WebSphere Application Server, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

ローカル・オペレーティング・システムのユーザー・レジストリーの構成

これらのステップを使用して、ローカル・オペレーティング・システムのユーザー・レジストリーを構成し

始める前に

ローカル・オペレーティング・システム・ユーザー・レジストリーの使用について、詳しくはローカル・オペレーティング・システムのユーザー・レジストリー を参照してください。インストール済みの状態では、WebSphere Application Server の セキュリティーは使用不可となっています。以下のステップにより、WebSphere Application Server がインストールされている ローカル・オペレーティング・システムのユーザー・レジストリーを基にして、セキュリティーをセットアップすることができます。

セキュリティーのために、WebSphere Application Server は、 Windows オペレーティング・システム・レジストリー、AIX、Solaris、および複数のバージョンの Linux オペレーティング・システムのインプリメンテーションを提供し、サポートしています。 それぞれのオペレーティング・システム・アプリケーション・プログラミング・インターフェース (API) は、 製品プロセス (サーバー) で呼び出されて、ユーザーおよびその他のセキュリティー関連タスク (例えばユーザーまたはグループ情報の取得など) の認証を行います。 これらの API にアクセスできるのは、特権のあるユーザーに限られています。 これらの特権は、以下で説明するように、オペレーティング・システムによって異なります。

ローカル OS ユーザー・レジストリーを構成するには、使用するユーザー名 (ID) とパスワードを あらかじめ知っておかなければなりません。ユーザーは、ユーザー・レジストリー内の有効なユーザーであれば、誰であってもかまいません。 この資料では、このユーザーを、製品セキュリティー・サーバー ID、サーバー ID、またはサーバー・ユーザー ID と呼びます。 サーバー ID を持っているということは、 保護されている内部メソッドを呼び出す際に、そのユーザーに特別な権限があるということです。 通常、この ID およびパスワードは、セキュリティーをオンにした後に管理コンソールにログインする際に使用されます。 別のユーザーでも、そのユーザーに管理役割があれば、ログインに使用することができます。 セキュリティーが使用可能になっている場合、このサーバー ID およびパスワードは、製品の始動時にユーザー・レジストリーで認証されます。認証が失敗した場合、サーバーは始動しません。したがって、期限切れの ID やパスワードを選択したり、ID やパスワードを頻繁に変更したりしないようにしてください。 ユーザー・レジストリー内で製品サーバー・ユーザー ID またはパスワードを変更する必要がある場合は、必ず、すべての製品サーバーを始動して稼働しているときに変更を行うようにしてください。 ユーザー・レジストリー内で変更を完了したら、以下のステップに従って、ID とパスワード情報を変更してください。 すべてのサーバーを保管し、停止してから再始動して、製品が新しい ID やパスワードを使用できるようにします。 修正できない認証上の問題によって製品の始動後に何らかの問題が生じた場合は、セキュリティーを使用不可にしないと、 サーバーを始動することができません。これを避けるため、必ず変更内容を「グローバル・セキュリティー」パネルで検証するようにしてください。 サーバーが立ち上がったら、ID およびパスワード情報を変更して、セキュリティーを使用可能にします。

