WebSphere Application Server, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

すべてのアプリケーション・サーバーのセキュリティーの使用可能化

要件に合うセキュリティー・コンポーネントを決定した後で、以下のステップに従って WebSphere Application Server のグローバル・セキュリティーを構成します。

始める前に

インフラストラクチャーの観点からセキュリティーを理解しておくと、 さまざまな認証メカニズム、ユーザー・レジストリー、認証プロトコルなどの利点を知ることができて有益です。 ユーザーの要件に合った正しいセキュリティー・コンポーネントを選択することも、グローバル・セキュリティーの構成の一環です。 以下のセクションは、これらの判断を下す際の一助となるものです。 セキュリティー構成を続行する前に、以下の項目を読んでください。 セキュリティー・コンポーネントについて理解すると、WebSphere Application Server でのグローバル・セキュリティーの構成を進めることができます。

プロシージャー

  1. WebSphere Application Server の始動後に、 http://yourhost.domain:port_number/ibm/console をクリックして、WebSphere Application Server 管理コンソールを開始します。 現在セキュリティーが使用不可になっている場合は、いずれかのユーザー ID でログインします。 現在セキュリティーが使用可能になっている場合は、定義済みの管理 ID とパスワードでログインします。この ID は、 通常ユーザー・レジストリーの構成時に指定するサーバー・ユーザー ID です。
  2. セキュリティー」>「グローバル・セキュリティー」とクリックして、認証メカニズム、ユーザー・レジストリーなどを構成します。 構成の順序は重要ではありません。ただし、「グローバル・セキュリティー」パネルで 「グローバル・セキュリティーの使用可能化」オプションを選択する場合は、これらのタスクがすべて完了していることを確認してください。 「適用」または「OK」をクリックした場合に「管理セキュリティーを使用可能にする 」オプションが設定されていると検査が実行され、管理ユーザー ID が構成済みで、アクティブ・ユーザー・レジストリーに存在するかどうかが確認されます。 管理ユーザー ID は、「アクティブ・ユーザー・レジストリー」パネルまたはコンソール・ユーザーのリンクから指定できます。 アクティブ・ユーザー・レジストリーに対して管理 ID が構成されていないと、検査に失敗します。
  3. ユーザー・レジストリーを構成します。 詳しくは、ユーザー・レジストリーの選択 を参照してください。 「グローバル・セキュリティー」パネルの「ユーザー・レジストリー」の下にあるリンクから、ローカル OS、Lightweight Directory Access Protocol (LDAP)、またはカスタム・ユーザー・レジストリーを構成することができます。

    すべてのユーザー・レジストリーに 共通の詳細事項の 1 つに、サーバー・ユーザー ID があります。 この ID は、選択されたユーザー・レジストリーの 1 メンバーですが、WebSphere Application Server では特別な権限も持っています。 この ID の特権と、管理役割 ID に関連付けられている特権とは同じものです。 サーバー・ユーザー ID は、すべての保護管理メソッドにアクセスできます。

    [Windows] この ID は、システムのマシン名と同じ名前であってはなりません。これは、ユーザー・レジストリーが、同名のユーザーを照会する際に、マシン固有の情報を戻す場合があるためです。

    LDAP ユーザー・レジストリーでは、サーバー・ユーザー ID が、LDAP 管理役割 ID であるだけでなく、ユーザー・レジストリーのメンバーであることを確認してください。このエントリーは、検索可能である必要があります。

    サーバー・ユーザー ID は、 WebSphere Application Server プロセスの実行は行いません。 代わりに、プロセス ID が WebSphere Application Server プロセスを実行します。

