WebSphere Application Server Network Deployment, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

すべてのアプリケーション・サーバーのセキュリティーの使用可能化

要件に合うセキュリティー・コンポーネントを決定した後で、以下のステップに従って WebSphere Application Server のグローバル・セキュリティーを構成します。

始める前に

インフラストラクチャーの観点からセキュリティーを理解しておくと、 さまざまな認証メカニズム、ユーザー・レジストリー、認証プロトコルなどの利点を知ることができて有益です。 ユーザーの要件に合った正しいセキュリティー・コンポーネントを選択することも、グローバル・セキュリティーの構成の一環です。 以下のセクションは、これらの判断を下す際の一助となるものです。 セキュリティー構成を続行する前に、以下の項目を読んでください。 セキュリティー・コンポーネントについて理解すると、WebSphere Application Server でのグローバル・セキュリティーの構成を進めることができます。

プロシージャー

  1. WebSphere Application Server の始動後に、 http://yourhost.domain:port_number/ibm/console をクリックして、WebSphere Application Server 管理コンソールを開始します。 現在セキュリティーが使用不可になっている場合は、いずれかのユーザー ID でログインします。 現在セキュリティーが使用可能になっている場合は、定義済みの管理 ID とパスワードでログインします。この ID は、 通常ユーザー・レジストリーの構成時に指定するサーバー・ユーザー ID です。
  2. セキュリティー」>「グローバル・セキュリティー」とクリックして、認証メカニズム、ユーザー・レジストリーなどを構成します。 構成の順序は重要ではありません。ただし、「グローバル・セキュリティー」パネルで 「グローバル・セキュリティーの使用可能化」オプションを選択する場合は、これらのタスクがすべて完了していることを確認してください。 「適用」または「OK」をクリックした場合に「管理セキュリティーを使用可能にする 」オプションが設定されていると検査が実行され、管理ユーザー ID が構成済みで、アクティブ・ユーザー・レジストリーに存在するかどうかが確認されます。 管理ユーザー ID は、「アクティブ・ユーザー・レジストリー」パネルまたはコンソール・ユーザーのリンクから指定できます。 アクティブ・ユーザー・レジストリーに対して管理 ID が構成されていないと、検査に失敗します。
  3. ユーザー・レジストリーを構成します。 詳しくは、ユーザー・レジストリーの選択 を参照してください。 「グローバル・セキュリティー」パネルの「ユーザー・レジストリー」の下にあるリンクから、ローカル OS、Lightweight Directory Access Protocol (LDAP)、またはカスタム・ユーザー・レジストリーを構成することができます。

    すべてのユーザー・レジストリーに 共通の詳細事項の 1 つに、サーバー・ユーザー ID があります。 この ID は、選択されたユーザー・レジストリーの 1 メンバーですが、WebSphere Application Server では特別な権限も持っています。 この ID の特権と、管理役割 ID に関連付けられている特権とは同じものです。 サーバー・ユーザー ID は、すべての保護管理メソッドにアクセスできます。

    [Windows] この ID は、システムのマシン名と同じ名前であってはなりません。これは、ユーザー・レジストリーが、同名のユーザーを照会する際に、マシン固有の情報を戻す場合があるためです。

    LDAP ユーザー・レジストリーでは、サーバー・ユーザー ID が、LDAP 管理役割 ID であるだけでなく、ユーザー・レジストリーのメンバーであることを確認してください。このエントリーは、検索可能である必要があります。

    サーバー・ユーザー ID は、 WebSphere Application Server プロセスの実行は行いません。 代わりに、プロセス ID が WebSphere Application Server プロセスを実行します。

