input type="password" name="j_password">
      <input type="submit" value="Login">
   </form>

4. loginError.html という名前の新しい html ファイルを「Web ページ」フォルダに作成します。これは、単純なエラーページです。
5. ソースエディタで、loginError.html 内の既存コードを次のコードに置き換えます。

   <html>
       <head>
           <title>Login Test: Error logging in</title>
       </head>
       <body>
           <h1>Error Logging In</h1>
           <br/>
       </body>
   </html>

GlassFish サーバーでのユーザーの定義

このシナリオでは、まず GlassFish サーバーの管理コンソールを使用して、user と admin という名前の 2 つの新しいユーザーを作成する必要があります。user という名前のユーザーはアプリケーションへのアクセス権が制限されている一方で、admin は管理権限を持っています。次に、glassfish-web.xml を変更して、これらのユーザーをロールにマッピングする必要があります。glassfish-web.xml はプロジェクトの「構成ファイル」ディレクトリにあります。

注: 3.1 よりも古いバージョンの GlassFish サーバーを使用している場合、構成ファイルの名前は sun-web.xml です。

1. IDE の「サービス」ウィンドウで「サーバー」を展開し、「GlassFish Server」を右クリックし、「管理コンソールを表示」を選択して管理コンソールを開きます。GlassFish サーバーのログインページがブラウザウィンドウで開きます。管理コンソールにアクセスするには、admin のユーザー名とパスワードを使用してログインする必要があります。

   注: 管理コンソールにアクセスする前に、Application Server を起動している必要があります。サーバーを起動するには、GlassFish サーバーのノードを右クリックし、「起動」を選択します。

2. 管理コンソールで、「設定」>「server-config」>「セキュリティー」>「レルム」>「file」の順に展開します。「レルムを編集」パネルが開きます。
   
3. 「レルムを編集」パネルの上部にある「ユーザーを管理」ボタンをクリックします。「ファイルユーザー」パネルが開きます。
   
4. 「新規」をクリックします。「新しいファイルレルムユーザー」パネルが開きます。「ユーザー ID」に「user」、パスワードに「userpw」と入力します。「了解」をクリックします。
5. 前の手順に従って、名前が admin、パスワードが adminpw のユーザーを file レルムに作成します。

Tomcat Web サーバーでのロールとユーザーの定義

Tomcat 7 では、サーバーを NetBeans IDE に登録するときに、manager-script ロールのユーザーとそのユーザーのパスワードを作成します。

Tomcat サーバーの基本的なユーザーとロールは、tomcat-users.xml に定義されています。tomcat-users.xml は、<CATALINA_BASE>\conf ディレクトリにあります。

注: CATALINA_BASE の場所を調べるには、「サービス」ウィンドウで Tomcat サーバーのノードを右クリックして「プロパティー」を選択します。サーバーのプロパティーが表示されます。 CATALINA_BASE の場所は「接続」タブで確認できます。

注: 以前のバージョンの IDE にバンドルされていた Tomcat 6 を使用する場合、このサーバーに存在する ide ユーザーには、パスワードと、administrator および manager のロールが定義されています。ユーザー ide のパスワードは、Tomcat 6 がインストールされるときに生成されます。ユーザー ide のパスワードは変更できます。つまり、tomcat-users.xml にパスワードをコピーできます。

ユーザーを Tomcat に追加する

1. <CATALINA_BASE>/conf/tomcat-users.xml をエディタで開きます。
2. AdminRole という名前のロールを追加します。

