WebSphere Application Server Network Deployment, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

ローカル・オペレーティング・システムのユーザー・レジストリー

ローカル・オペレーティング・システムのユーザー・レジストリー実装により、 WebSphere Application Server の認証メカニズムは、 ローカル・オペレーティング・システムのユーザー・アカウント・データベースを使用できます。

Lightweight Directory Access Protocol (LDAP) は、 集中レジストリーです。 ほとんどのローカル・オペレーティング・システムのユーザー・レジストリーは、集中レジストリーではありませ ん。

WebSphere Application Server は、 Windows のローカル・アカウント・レジストリーおよびドメイン・レジストリーのインプリメンテーションも、 Linux、Solaris、および AIX のユーザー・アカウント・レジストリーのインプリメンテーションに加えて提供しています。 Windows Active Directory は、 後述する LDAP ユーザー・レジストリーの実装によってサポートされます。

注: Active Directory (ドメイン・コントローラー) における 3 つのグループ有効範囲は、Domain Local Group、Global Group、および Universal Group です。 Active Directory (ドメイン・コントローラー) では、2 つのグループ・タイプは、Security および Distribution です。
グループが作成される場合、デフォルト値は Global で、デフォルトのタイプは Security です。 Windows 2000 および 2003 ドメイン・コントローラーに対する Windows NT ドメイン・レジストリーのサポートでは、 WebSphere Application Server は Security タイプの Global グループのみをサポートします。 Windows 2000 および 2003 ドメイン・コントローラーを使用する場合は、 Active Directory ではすべてのグループ有効範囲およびタイプがサポートされるため、 Windows NT ドメイン・レジストリーではなく Active Directory レジストリー・サポートを使用することが 推奨されます。また、Active Directory は、Windows NT ドメイン・レジストリーではサポートされていない、ネストされたグループをサポートしています。 Active Directory は、集中制御のレジストリーです。
注: ドメインのメンバーはすべてのプラットフォーム上の任意のマシンにインストールできるため、WebSphere Application Server では、ドメインのメンバーをインストールする必要はありません。 Windows NT ドメイン・ネイティブ呼び出しは、 エラーなしで、サポート・グループのみを戻します。

アプリケーション・サーバーが複数のマシン間で分散している WebSphere Application Server 環境では、 各マシンが独自のユーザー・レジストリーを持つため、 ローカル OS ユーザー・レジストリーを使用しないでください。

Windows ドメイン・レジストリーおよび Network Information Services (NIS) は除外されます。 Windows ドメイン・レジストリーと Network Information Services (NIS) は、ともに集中レジストリーです。 Windows ドメイン・レジストリーは WebSphere Application Server によってサポートされていますが、 NIS はサポートされていません。

前述したように、 ユーザー・レジストリーから取り出したアクセス ID が、許可検査時に使用されます。これらの ID は、通常、固有の ID であるため、 まったく同じユーザーとパスワードが各マシン上に存在しても、マシンごとに異なります。

ローカル・オペレーティング・システム・ユーザー・レジストリーを使用している場合、 Web クライアント証明書認証は現在サポートされていません。 ただし、Java クライアント証明書認証は、 ローカル・オペレーティング・システム・ユーザー・レジストリーを使用して機能します。 Java クライアント証明書認証は、 証明書のドメイン・ネームの 1 番目の属性をユーザー・レジストリーのユーザー ID にマップします。

Java クライアント証明書が正しく機能している場合でも、 SystemOut.log ファイルには、次のエラーが表示されます。

CWSCJ0337E: mapCertificate メソッドはサポートされていません

このエラーは、Web クライアント証明書に対するものですが、Java クライアント証明書の場合にも表示されます。 Java クライアント証明書の場合は、このエラーを無視してください。

必要な特権

WebSphere Application Server プロセスを実行するユーザーは、 Windows オペレーティング・システムからユーザーおよびグループ情報を認証したり、取得したりするために、 Windows システムのアプリケーション・プログラミング・インターフェース (API) を呼び出すことができる十分なオペレーティング・システム特権を持っている必要があります。 このユーザーがマシンにログインするか、 またはサービスとして稼働中の場合は、「Log On As」ユーザーがログオンします。 マシンによって、およびマシンがスタンドアロン・マシンであるか、 ドメインの一部またはドメイン・コントローラーとなっているマシンであるかによって、 アクセス要件は異なります。

