ローカル・オペレーティング・システムのユーザー・レジストリー実装により、 WebSphere Application Server の認証メカニズムは、 ローカル・オペレーティング・システムのユーザー・アカウント・データベースを使用できます。
Lightweight Directory Access Protocol (LDAP) は、 集中レジストリーです。 ほとんどのローカル・オペレーティング・システムのユーザー・レジストリーは、集中レジストリーではありませ ん。
WebSphere Application Server は、 Windows のローカル・アカウント・レジストリーおよびドメイン・レジストリーのインプリメンテーションも、 Linux、Solaris、および AIX のユーザー・アカウント・レジストリーのインプリメンテーションに加えて提供しています。 Windows Active Directory は、 後述する LDAP ユーザー・レジストリーの実装によってサポートされます。
アプリケーション・サーバーが複数のマシン間で分散している WebSphere Application Server 環境では、 各マシンが独自のユーザー・レジストリーを持つため、 ローカル OS ユーザー・レジストリーを使用しないでください。
Windows ドメイン・レジストリーおよび Network Information Services (NIS) は除外されます。 Windows ドメイン・レジストリーと Network Information Services (NIS) は、ともに集中レジストリーです。 Windows ドメイン・レジストリーは WebSphere Application Server によってサポートされていますが、 NIS はサポートされていません。
前述したように、 ユーザー・レジストリーから取り出したアクセス ID が、許可検査時に使用されます。これらの ID は、通常、固有の ID であるため、 まったく同じユーザーとパスワードが各マシン上に存在しても、マシンごとに異なります。
ローカル・オペレーティング・システム・ユーザー・レジストリーを使用している場合、 Web クライアント証明書認証は現在サポートされていません。 ただし、Java クライアント証明書認証は、 ローカル・オペレーティング・システム・ユーザー・レジストリーを使用して機能します。 Java クライアント証明書認証は、 証明書のドメイン・ネームの 1 番目の属性をユーザー・レジストリーのユーザー ID にマップします。
CWSCJ0337E: mapCertificate メソッドはサポートされていません
このエラーは、Web クライアント証明書に対するものですが、Java クライアント証明書の場合にも表示されます。 Java クライアント証明書の場合は、このエラーを無視してください。WebSphere Application Server プロセスを実行するユーザーは、 Windows オペレーティング・システムからユーザーおよびグループ情報を認証したり、取得したりするために、 Windows システムのアプリケーション・プログラミング・インターフェース (API) を呼び出すことができる十分なオペレーティング・システム特権を持っている必要があります。 このユーザーがマシンにログインするか、 またはサービスとして稼働中の場合は、「Log On As」ユーザーがログオンします。 マシンによって、およびマシンがスタンドアロン・マシンであるか、 ドメインの一部またはドメイン・コントローラーとなっているマシンであるかによって、 アクセス要件は異なります。
ユーザーは、ドメイン・ユーザーであり、ローカル・ユーザーではありません。 これは、マシンがドメインの一部であるときに、 ドメイン・ユーザーしかサーバーを開始できないことを意味しています。
WebSphere Application Server の始動時に、セキュリティー・ランタイム初期化プロセスは、 ローカル・マシンが Windows ドメインのメンバーであるかどうかを動的に判別します。 マシンがドメインの一部である場合は、優先するドメイン・レジストリーの認証および許可を目的として、 デフォルトで、ローカル・レジストリー・ユーザーまたはグループならびにドメイン・レジストリー・ユーザーまたはグループの両方を使用できます。 セキュリティー役割マッピング中に示されたユーザーおよびグループのリストには、 ローカル・ユーザー・レジストリーおよびドメイン・ユーザー・レジストリーの両方からのユーザーおよびグループが含まれています。 ユーザーとグループは、関連付けられたホスト名により区別できます。
WebSphere Application Server は、 トラステッド・ドメインをサポートしていません。
マシンが Windows システム・ドメインのメンバーでない場合は、 そのマシンのローカルなユーザー・レジストリーが使用されます。
通常、 ローカル・レジストリーおよびドメイン・レジストリーに共通のユーザーまたはグループが含まれていない場合は、 管理が簡単になり、好ましくない副次作用の発生を避けられます。 可能であれば、ユーザーおよびグループには、サーバー ID や管理役割などの、 固有のセキュリティー役割へのアクセスを提供してください。 この状況では、 ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーのいずれかから、 ユーザーおよびグループを選択し、役割へのマッピングを行ないます。