    プロセス ID は、そのプロセスの始動方法によって決まります。 例えば、コマンド行を使用してプロセスを始動する場合は、システムにログインするユーザー ID がプロセス ID になります。 サービスとして実行している場合、システムにログインする ユーザー ID は、サービスを実行しているユーザー ID です。 ローカル OS ユーザー・レジストリーを選択する場合は、プロセス ID に、オペレーティング・システム API を呼び出すための特別な権限が必要です。 プロセス ID には、以下のプラットフォーム固有の特権がなければなりません。
    • [Windows] オペレーティング・システムの一部として機能特権
    • [AIX HP-UX Solaris] ルート特権
  4. 認証メカニズムを構成します。 認証メカニズムの構成に ついて詳しくは、認証メカニズムの選択 の項目を参照してください。 「グローバル・セキュリティー」パネルでは、2 つの認証メカニズム SWAM (Simple WebSphere Authentication Mechanism) と LTPA (Lightweight Third Party Authentication) から選択します。 しかし、LTPA だけは、追加の構成パラメーターが必要です。 単一サーバーの要件には、SWAM オプションを使用します。 複数サーバーの分散された要件には、LTPA オプションを使用します。 SWAM のクレデンシャルは、他のマシンに転送することはできません。そのため、有効期限が切れることはありません。 LTPA のクレデンシャルは、他のマシンに転送することができ、セキュリティー上の理由から有効期限が設定されています。 この有効期限は、構成可能です。 LTPA を使用する場合には、Web ユーザー認証を最小化するためのシングル・サインオンのインプリメント してください。 シングル・サインオンがサポートがされていれば、何度も認証を行うことなく、 ブラウザーでさまざまな製品のサーバーを使用することができます。
  5. 必要な場合は、 Java クライアントからの特別なセキュリティー要件の認証プロトコルを構成します。 このタスクでは、Common Secure Interoperability バージョン 2 (CSIv2) または Security Authentication Service (SAS) のどちらかのプロトコルを選択する必要があります。SAS プロトコルは、製品の旧リリースへの後方互換として現在も提供されていますが、使用することはお勧めしません。 CSIv2 または SAS の構成について詳しくは、 Common Secure Interoperability バージョン 2 (CSIV2) および Security Authentication Service (SAS) の構成 の項目を参照してください。
    重要: 今後のリリースでは、 Secure Authentication Service (SAS) IIOP セキュリティー・プロトコルの 出荷およびサポートは廃止される予定です。 Common Secure Interoperability バージョン 2 (CSIv2) プロトコルを使用することをお勧めします。
  6. 製品にパッケージされているデフォルトの Secure Sockets Layer (SSL) 鍵ストア・ファイルおよびトラストストア・ファイルを変更します。 この操作により、インターネットを介して送信されるメッセージの保全性が保護されます。 この製品では、SSL を使用する各種 WebSphere Application Server フィーチャーが利用できる SSL 構成を、 1 か所で指定することができます。指定できる SSL 構成には、LDAP ユーザー・レジストリー、Web コンテナー、 および認証プロトコル (CSIv2 および SAS) があります。 鍵ストア・ファイルの作成 およびトラストストア・ファイルの作成 の項目を参照して、新規の鍵ストアとトラストストアを作成してください。 別々のユーザーに対して別々の鍵ストア・ファイルおよび トラストストア・ファイルを作成することも、 サーバーが Secure Sockets Layer (SSL) を使用するすべての対象について 1 セットの鍵ストア・ファイルおよびトラストストア・ファイルを作成することもできます。 これらの新規の鍵ストア・ファイルおよびトラストストア・ファイルを作成 したら、「SSL 構成レパートリー」でそれらを指定します。 「SSL 構成レパートリー」の画面に進むには、「セキュリティー」>「SSL」とクリックします。 詳しくは、 Secure Sockets Layer (SSL) の構成 の項目を参照してください。「SSL 構成レパートリー」の画面に進むには、「セキュリティー」>「SSL」と クリックします。DefaultSSLConfig ファイルを編集するか、または新規のエイリアス名で新規の SSL 構成を作成することができます。 新規の鍵ストア・ファイルとトラストストア・ファイルに新規のエイリアス名を作成する場合は 、SSL 構成エイリアス DefaultSSLConfig を参照するロケーションをすべて変更します。 以下のリストは、WebSphere Application Server 構成における SSL 構成レパートリー・エイリアスの使用場所を明示しています。
    HTTP および Java Message Service (JMS) を含む、新規ネットワーク入出力チャネル・チェーンを使用するトランスポートの場合は、各サーバーの以下のロケーションで、SSL 構成レパートリー・エイリアスを変更することができます。
    オブジェクト・リクエスト・ブローカー (ORB) SSL トランスポートの場合は、以下のロケーションにある SSL 構成レパートリー・エイリアスを変更することができます。
    • セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で「認証プロトコル」>「CSIv2 インバウンド・トランスポート」をクリックします。
    • セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で「認証プロトコル」>「CSIv2 アウトバウンド・トランスポート」とクリックします。
    • セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で、 「認証プロトコル」>「SAS インバウンド・トランスポート」をクリックします。
    • セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で、「認証プロトコル」>「SAS アウトバウンド・トランスポート」とクリックします。
    注: これらは、WebSphere Application Server および WebSphere Application Server Express のサーバー・レベルの構成です。

