「重要なお知らせ」へ戻る

1. 概要

Java SE 6 Update 41 以降を使用して WebOTX を動作させた場合に、各種運用系ツールから JMXMP プロトコルを介したドメインの運用操作ができなくなる問題を検出しました。この問題の発生を回避するため、JMXMP プロトコルを利用する場合には、WebOTX の各ドメインの設定内容を変更する必要があります。
なお、これに相当するHP-UX版のJDKバージョンは、2013/04にリリースされた6.0.18 以降です。

2. 詳細

Java SE 6 Update 41 以降において、Java のセキュリティ制約に関する見直しが図られました。その結果、Java VM が既定で使用可能な Java のコア・ライブラリ内のクラスパッケージの範囲に、より厳しい制限が掛けられています。WebOTX においては、各種運用系ツールからドメインの運用操作のために使用する通信プロトコルの一種である JMXMP (JMX Messaging Protocol) の実装で、この制限に抵触するライブラリの一部を利用しています。そのため、製品インストール時の設定内容では、JMXMP プロトコルを介したドメインの運用操作ができなくなります。

本事象に該当する場合、各種運用系ツールからドメインへの運用操作を行う際に、次のようなエラーメッセージがツールのログや画面に表示されます。

java.security.AccessControlException: access denied (java.lang.RuntimePermission accessClassInPackage.<クラス名>) 

3. 影響のある製品

WebOTX V8 シリーズの次の製品に影響があります。

• WebOTX Application Server
• WebOTX Batch Server
• WebOTX Portal
• WebOTX Enterprise Service Bus

ただし、各種運用系ツールからのドメインの運用操作に JMXMP プロトコルを使用していない場合は、製品動作への影響はありませんので、後述する回避策は不要です。

※ V8 では使用するプロトコルの既定は JMXMP ではありません。システム運用者が製品マニュアルで記載の手順に従ってドメインの設定変更を行わない限り、他のプロトコル(JRMP)が既定で使用されます。

4. 回避策

次に示す手順によりこの問題の発生を回避してください。

1. WebOTX を停止します。
2. 各ドメインの次の設定ファイルの内容を更新します。
   • Windows 系：<WebOTX インストールディレクトリ>\domains\<ドメイン名>\config\server.policy
   • UNIX系：opt/WebOTX/domains/<ドメイン名>/config/server.policy
   設定ファイルをエディタ等で開き、次の RuntimePermission 権限を追記します。
   

   grant principal javax.management.remote.JMXPrincipal "otxadmin" {       :     (↓この 1 行を追記)    permission java.lang.RuntimePermission "accessClassInPackage.*"; };

   ※ 記述内容に誤りがあるとドメインが起動できなくなりますので十分注意してください。
   

   この RuntimePermission 権限は、システム運用者(WebOTX 運用ユーザ)が各種運用系ツールからの操作により実行する処理上で、Java のコア・ライブラリに含まれるクラスパッケージにアクセス可能にすることを意味します。

3. WebOTX を起動します。
4. 各種運用系ツールから、JMXMP プロトコルを利用して各ドメインに接続できることを確認します。

5. 参考情報

• Java SE 6u45における変更およびWebOTXへの影響
• Linux(x64)のWebOTX Application Serverにおいて、Java SE 6 Update 34以降 / Java SE 7 Update 40以降でJMSサーバが起動しない問題について

6. 更新履歴