    プロセス ID は、そのプロセスの始動方法によって決まります。 例えば、コマンド行を使用してプロセスを始動する場合は、システムにログインするユーザー ID がプロセス ID になります。 サービスとして実行している場合、システムにログインする ユーザー ID は、サービスを実行しているユーザー ID です。 ローカル OS ユーザー・レジストリーを選択する場合は、プロセス ID に、オペレーティング・システム API を呼び出すための特別な権限が必要です。 プロセス ID には、以下のプラットフォーム固有の特権がなければなりません。
    • [Windows] オペレーティング・システムの一部として機能特権
    • [AIX HP-UX Solaris] ルート特権
  4. 認証メカニズムを構成します。 認証メカニズムの構成に ついて詳しくは、認証メカニズムの選択 の項目を参照してください。 「グローバル・セキュリティー」パネルでは、2 つの認証メカニズム SWAM (Simple WebSphere Authentication Mechanism) と LTPA (Lightweight Third Party Authentication) から選択します。 しかし、LTPA だけは、追加の構成パラメーターが必要です。 単一サーバーの要件には、SWAM オプションを使用します。 複数サーバーの分散された要件には、LTPA オプションを使用します。 SWAM のクレデンシャルは、他のマシンに転送することはできません。そのため、有効期限が切れることはありません。 LTPA のクレデンシャルは、他のマシンに転送することができ、セキュリティー上の理由から有効期限が設定されています。 この有効期限は、構成可能です。 LTPA を使用する場合には、Web ユーザー認証を最小化するためのシングル・サインオンのインプリメント してください。 シングル・サインオンがサポートがされていれば、何度も認証を行うことなく、 ブラウザーでさまざまな製品のサーバーを使用することができます。
  5. 必要な場合は、 Java クライアントからの特別なセキュリティー要件の認証プロトコルを構成します。 このタスクでは、Common Secure Interoperability バージョン 2 (CSIv2) または Security Authentication Service (SAS) のどちらかのプロトコルを選択する必要があります。SAS プロトコルは、製品の旧リリースへの後方互換として現在も提供されていますが、使用することはお勧めしません。 CSIv2 または SAS の構成について詳しくは、 Common Secure Interoperability バージョン 2 (CSIV2) および Security Authentication Service (SAS) の構成 の項目を参照してください。
    重要: 今後のリリースでは、 Secure Authentication Service (SAS) IIOP セキュリティー・プロトコルの 出荷およびサポートは廃止される予定です。 Common Secure Interoperability バージョン 2 (CSIv2) プロトコルを使用することをお勧めします。
  6. 製品にパッケージされているデフォルトの Secure Sockets Layer (SSL) 鍵ストア・ファイルおよびトラストストア・ファイルを変更します。 この操作により、インターネットを介して送信されるメッセージの保全性が保護されます。 この製品では、SSL を使用する各種 WebSphere Application Server フィーチャーが利用できる SSL 構成を、 1 か所で指定することができます。指定できる SSL 構成には、LDAP ユーザー・レジストリー、Web コンテナー、 および認証プロトコル (CSIv2 および SAS) があります。 鍵ストア・ファイルの作成 およびトラストストア・ファイルの作成 の項目を参照して、新規の鍵ストアとトラストストアを作成してください。 別々のユーザーに対して別々の鍵ストア・ファイルおよび トラストストア・ファイルを作成することも、 サーバーが Secure Sockets Layer (SSL) を使用するすべての対象について 1 セットの鍵ストア・ファイルおよびトラストストア・ファイルを作成することもできます。 これらの新規の鍵ストア・ファイルおよびトラストストア・ファイルを作成 したら、「SSL 構成レパートリー」でそれらを指定します。 「SSL 構成レパートリー」の画面に進むには、「セキュリティー」>「SSL」とクリックします。 詳しくは、 Secure Sockets Layer (SSL) の構成 の項目を参照してください。「SSL 構成レパートリー」の画面に進むには、「セキュリティー」>「SSL」と クリックします。DefaultSSLConfig ファイルを編集するか、または新規のエイリアス名で新規の SSL 構成を作成することができます。 新規の鍵ストア・ファイルとトラストストア・ファイルに新規のエイリアス名を作成する場合は 、SSL 構成エイリアス DefaultSSLConfig を参照するロケーションをすべて変更します。 以下のリストは、WebSphere Application Server 構成における SSL 構成レパートリー・エイリアスの使用場所を明示しています。
    HTTP および Java Message Service (JMS) を含む、新規ネットワーク入出力チャネル・チェーンを使用するトランスポートの場合は、各サーバーの以下のロケーションで、SSL 構成レパートリー・エイリアスを変更することができます。
    オブジェクト・リクエスト・ブローカー (ORB) SSL トランスポートの場合は、以下のロケーションにある SSL 構成レパートリー・エイリアスを変更することができます。
    • セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で「認証プロトコル」>「CSIv2 インバウンド・トランスポート」をクリックします。
    • セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で「認証プロトコル」>「CSIv2 アウトバウンド・トランスポート」とクリックします。
    • セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で、 「認証プロトコル」>「SAS インバウンド・トランスポート」をクリックします。
    • セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で、「認証プロトコル」>「SAS アウトバウンド・トランスポート」とクリックします。