   <role rolename="AdminRole"/>

3. UserRole という名前のロールを追加します。

   <role rolename="UserRole"/>

4. 名前が admin、パスワードが adminpw、ロールが AdminRole のユーザーを追加します。

   <user username="admin" password="adminpw" role="AdminRole"/>

5. 名前が user、パスワードが userpw、ロールが UserRole のユーザーを追加します。

   <user username="user" password="userpw" role="UserRole"/>

この時点で、tomcat-users.xml ファイルの内容は次のようになります。

<tomcat-users>
<!--
  <role rolename="tomcat"/>
  <role rolename="role1"/>
  <user username="tomcat" password="tomcat" roles="tomcat"/>
  <user username="both" password="tomcat" roles="tomcat,role1"/>
  <user username="role1" password="tomcat" roles="role1"/>
-->
...
<role rolename="AdminRole"/>
<role rolename="UserRole"/>
<user username="user" password="userpw" roles="user"/>
<user username="admin" password="adminpw" roles="AdminRole"/>
[User with manager-script role, defined when Tomcat 7 was registered with the IDE]
...
</tomcat-users>

基本的なログイン

基本的なログイン構成を使用する場合、ブラウザによってログインウィンドウが表示されます。セキュリティー保護されたコンテンツにアクセスするには、有効なユーザー名とパスワードが必要です。

次の手順は、GlassFish サーバーの基本的なログインの構成方法を示します。Tomcat ユーザーはフォームによるログインを使用する必要があります。

1. 「プロジェクト」ウィンドウで「構成ファイル」ディレクトリにある web.xml をダブルクリックし、ビジュアルエディタでファイルを開きます。
2. ツールバーの「セキュリティー」をクリックし、セキュリティービューでファイルを開きます。
3. 「ログイン構成」ノードを展開し、「ログイン構成」を「基本」に設定します。

   注: フォームを使用する場合は、「基本」の代わりに「フォーム」を選択し、ログインページおよびログインエラーページを指定します。

4. 「レルム名」に「file」と入力します。これは、GlassFish サーバーでユーザーを作成した場所のレルム名に対応します。

   
5. 「セキュリティーロール」ノードを展開し、「追加」をクリックしてロール名を追加します。
6. 次のセキュリティーロールを追加します。
   • AdminRole. このロールに追加したユーザーは、サーバーの secureAdmin ディレクトリへのアクセス権を持ちます。
   • UserRole. このロールに追加したユーザーは、サーバーの secureUser ディレクトリへのアクセス権を持ちます。

   注意: GlassFish のロール名は先頭が大文字である必要があります。

7. 次の手順に従って、AdminConstraint という名前のセキュリティー制約を作成および構成します。
   1. 「セキュリティー制約を追加」をクリックします。新しいセキュリティー制約のセクションが表示されます。
   2. 新しいセキュリティー制約の「表示名」に「AdminConstraint」と入力します。
      
   3. 「追加」をクリックします。「Web リソースを追加」ダイアログが開きます。

   4. 「Web リソースを追加」ダイアログで「リソース名」に「Admin」、「URL パターン」に「/secureAdmin/*」を設定し、「了解」をクリックします。ダイアログが閉じます。

      注: アスタリスク (*) を使用すると、そのフォルダにあるすべてのファイルに対するユーザーアクセス権を与えることになります。

      
   5. 「認証制約を有効にする」を選択し、「編集」をクリックします。「ロール名を編集」ダイアログが開きます。
   6. 「ロール名を編集」ダイアログで左の区画の「AdminRole」を選択して「追加」をクリックし、「了解」をクリックします。

      前述の手順を完了すると、次の図に示すような結果になるはずです。

      
8. 次の手順に従って、UserConstraint という名前のセキュリティー制約を作成および構成します。
   1. 「セキュリティー制約を追加」をクリックして新しいセキュリティー制約を作成します。
   2. 新しいセキュリティー制約の「表示名」に「UserConstraint」と入力します。
   3. 「追加」をクリックして Web リソースコレクションを追加します。
   4. 「Web リソースを追加」ダイアログで「リソース名」に「User」、「URL パターン」に「/secureUser/*」を設定し、「了解」をクリックします。
   5. 「認証制約を有効にする」を選択して「編集」をクリックし、「ロール名」フィールドを編集します。
   6. 「ロール名を編集」ダイアログで左の区画の「AdminRole」および「UserRole」を選択して「追加」をクリックし、「了解」をクリックします。
   注: web.xml でセッションのタイムアウトも設定できます。タイムアウトを設定するには、ビジュアルエディタの「一般」タブをクリックし、セッションの持続時間を指定します。デフォルトは 30 分です。