  • スタンドアロン・マシンの場合、ユーザーの要件は以下のとおりです。
    • 管理グループのメンバーであること。
    • 「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • サーバーをサービスとして実行する場合は、「サービスとしてログオンする」特権があること。
  • マシンがドメインのメンバーである場合、 ドメイン・ユーザーのみが、サーバー・プロセスを開始でき、 以下の要件を満たしている必要があります。
    • ドメイン・コントローラーのドメイン管理グループのメンバーであること。
    • ドメイン・コントローラーのドメイン・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • ローカル・マシンのローカル・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • サーバーをサービスとして実行する場合は、ローカル・マシンに「サービスとしてログオンする」特権があること。

      ユーザーは、ドメイン・ユーザーであり、ローカル・ユーザーではありません。 これは、マシンがドメインの一部であるときに、 ドメイン・ユーザーしかサーバーを開始できないことを意味しています。

  • ドメイン・コントローラー・マシンの場合、ユーザーの要件は以下のとおりです。
    • ドメイン・コントローラーのドメイン管理グループのメンバーであること。
    • ドメイン・コントローラーのドメイン・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • サーバーをサービスとして実行する場合は、 ドメイン・コントローラーに「サービスとしてログオンする」特権があること。
サーバーを稼働させているユーザーに必要な特権がない場合は、 ログ・ファイルに以下の例外メッセージのいずれかが見られることがあります。
  • A required privilege is not held by the client.
  • Access is denied.

ドメインおよびローカル・ユーザー・レジストリー

WebSphere Application Server の始動時に、セキュリティー・ランタイム初期化プロセスは、 ローカル・マシンが Windows ドメインのメンバーであるかどうかを動的に判別します。 マシンがドメインの一部である場合は、優先するドメイン・レジストリーの認証および許可を目的として、 デフォルトで、ローカル・レジストリー・ユーザーまたはグループならびにドメイン・レジストリー・ユーザーまたはグループの両方を使用できます。 セキュリティー役割マッピング中に示されたユーザーおよびグループのリストには、 ローカル・ユーザー・レジストリーおよびドメイン・ユーザー・レジストリーの両方からのユーザーおよびグループが含まれています。 ユーザーとグループは、関連付けられたホスト名により区別できます。

WebSphere Application Server は、 トラステッド・ドメインをサポートしていません。

マシンが Windows システム・ドメインのメンバーでない場合は、 そのマシンのローカルなユーザー・レジストリーが使用されます。

ドメイン・ユーザー・レジストリーおよびローカル・ユーザー・レジストリーの両方を使用

WebSphere Application Server プロセスをホストするマシンがドメインのメンバーである場合は、 デフォルトで、ローカル・ユーザー・レジストリーとドメイン・ユーザー・レジストリーの両方が使用されます。 次のセクションでは、このトピックについて詳しく説明し、 好ましくない結果を避けるため、いくつかのベスト・プラクティスを推奨しています。
注: このセクションでは、 z/OS の考慮事項を直接には説明しませんが、これらのレジストリーをどのようにセットアップするかによって、 セキュリティー・オペレーション全体が影響を受けることに注意してください。
  • ベスト・プラクティス

    通常、 ローカル・レジストリーおよびドメイン・レジストリーに共通のユーザーまたはグループが含まれていない場合は、 管理が簡単になり、好ましくない副次作用の発生を避けられます。 可能であれば、ユーザーおよびグループには、サーバー ID や管理役割などの、 固有のセキュリティー役割へのアクセスを提供してください。 この状況では、 ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーのいずれかから、 ユーザーおよびグループを選択し、役割へのマッピングを行ないます。

    同じユーザーまたはグループがローカル・ユーザー・レジストリーとドメイン・ユーザー・レジストリーの両方に存在する場合、 少なくとも、サーバー ID、および管理役割へマップされるユーザーおよびグループが、 レジストリー内で固有であり、ドメイン上にのみ存在することが推奨されます。

    ユーザーの共通セットが存在する場合は、 該当するユーザーが確実に認証を受けられるように異なるパスワードを設定してください。

  • 動作の状況

    マシンがドメインに含まれる場合、 ローカル・ユーザー・レジストリーよりもドメイン・ユーザー・レジストリーが優先します。 例えば、ユーザーがシステムにログインする場合、 まずドメイン・ユーザー・レジストリーがユーザーを認証しようとします。 認証が失敗すると、ローカル・ユーザー・レジストリーが使用されます。 ユーザーまたはグループが役割にマップされる際に、 ユーザーおよびグループの情報は、まずドメイン・ユーザー・レジストリーから取得されます。 これが失敗すると、ローカル・ユーザー・レジストリーから情報を取得しようとします。