    Simple Object Access Protocol (SOAP) Java Management Extensions (JMX) 管理トランスポートの場合は、「サーバー」>「アプリケーション・サーバー」>「server_name 」とクリックして、SSL 構成レパートリー・エイリアスを変更することができます。 「サーバー・インフラストラクチャー」の下の「管理」>「管理サービス」とクリックします。 「追加プロパティー」の下の「JMX コネクター」>「SOAPConnector」とクリックします。「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。 sslConfig プロパティーで新規エイリアスを指し示す場合は、「sslConfig」をクリックしてから、「値」フィールドでエイリアスを選択します。

    Lightweight Directory Access Protocol (LDAP) SSL トランスポートの場合は、「セキュリティー」>「グローバル・セキュリティー」とクリックして、SSL 構成レパートリー・エイリアスを変更することができます。「ユーザー・レジストリー」の下の「LDAP」をクリックします。

  7. セキュリティー」>「グローバル・セキュリティー」とクリックし、残りのセキュリティー設定を構成して、セキュリティーを使用可能にします。 このパネルは、セキュリティー構成の最終検証を行います。このパネルの「OK」または「適用」をクリックすると、セキュリティー検証ルーチンが実行され、ページの最上部にすべての問題が報告されます。 これらのフィールドについて詳しくは、グローバル・セキュリティーの設定 の項目を参照してください。 すべてのフィールドへの記入を完了したら、「OK」または「適用」をクリックして、選択した設定を受け入れます。 「保管」をクリックして、これらの設定をファイルに出力して永続的に保管します。 赤字の情報メッセージが表示された場合は、セキュリティー検証に問題が発生しています。 通常、メッセージは問題を示します。したがって、構成を見直し、ユーザー・レジストリーの設定が正確であること、および正しいレジストリーが選択されていることを確認してください。または、LTPA 構成が完全に指定されていない可能性もあります。
  8. サーバーを再始動した後で使用できるように、サーバーの構成を保管します。 「セキュリティー」>「グローバル・セキュリティー」パネルの「OK」 または「適用」をクリックしてこの操作を完了し、検証で問題が検出されないようにします。 構成値を保管するには、最上部のメニュー・バーの「保管」をクリックします。 このアクションにより、設定値は構成リポジトリーに書き込まれます。 メインメニューで「保管」をクリックする前に「グローバル・セキュリティー」パネルで「適用」または「OK」ボタンをクリックしない場合には、変更内容はリポジトリーに書き込まれません。
  9. WebSphere Application Server デプロイメント・マネージャーの始動後に、http://yourhost.domain:port_number/ibm/console と入力して、WebSphere Application Server 管理コンソールを開始します。 現在セキュリティーが使用不可になっている場合は、いずれかのユーザー ID でログインします。 現在セキュリティーが使用可能になっている場合は、定義済みの管理 ID とパスワード (通常は、 ユーザー・レジストリーの構成時に指定したサーバー・ユーザー ID) でログインします。
  10. 認証メカニズムを構成します。 WebSphere Application Server Network Deployment パッケージでは、Lightweight Third Party Authentication (LTPA) が、 サポートされている唯一の認証メカニズムです。 LTPA の構成について詳しくは、 項目 Lightweight Third Party Authentication メカニズムの構成 を参照してください。 LTPA クレデンシャルは、他のマシンに転送することができ、セキュリティー上の理由から有効期限が設定されています。 この有効期限は、構成可能です。 シングル・サインオン (SSO) のサポートが必要な場合には、Web ユーザー認証を最小化するためのシングル・サインオンのインプリメント の項目を参照してください。シングル・サインオン (SSO) がサポートされていると、認証を複数回行わなくとも、ブラウザーでさまざまな製品サーバーにアクセスすることができます。フォーム・ベースのログインの場合は、LTPA の使用時に SSO を構成する必要があります。



サブトピック
グローバル・セキュリティー
Java 2 セキュリティー
レルムのセキュリティーの使用可能化
使用可能にしたセキュリティーのテスト
関連タスク
ユーザー・レジストリーの選択
Lightweight Third Party Authentication メカニズムの構成
関連資料
グローバル・セキュリティーの設定
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:13:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/tsec_csec.html