Liberty へのセキュア JMX 接続の構成

SSL の使用により、Liberty の保護された Java™ Management Extensions (JMX) コネクターにアクセスできます。保護された JMX 接続は、Liberty フィーチャー restConnector-1.0 によって使用可能になります。

このタスクについて

REST コネクターは、Liberty フィーチャー restConnector-1.0 を使用して使用可能にします。REST コネクターを使用したリモート・アクセスは、単一の管理者ロールによって保護されます。また、通信の機密性を保つためには、SSL が必要です。restConnector-1.0 フィーチャーには、ssl-1.0 が既に組み込まれています。

注: Liberty にデプロイされたアプリケーションは、その MBeanServer ディレクトリーに無制限にアクセスできます。

以下のセクションでは、Liberty の REST コネクターを構成してこのコネクターにアクセスする方法について説明します。

手順

  1. server.xml ファイル内で以下のコードを使用して、ローカル・コネクターを使用可能にします。
    <featureManager>
         <feature>restConnector-2.0</feature>
    </featureManager>
  2. server.xml ファイルで SSL 証明書を構成します

    証明書の subjectDN の CN 値が、サーバーが実行されるマシンのホスト名であることと、 トラストストアに jConsole 接続でのサーバーの証明書が含まれることを確認してください。

  3. server.xml ファイルでユーザーまたはグループを管理者ロールに構成します。
  4. REST コネクターにアクセスします。

    Liberty REST コネクターには、Java クライアントから、または直接 HTTPS 呼び出しを通じてアクセスできます。Java クライアントでは、wlp/clients/restConnector.jar 内にあるクライアント・サイドのコネクターを使用し、 javax.management.MBeanServerConnection インターフェースを実装します。 HTTPS 呼び出しでは、サーバー・サイドのコネクターを使用します。 サーバー・サイドでの HTTPS 呼び出しに関しては、HTTPS 呼び出しが可能な任意のプログラミング言語 (C++、JavaScript、curl、Ruby、Perl など) で、REST API を使用できます。 REST API には、管理 (JMX)、ファイル転送、集合ルーティング、集合デプロイメントのエンドポイントが含まれます。

    • JMX クライアント・アプリケーションから、または Java SDK で提供される jConsole ツールを使用して、REST コネクターにアクセスします。-J フラグを使用して Java オプションとしてシステム・プロパティーを受け渡し、 コネクター・クラス・ファイルをインクルードするためのクラスパスを設定します。 コネクター・クラス・ファイルは、 clients/restConnector.jar ファイルに圧縮されて入っています。
      • SSL 証明書に関する次のプロパティーを使用します。
        -J-Djavax.net.ssl.trustStore=<location of your client trust store>
        -J-Djavax.net.ssl.trustStorePassword=<password for the trust store>
        -J-Djavax.net.ssl.trustStoreType=<type of trust store>
        以下の例では、jConsoleツールと SSL の構成を一緒に使用しています。
        jconsole -J-Djava.class.path=%JAVA_HOME%/lib/jconsole.jar;
                                     %JAVA_HOME%/lib/tools.jar;
                                     %WLP_HOME%/clients/restConnector.jar
                 -J-Djavax.net.ssl.trustStore=key.jks 
                 -J-Djavax.net.ssl.trustStorePassword=Liberty 
                 -J-Djavax.net.ssl.trustStoreType=jks

        jConsole が開始されたら、「リモート・プロセス (Remote Process)」を選択し、JMX サービスの URL を入力します。restConnector-2.0 フィーチャーが構成された、始動後の Liberty サーバーの場合、この URL は ${server.output.dir}/logs/state/com.ibm.ws.jmx.rest.address 内で確認できます。

      • For z/OS platformsz/OS では、以下のシステム・プロパティーを使用します。
        -J-Djava.protocol.handler.pkgs=com.ibm.crypto.provider
        -J-Djavax.net.ssl.trustStore=<SAF keyring>
        -J-Djavax.net.ssl.trustStorePassword=<password to SAF>
        -J-Djavax.net.ssl.trustStoreType=JCERACFKS 
    • HTTPS 呼び出しを使用して直接 REST コネクターにアクセスします。

      HTTPS 呼び出しを使用して REST コネクターにアクセスするには、ベータ版の WebSphere® Application Server Liberty (2014 年 8 月に使用可能) 以降が必要です。

      1. ブラウザーを開いて https://<host>:<port>/IBMJMXConnectorREST/api にアクセスし、ステップ 3 で指定した管理クレデンシャルを入力します。
      2. 使用可能な REST API を調べます。各項目に、その振る舞い、入力、出力、照会パラメーター、ヘッダーの説明があります。
    注: システム・プロパティーとして JMX REST 接続オプションを指定できます。「Liberty API - WebSphere JMX REST Connector API」を参照してください。

トピックのタイプを示すアイコン タスク・トピック

ファイル名: twlp_admin_restconnector.html