WebSphere Application Server, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

グローバル・セキュリティーの設定

このページを使用してセキュリティーを構成します。 セキュリティーを使用可能にすると、グローバル・レベルでセキュリティー設定が行えるようになります。

この管理コンソール・ページを表示するには、 「セキュリティー」>「グローバル・セキュリティー」をクリックします。

セキュリティーを使用不可にすると、 WebSphere Application Server のパフォーマンスが 10% から 20% 向上します。 したがって、セキュリティーが不要なときには、セキュリティーを使用不可にすることを検討してください。

初めてセキュリティーの構成を行う際には、問題を回避するために、「カスタム・レジストリーのクラス名」に記載されたステップを行ってください。セキュリティーを構成する際、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みます。 グローバル・セキュリティーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、 初めてサーバーを再始動するときに問題を回避することができます。

「構成」タブ

グローバル・セキュリティーの使用可能化

この WebSphere Application Server ドメインのグローバル・セキュリティーを使用可能にするかどうかを指定します。

このフラグは、WebSphere Application Server 情報では通常、グローバル・セキュリティー・フラグ と呼ばれています。 セキュリティーを使用可能にするときには、認証メカニズムの構成を設定し、 選択されたユーザー・レジストリー構成で有効なユーザー ID とパスワードを指定してください。

デフォルト: 使用不可
Java 2 セキュリティーの実行

Java 2 セキュリティーによる許可検査を使用可能にするのか、使用不可にするのかを指定します。 デフォルトでは、Java 2 セキュリティーは使用不可になっています。 ただし、グローバル・セキュリティーを使用可能にすると、自動的に Java 2 セキュリティーが使用可能になります。グローバル・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。

Enforce Java 2 security」オプションが使用可能になっているときに、 アプリケーションがデフォルト・ポリシーで付与されるよりも多くの Java 2 セキュリティー許可を要求する場合、そのアプリケーションは、 アプリケーションの app.policy ファイルまたは was.policy ファイルに必要な許可が付与されるまでは、 正しく実行できない可能性があります。 必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。Java 2 セキュリティーに関する経験が十分でない場合は、WebSphere Application Server 資料を参照し、Java 2 セキュリティーおよび動的ポリシーに関するセクションを検討してください。

グローバル・セキュリティーを使用可能にした後にサーバーが再始動しなくなった場合には、セキュリティーを使用不可にしてください。$install_root/bin ディレクトリーに移動して、 wsadmin -conntype NONE コマンドを実行します。wsadmin> プロンプトで securityoff と入力し、次に exit と入力してコマンド・プロンプトに戻ります。 セキュリティーを使用不可にしてサーバーを再始動し、管理コンソールを介して誤っている設定を検査します。

デフォルト: 使用不可
きめ細かな JCA セキュリティーの実行

このオプションを使用可能にすると、 重要な Java Connector Architecture (JCA) マッピング認証データへのアプリケーションのアクセスが制限されます。

次の両方の条件が満たされる場合は、このオプションを使用可能にすることを検討してください。
  • Java 2 セキュリティーが実行される場合。
  • アプリケーション・エンタープライズ・アーカイブ (EAR) ファイル内にある was.policy ファイルで、アプリケーション・コードに accessRuntimeClasses WebSphereRuntimePermission 認可が付与されている場合。 例えば、was.policy ファイルに次のような行があれば、 アプリケーション・コードにこの許可が付与されています。

    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

きめ細かな JCA セキュリティーの強制」オプションによって、WSPrincipalMappingLoginModule インプリメンテーションのデフォルト・プリンシパル・マッピングに、きめ細かな Java 2 セキュリティー許可検査が追加されます。「Enable Java 2 security」オプションと 「きめ細かな JCA セキュリティーの強制」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接 WSPrincipalMappingLoginModule インプリメンテーションを使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的な許可を付与する必要があります。

デフォルト: 使用不可
ドメイン修飾ユーザー ID を使用

メソッドで戻されるユーザー名を、そのユーザー名が配置されているセキュリティー・ドメインで 修飾するように指定します。

デフォルト: 使用不可
キャッシュ・タイムアウト

セキュリティー・キャッシュのタイムアウト値を秒単位で指定します。

WebSphere Application Server のセキュリティーが使用可能になっている場合、 セキュリティー・キャッシュのタイムアウトによってパフォーマンスが影響を受ける可能性があります。 このタイムアウト設定値では、セキュリティー関連のキャッシュのリフレッシュ頻度が指定されます。 キャッシュに入るのは、Bean、許可、およびクレデンシャルに関するセキュリティー情報です。 キャッシュ・タイムアウトが満了すると、キャッシュされた情報はすべて無効になります。 その後でその情報に関する要求が行われると、データベースが検索されます。 情報を獲得するために、Lightweight Directory Access Protocol (LDAP) バインド またはネイティブの認証を呼び出すことが必要になる場合があります。 この呼び出しでは両方とも、比較的にパフォーマンスのコストがかかります。そのサイトの使用パターンとセキュリティーの必要性を検討して、アプリケーションにとって最適なトレードオフを決定してください。

デフォルトのセキュリティー・キャッシュ・タイムアウト値は 10 分です。ユーザーが少ない場合はもっ と長く、または、ユーザーが多い場合はもっと短い時間にする必要があります。

LTPA タイムアウト値は、セキュリティー・キャッシュ・タイムアウト以上でなければなりません。 また、LTPA タイムアウト値は ORB 要求タイムアウト値よりも長く設定することも推奨されます。 しかし、セキュリティー・キャッシュ・タイムアウト値と ORB 要求タイムアウト値との間には何の関係もありません。