同じユーザーまたはグループがローカル・ユーザー・レジストリーとドメイン・ユーザー・レジストリーの両方に存在する場合、 少なくとも、サーバー ID、および管理役割へマップされるユーザーおよびグループが、 レジストリー内で固有であり、ドメイン上にのみ存在することが推奨されます。
ユーザーの共通セットが存在する場合は、 該当するユーザーが確実に認証を受けられるように異なるパスワードを設定してください。
マシンがドメインに含まれる場合、 ローカル・ユーザー・レジストリーよりもドメイン・ユーザー・レジストリーが優先します。 例えば、ユーザーがシステムにログインする場合、 まずドメイン・ユーザー・レジストリーがユーザーを認証しようとします。 認証が失敗すると、ローカル・ユーザー・レジストリーが使用されます。 ユーザーまたはグループが役割にマップされる際に、 ユーザーおよびグループの情報は、まずドメイン・ユーザー・レジストリーから取得されます。 これが失敗すると、ローカル・ユーザー・レジストリーから情報を取得しようとします。
同じパスワードを持つユーザーが、 ドメイン・ユーザー・レジストリーおよびローカル・ユーザー・レジストリーの両方に存在する場合、 ドメイン・ユーザー・レジストリーを最初に許可すると、問題が発生する可能性があります。 ユーザーは最初にドメイン・ユーザー・レジストリー内で認証されるため、この状態では役割ベースの許可が失敗する可能性があります。 この認証によって、WebSphere Application Server で使用される固有のドメイン・セキュリティー ID が許可検査中に生成されます。 しかし、役割の割り当てには、ローカル・ユーザー・レジストリーが使用されます。 ドメイン・セキュリティー ID は、役割に関連付けられた固有のセキュリティー ID とは一致しません。 この問題を避けるためには、セキュリティー役割をローカル・ユーザーではなく、ドメイン・ユーザーにマップしてください。
. ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーの両方ではなく、 そのいずれかからユーザーおよびグループにアクセスする場合は、com.ibm.websphere.registry.UseRegistry プロパティーを設定します。 このプロパティーは、local または domain のいずれかに設定できます。 このプロパティーが local (大/小文字は区別しません) に設定されている場合は、ローカル・ユーザー・レジストリー のみが使用されます。このプロパティーが domain (大/小文字は区別しません) に設定されている場合は、 ドメイン・ユーザー・レジストリーのみが使用されます。
このプロパティーを設定するには、管理コンソールで、 「セキュリティー」>「ユーザー・レジストリー」>「ローカル OS」パネルの「カスタム・プロパティー」をクリックするか、 またはスクリプトを使用します。 このプロパティーが設定された場合、 製品プロセスを実行するユーザーに必要な特権は変わりません。 例えば、このプロパティーが local に設定されていても、 プロセスを実行しているユーザーには、プロパティーが設定されていない場合と同じ特権が必要です。
WebSphere Application Server ローカル OS セキュリティー・ユーザー・レジストリーが Linux および Solaris プラットフォーム上で作業する場合には、シャドー・パスワード・ファイルが必要です。 シャドー・パスワード・ファイルは shadow という名前で、 /etc ディレクトリーにあります。 シャドー・パスワード・ファイルが存在しない場合には、 グローバル・セキュリティーを使用可能にし、 ローカル OS としてユーザー・レジストリーを構成した後に、 エラーが発生します。
WebSphere Application Server ローカル・オペレーティング・システムのレジストリーが Linux および Solaris プラットフォーム上で実行する場合には、シャドー・パスワード・ファイルが必要です。 シャドー・パスワード・ファイルは shadow という名前で、 /etc ディレクトリーにあります。シャドー・パスワード・ファイルが存在しない場合には、 管理セキュリティーを使用可能にして、ローカル・オペレーティング・システムとしてレジストリーを構成した後に、エラーが発生します。
シャドー・ファイルを作成するには、 pwconv コマンドを (パラメーターなしで) 実行してください。 このコマンドにより、/etc/passwd ファイルから /etc/shadow ファイルが作成されます。 シャドー・ファイルの作成後は、 ローカル・オペレーティング・システム・セキュリティーを正常に使用可能にできます。
デフォルトでは、 ユーザー・レジストリーはすべての製品プロセスに対してローカルです。 この方が、リモート呼び出しの必要がないため、パフォーマンスに優れ、 ユーザー・レジストリーの可用性も高くなります。 プロセスが失敗した場合でも、他のプロセスへの影響はありません。
ユーザー・レジストリーとしてローカル OS を使用する場合には、 あらゆる製品プロセスは、特権アクセスによって実装する必要があります。
例えば、UNIX の場合の「root」や Windows システムの場合の「オペレーティング・システムの一部として機能」
があります。
ノードおよびセルのプロセスは構成情報を操作するためのものであり、 トラフィックが増大し、問題を引き起こす、すべてのアプリケーション・サーバー用のユーザー・レジストリーをホスティングするためのものです。