    ただし、完全修飾されたユーザーまたはグループ名で、 ドメインまたはホスト名が付加されているものが役割にマップされる場合は、 そのユーザー・レジストリーのみが情報の取得に使用されます。管理コンソールまたはスクリプトを使用して完全修飾されたユーザーおよびグループ名を取得する方法が、ユーザーおよびグループを役割にマップする場合の推奨方法です。
    ヒント: あるマシン (例えば、ローカル OS ユーザー・レジストリー) 上の ユーザー Bob は、別のマシン (例えば、ドメイン・ユーザー・レジストリー) 上の ユーザー Bob と同じではありません。 これは、ユーザー・レジストリーが異なると、Bob の固有 ID (この場合、セキュリティー ID [SID]) が 異なるためです。
  • MyMachine マシンは MyDomain ドメインに含まれています。 MyMachine マシンには、以下のユーザーおよびグループがあります。
    • MyMachine¥user2
    • MyMachine¥user3
    • MyMachine¥group2
    MyDomain ドメインには、以下のユーザーおよびグループがあります。
    • MyDomain¥user1
    • MyDomain¥user2
    • MyDomain¥group1
    • MyDomain¥group2
    以下に示すのは、 上記のユーザーおよびグループのセットを想定している、いくつかのシナリオです。
    1. user2 がシステムにログインする際には、認証にはドメイン・ユーザー・レジストリーが使用されます。 例えば、パスワードが異なるなどの理由で認証が失敗した場合、 ローカル・ユーザー・レジストリーが使用されます。
    2. MyMachine¥user2 ユーザーが役割にマップされる場合は、MyMachine マシンの user2 ユーザーだけが、 アクセス権を持ちます。したがって、user2 パスワードが、ローカル・ユーザー・レジストリーと ドメイン・ユーザー・レジストリーの両方で同じ場合、user2 ユーザーはリソースにアクセスできません。 これは、user2 ユーザーが常にドメイン・ユーザー・レジストリーを使用して認証されるためです。 両方のユーザー・レジストリーに共通ユーザーがある場合、 パスワードを別にしておくことをお勧めします。
    3. group2 グループが役割にマップされる場合は、最初に group2 情報が ドメイン・ユーザー・レジストリーから取得されるため、 MyDomain¥group2 グループのメンバーであるユーザーのみがリソースにアクセスできます。
    4. MyMachine¥group2 グループが役割にマップされる場合は、 MyMachine¥group2 グループのメンバーであるユーザーのみがリソースにアクセスできます。 特定のグループが役割 (単なる group2 ではなく MyMachine¥group2) にマップされます。
    5. user3 ユーザーまたは MyMachine¥user3 ユーザーのいずれかを使用して、 役割にマップします。これは、user3 ユーザーは 1 つのユーザー・レジストリーのみに存在し、 固有であるためです。

    同じパスワードを持つユーザーが、 ドメイン・ユーザー・レジストリーおよびローカル・ユーザー・レジストリーの両方に存在する場合、 ドメイン・ユーザー・レジストリーを最初に許可すると、問題が発生する可能性があります。 ユーザーは最初にドメイン・ユーザー・レジストリー内で認証されるため、この状態では役割ベースの許可が失敗する可能性があります。 この認証によって、WebSphere Application Server で使用される固有のドメイン・セキュリティー ID が許可検査中に生成されます。 しかし、役割の割り当てには、ローカル・ユーザー・レジストリーが使用されます。 ドメイン・セキュリティー ID は、役割に関連付けられた固有のセキュリティー ID とは一致しません。 この問題を避けるためには、セキュリティー役割をローカル・ユーザーではなく、ドメイン・ユーザーにマップしてください。

    複数のノードが関係している場合は、 集中リポジトリーのみを使用できます。 この使用法は、ドメイン・ユーザー・レジストリーのみが使用できることを意味します。 これは前述のように、ノードによって、ユーザーおよびグループの固有 ID (SID) が異なるためです。

ローカルまたはドメインのユーザー・レジストリーの使用

. ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーの両方ではなく、 そのいずれかからユーザーおよびグループにアクセスする場合は、com.ibm.websphere.registry.UseRegistry プロパティーを設定します。 このプロパティーは、local または domain のいずれかに設定できます。 このプロパティーが local (大/小文字は区別しません) に設定されている場合は、ローカル・ユーザー・レジストリー のみが使用されます。このプロパティーが domain (大/小文字は区別しません) に設定されている場合は、 ドメイン・ユーザー・レジストリーのみが使用されます。

このプロパティーを設定するには、管理コンソールで、 「セキュリティー」>「ユーザー・レジストリー」>「ローカル OS」パネルの「カスタム・プロパティー」をクリックするか、 またはスクリプトを使用します。 このプロパティーが設定された場合、 製品プロセスを実行するユーザーに必要な特権は変わりません。 例えば、このプロパティーが local に設定されていても、 プロセスを実行しているユーザーには、プロパティーが設定されていない場合と同じ特権が必要です。