    Simple Object Access Protocol (SOAP) Java Management Extensions (JMX) 管理トランスポートの場合は、「サーバー」>「アプリケーション・サーバー」>「server_name 」とクリックして、SSL 構成レパートリー・エイリアスを変更することができます。 「サーバー・インフラストラクチャー」の下の「管理」>「管理サービス」とクリックします。 「追加プロパティー」の下の「JMX コネクター」>「SOAPConnector」とクリックします。「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。 sslConfig プロパティーで新規エイリアスを指し示す場合は、「sslConfig」をクリックしてから、「値」フィールドでエイリアスを選択します。

    Lightweight Directory Access Protocol (LDAP) SSL トランスポートの場合は、「セキュリティー」>「グローバル・セキュリティー」とクリックして、SSL 構成レパートリー・エイリアスを変更することができます。「ユーザー・レジストリー」の下の「LDAP」をクリックします。

  7. セキュリティー」>「グローバル・セキュリティー」とクリックし、残りのセキュリティー設定を構成して、セキュリティーを使用可能にします。 このパネルは、セキュリティー構成の最終検証を行います。このパネルの「OK」または「適用」をクリックすると、セキュリティー検証ルーチンが実行され、ページの最上部にすべての問題が報告されます。 これらのフィールドについて詳しくは、グローバル・セキュリティーの設定 の項目を参照してください。 すべてのフィールドへの記入を完了したら、「OK」または「適用」をクリックして、選択した設定を受け入れます。 「保管」をクリックして、これらの設定をファイルに出力して永続的に保管します。 赤字の情報メッセージが表示された場合は、セキュリティー検証に問題が発生しています。 通常、メッセージは問題を示します。したがって、構成を見直し、ユーザー・レジストリーの設定が正確であること、および正しいレジストリーが選択されていることを確認してください。または、LTPA 構成が完全に指定されていない可能性もあります。
  8. サーバーを再始動した後で使用できるように、サーバーの構成を保管します。 「セキュリティー」>「グローバル・セキュリティー」パネルの「OK」 または「適用」をクリックしてこの操作を完了し、検証で問題が検出されないようにします。 構成値を保管するには、最上部のメニュー・バーの「保管」をクリックします。 このアクションにより、設定値は構成リポジトリーに書き込まれます。 メインメニューで「保管」をクリックする前に「グローバル・セキュリティー」パネルで「適用」または「OK」ボタンをクリックしない場合には、変更内容はリポジトリーに書き込まれません。



サブトピック
グローバル・セキュリティー
Java 2 セキュリティー
レルムのセキュリティーの使用可能化
使用可能にしたセキュリティーのテスト
関連タスク
ユーザー・レジストリーの選択
Lightweight Third Party Authentication メカニズムの構成
関連資料
グローバル・セキュリティーの設定
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 22, 2008 12:07:38 AM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/tsec_csec.html