[Windows] 以下の問題を考慮してください。
  • サーバー ID は、製品のインストール先である Windows マシンの名前とは異なる名前にする必要があります。 例えば、Windows マシン名が vicky であり、セキュリティー・サーバー ID も vicky である場合、 Windows システムは、ユーザー vicky の情報 (グループ情報など) を取得する際に障害が起こります。
  • WebSphere Application Server は、そのマシンが Windows システム・ドメインのメンバーであるかどうかを動的に判別します。
  • WebSphere Application Server は、Windows のトラステッド・ドメインをサポートしません。
  • マシンが Windows ドメインのメンバーであれば、 ドメイン・ユーザー・レジストリーとそのマシンのローカル・ユーザー・レジストリーの両方が、認証およびセキュリティー役割のマッピングに使用されます。
  • 同じパスワードを持つユーザーが両方のユーザー・レジストリーに存在すると、ドメイン・ユーザー・レジストリーがマシンのローカル・ユーザー・レジストリーよりも優先されるため、ドメイン・ユーザー・レジストリーに望ましくない影響が及ぶ場合があります。
  • 製品プロセスの実行に使用されるユーザーには、ユーザーおよびグループ情報の認証または収集を行う Windows オペレーティング・システム API を呼び出す、管理特権とオペレーティング・システムの一部としてアクションを行う特権が必要です。 このプロセスには特殊権限が必要で、その権限はこれらの特権によって与えられます。 この例でのユーザーは、セキュリティー・サーバー ID と同じではない可能性があります (セキュリティー・サーバー ID の要件は、レジストリー内で有効なユーザーであるということです)。 このユーザーは、マシンにログインする (コマンド行を使用して製品プロセスを始動する場合) か、サービス・パネルの「ログオン・ユーザー」設定 (サービスを使用して製品プロセスを始動した場合) にログインします。 マシンがドメインの一部でもある場合は、このユーザーは、ドメイン内のオペレーティング・システム API を呼び出すドメイン管理グループの一部であり、さらに、ローカル・マシン内でオペレーティング・システムの一部としてアクションを行う特権を持っています。
以下の点を考慮してください。
  • [AIX] [AIX HP-UX Solaris] [Solaris] 製品プロセスの実行に使用されるユーザーには、root 特権が必要です。 この特権は、オペレーティング・システム API を呼び出して、ユーザーおよびグループ情報の認証または収集を行うために必要です。 このプロセスには特殊権限が必要で、その権限は root 特権によって与えられます。 このユーザーは、セキュリティー・サーバー ID と同じでなくてもかまいません (要件は、レジストリー内で有効なユーザーでなければならないということです)。 このユーザーは、マシンにログインして製品プロセスを実行します。
  • [AIX HP-UX Solaris] ローカル OS ユーザー・レジストリーを使用する場合、 グローバル・セキュリティーを使用可能にするユーザーは root 特権を持っている必要があります。 持っていない場合は、検証失敗のエラーが表示されます。
  • [Linux] システムにパスワード・シャドー・ファイルが必要になる場合があります。

このタスクについて

セキュリティーを初めてセットアップした場合は、最初にこのタスクを実行するのに、以下のステップが必要です。

プロシージャー

  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「ユーザー・レジストリー」の下の「ローカル OS」をクリックします。
  3. サーバー・ユーザー ID」フィールドに、有効なユーザー名を入力します。
  4. サーバー・ユーザー・パスワード」フィールドに、ユーザー・パスワードを入力します。
  5. オプション: デフォルトの許可を使用する際に WebSphere Application Server が大/小文字を区別しないで許可の検査を行えるようにする場合は、 「許可検査で大/小文字を区別しない」オプションを選択します。
  6. OK」をクリックします。

    OK」をクリックした場合は、管理コンソールはユーザー ID とパスワードを検証しません。 検証が行われるのは、「グローバル・セキュリティー」パネルで「OK」または「適用」をクリックしたときに限られます。 セキュリティーを初めて使用可能にする場合は、残りのステップを完了して「グローバル・セキュリティー」パネルに移動します。 「ローカル OS」がアクティブ・ユーザー・レジストリーとして選択されていることを確認してください。セキュリティーが既に使用可能になっていて、このパネルでユーザー情報またはパスワード情報のいずれかを変更した場合は、その変更を有効にするために、必ず「グローバル・セキュリティー」パネルに戻って、「OK」または「適用」をクリックしてください。 変更が有効になっていないと、サーバーは始動しません。

    重要: 他のユーザーに管理機能の実行を許可するまでは、 あなただけが指定したサーバー・ユーザー ID とパスワードを使って管理コンソールにアクセスすることができます。詳しくは 、管理の役割へのアクセスの許可 を参照してください。

結果

このパネルでの変更を有効にするには、 ノード、およびアプリケーション・サーバーなどの製品のすべてのサーバーを保管し、停止してから始動する必要があります。 サーバーが問題なく始動したら、セットアップは正しく行われたことになります。

これらのステップを実行すると、ローカル OS ユーザー・レジストリーを使用して 許可ユーザーを識別する WebSphere Application Server を構成したことになります。

次の作業

セキュリティーを使用可能にするための残りのステップを完了します。 詳しくは、すべてのアプリケーション・サーバーのセキュリティーの使用可能化 を参照してください。




サブトピック
適切な特権に対応したユーザー ID の構成
ローカル・オペレーティング・システムのユーザー・レジストリー設定
関連概念
Lightweight Directory Access Protocol ユーザー・レジストリー
関連タスク
すべてのアプリケーション・サーバーのセキュリティーの使用可能化
管理の役割へのアクセスの許可
ユーザー・レジストリーの選択
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 22, 2008 12:07:38 AM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/tsec_localos.html