   フォームによるログイン

   ログイン用のフォームを使用すると、ログインページおよびエラーページの内容をカスタマイズできます。フォームを使用して認証を構成する手順は、作成したログインページおよびエラーページを指定する以外は基本的なログイン構成と同じです。

   次の手順は、ログインフォームの構成方法を示します。

   1. 「プロジェクト」ウィンドウで「Web ページ」 / 「WEB-INF」ディレクトリにある web.xml をダブルクリックし、ビジュアルエディタでファイルを開きます。
   2. ツールバーの「セキュリティー」をクリックし、セキュリティービューでファイルを開き、「ログイン構成」ノードを展開します。
   3. 「ログイン構成」を「フォーム」に設定します。
   4. 「参照」をクリックして login.jsp を検索し、フォームのログインページを設定します。

   5. 「参照」をクリックして loginError.html を検索し、フォームのエラーページを設定します。

      
   6. GlassFish ユーザー: 「レルム名」に「file」と入力します。これは、GlassFish サーバーでユーザーを作成した場所のレルム名に対応します。Tomcat ユーザーはレルム名を入力しません。
   7. 「セキュリティーロール」ノードを展開し、「追加」をクリックしてロール名を追加します。
   8. 次のセキュリティーロールを追加します。

      サーバーロール	説明
      AdminRole	このロールに追加したユーザーは、サーバーの secureAdmin ディレクトリへのアクセス権を持ちます。
      UserRole	このロールに追加したユーザーは、サーバーの secureUser ディレクトリへのアクセス権を持ちます。

   9. 次の手順に従って、AdminConstraint という名前のセキュリティー制約を作成および構成します。
      1. 「セキュリティー制約を追加」をクリックして新しいセキュリティー制約を作成します。
      2. 新しいセキュリティー制約の「表示名」に「AdminConstraint」と入力します。
      3. 「追加」をクリックして Web リソースコレクションを追加します。

      4. 「Web リソースを追加」ダイアログで「リソース名」に「Admin」、「URL パターン」に「/secureAdmin/*」を設定し、「了解」をクリックします。

         注: アスタリスク (*) を使用すると、そのフォルダにあるすべてのファイルに対するユーザーアクセス権を与えることになります。

         
      5. 「認証制約を有効にする」を選択し、「編集」をクリックします。「ロール名を編集」ダイアログが開きます。
      6. 「ロール名を編集」ダイアログで左の区画の「AdminRole」を選択して「追加」をクリックし、「了解」をクリックします。

         前述の手順を完了すると、次の図に示すような結果になるはずです。

         
   10. 次の手順に従って、UserConstraint という名前のセキュリティー制約を作成および構成します。
       1. 「セキュリティー制約を追加」をクリックして新しいセキュリティー制約を作成します。
       2. 新しいセキュリティー制約の「表示名」に「UserConstraint」と入力します。
       3. 「追加」をクリックして Web リソースコレクションを追加します。
       4. 「Web リソースを追加」ダイアログで「リソース名」に「User」、「URL パターン」に「/secureUser/*」を設定し、「了解」をクリックします。
       5. 「認証制約を有効にする」を選択して「編集」をクリックし、「ロール名」フィールドを編集します。
       6. 「ロール名を編集」ダイアログで左の区画の「AdminRole」および「UserRole」を選択して「追加」をクリックし、「了解」をクリックします。
       注: web.xml でセッションのタイムアウトも設定できます。タイムアウトを設定するには、ビジュアルエディタの「一般」タブをクリックし、セッションの持続時間を指定します。デフォルトは 30 分です。