20 分間のパフォーマンス・テストでは、 タイムアウトが生じないようにキャッシュ・タイムアウトを設定すると、 パフォーマンスが 40% 向上します。

データ型: 整数
単位:
デフォルト: 600
範囲: 30 秒より大
許可警告の発行

アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 Java API 許可は、java.* および javax.* パッケージで定義されている許可です。

WebSphere Application Server は、ポリシー・ファイル管理をサポートします。 この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。filter.policy ファイルには、J2EE 1.3 仕様に従って、アプリケーションが持つべきではない許可のリストが入っています。

デフォルト: 使用不可
アクティブなプロトコル

セキュリティーが使用可能になっている場合の、Remote Method Invocation over the Internet Inter-ORB Protocol (RMI IIOP) 要求のためのアクティブな認証プロトコルを指定します。

[バージョン 6.0.2] 前のリリースでは、Security Authentication Service (SAS) プロトコルが唯一の使用可能なプロトコルでした。

Common Secure Interoperability Version 2 (CSIv2) と呼ばれるオブジェクト管理グループ (OMG) はさらなる ベンダー・インターオペラビリティーおよび追加機能をサポートします。セキュリティー・ドメインに含まれるすべてのサーバーが バージョン 5.x 以降のサーバーである場合、プロトコルとして CSI を指定します。

バージョン 3.x またはバージョン 4.x のサーバーが存在する場合には、「CSI および SAS」を指定してください。

デフォルト: BOTH
範囲: CSI および SAS、CSI
範囲:
アクティブな認証メカニズム

セキュリティーが使用可能になっている場合のアクティブな認証メカニズムを指定します。

WebSphere Application Server では、Simple WebSphere Authentication Mechanism (SWAM) および Lightweight Third Party Authentication (LTPA) という認証メカニズムがサポートされています。

デフォルト: SWAM
範囲: SWAM、LTPA
アクティブなユーザー・レジストリー

セキュリティーが使用可能になっている場合のアクティブなユーザー・レジストリーを指定します。

UNIX 非ルート・ユーザーとして実行する場合や、マルチノード環境で実行する場合は、LDAP またはカスタム・ユーザー・レジストリーが必要です。

以下のユーザー・レジストリーのうちの 1 つについて、設定を構成することができます。
  • Local OS

    UNIX プラットフォームでグローバル・セキュリティーを使用可能にし、 さらにユーザー・レジストリーがローカル OS である場合は、サーバーをルートとして実行する必要があります。 ローカル OS のユーザー・レジストリーは、UNIX プラットフォーム上の非ルート・ユーザーに対してはサポートされていません。

  • LDAP ユーザー・レジストリー。

    ユーザーおよびグループが外部 LDAP ディレクトリーに置かれている場合には、LDAP ユーザー・レジストリーの設定値が使用されます。 セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、 「グローバル・セキュリティー」パネルに進み、「適用」または「OK」をクリックして変更内容を有効にしてください。

  • カスタム・ユーザー・レジストリー
デフォルト: ローカル OS (単一の独立型サーバー、またはシスプレックスおよびルート管理者のみ)
範囲: ローカル OS (単一の独立型サーバー、またはシスプレックスおよびルート管理者のみ)、 LDAP ユーザー・レジストリー、カスタム・ユーザー・レジストリー
連邦情報処理標準 (FIPS) を使用

連邦情報処理標準 (FIPS) 準拠の Java 暗号化エンジンを使用可能にします。

  • WebSphere Application Server for z/OS System Secure Sockets Layer (SSSL) によって実行される Secure Sockets Layer 暗号化に影響を与えません。
  • このセルに WebSphere Application Server for z/OS バージョン 6.0.x より前の Application Server バージョンが 含まれている場合は、JSSE プロバイダーを変更しません。

Use the Federal Information Processing Standard (FIPS)」を選択した場合には、 Lightweight Third Party Authentication (LTPA) インプリメンテーションは IBMJCEFIPS を使用します。IBMJCEFIPS は、Data Encryption Standard (DES)、Triple-DES、および Advanced Encryption Standard (AES) で、連邦情報処理標準 (FIPS) 承認済み暗号アルゴリズムをサポートしています。 ただし LTPA キーは、WebSphere Application Server の以前のリリースと互換性がありますが、LTPA トークンは以前のリリースとは互換性はありません。 以前のリリースの WebSphere Application Server では、LTPA トークンの生成を、FIPS 承認のアルゴリズムを使用して行いませんでした。

WebSphere Application Server では、IBMJSSEFIPS という FIPS 承認済みの Java Secure Socket Extension (JSSE) プロバイダーを提供しています。 FIPS 承認済みの JSSE は、Secure Sockets Layer (SSL) プロトコルとの互換性がないので、Transport Layer Security (TLS) プロトコルが必要です。

[HP-UX] 重要: IBMJSSEFIPS プロバイダーは HP-UX プラットフォームではサポートされません。ただし、IBMJCEFIPS を使用する IBMJSSE2 プロバイダーは、HP-UX プラットフォームでサポートされています。
デフォルト: 使用不可



関連タスク
すべてのアプリケーション・サーバーのセキュリティーの使用可能化
連邦情報処理標準 (FIPS) Java セキュア・ソケット拡張機能ファイルの構成
関連資料
Lightweight Directory Access Protocol (LDAP) 設定
関連情報
Cryptographic Module Validation Program FIPS 140-1 and FIPS 140-2 Pre-validation List
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 22, 2008 12:07:38 AM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/usec_rgsp.html