UNIX システム・ユーザー・レジストリーの使用 [AIX HP-UX Solaris]

UNIX システムのユーザー・レジストリーを使用する場合、 WebSphere Application Server プロセスを実行するプロセス ID は、 認証とユーザーまたはグループ情報取得用のローカル・オペレーティング・システム API を呼び出すために、 ルート権限を持っている必要があります。
注: UNIX システムでは、ローカル・マシンのユーザー・レジストリーのみが使用されます。 ネットワーク情報サービス (NIS) (イエロー・ページ) はサポートされていません。
[HP-UX]
注: ローカル・オペレーティング・システムのユーザー・レジストリーを使用する場合は、HP-UX が非トラステッド・モードで構成されている必要があります。ローカル・オペレーティング・システムの ユーザー・レジストリーを使用してグローバル・セキュリティーが有効になっている場合、 トラステッド・モードはサポートされません。

Linux および Solaris システム・ユーザー・レジストリーの使用 [Linux] [Solaris]

WebSphere Application Server ローカル OS セキュリティー・ユーザー・レジストリーが Linux および Solaris プラットフォーム上で作業する場合には、シャドー・パスワード・ファイルが必要です。 シャドー・パスワード・ファイルは shadow という名前で、 /etc ディレクトリーにあります。 シャドー・パスワード・ファイルが存在しない場合には、 グローバル・セキュリティーを使用可能にし、 ローカル OS としてユーザー・レジストリーを構成した後に、 エラーが発生します。

WebSphere Application Server ローカル・オペレーティング・システムのレジストリーが Linux および Solaris プラットフォーム上で実行する場合には、シャドー・パスワード・ファイルが必要です。 シャドー・パスワード・ファイルは shadow という名前で、 /etc ディレクトリーにあります。シャドー・パスワード・ファイルが存在しない場合には、 管理セキュリティーを使用可能にして、ローカル・オペレーティング・システムとしてレジストリーを構成した後に、エラーが発生します。

シャドー・ファイルを作成するには、 pwconv コマンドを (パラメーターなしで) 実行してください。 このコマンドにより、/etc/passwd ファイルから /etc/shadow ファイルが作成されます。 シャドー・ファイルの作成後は、 ローカル・オペレーティング・システム・セキュリティーを正常に使用可能にできます。

リモート・ユーザー・レジストリー

デフォルトでは、 ユーザー・レジストリーはすべての製品プロセスに対してローカルです。 この方が、リモート呼び出しの必要がないため、パフォーマンスに優れ、 ユーザー・レジストリーの可用性も高くなります。 プロセスが失敗した場合でも、他のプロセスへの影響はありません。

ユーザー・レジストリーとしてローカル OS を使用する場合には、 あらゆる製品プロセスは、特権アクセスによって実装する必要があります。

[AIX HP-UX Solaris] [Windows] 例えば、UNIX の場合の「root」や Windows システムの場合の「オペレーティング・システムの一部として機能」 があります。

このプロセスが現実的でない場合は、ノードまたはセルからリモート・ユーザー・レジストリーを使用することができます。 リモート・ユーザー・レジストリーの使用は、パフォーマンスに影響を与え、 Single Point of Failure を作成する可能性があることに注意してください。
ヒント: リモート・ユーザー・ レジストリーの使用は、極力避けてください。

ノードおよびセルのプロセスは構成情報を操作するためのものであり、 トラフィックが増大し、問題を引き起こす、すべてのアプリケーション・サーバー用のユーザー・レジストリーをホスティングするためのものです。

リモート・レジストリーは、Network Deployment 環境にごく少数のアプリケーション・サーバーしか存在しない場合にのみ、使用します。

セル・プロセスは、可用性が高くなるよう設計されていないため、 リモート・ユーザー・レジストリーをホストするためには、なるべくセルの代わりにノード・エージェントを使用するようにしてください。 ノードを使用して、リモート・ユーザー・レジストリーをホストするということは、 当該ノード内のアプリケーション・サーバーのみがリモート・ユーザー・レジストリーを使用するということです。 ノード・エージェントにはアプリケーション・コードが含まれていないため、 アクセスに必要な特権をノード・エージェントに付与することについて、注意する必要はありません。

管理コンソール・パネルの下部にある「カスタム・プロパティー」リンクを使用して、 「グローバル・セキュリティー」パネルで WAS_UseRemoteRegistry プロパティーを設定することで、 リモート・ユーザー・レジストリーをセットアップすることができます。 この値には「Cell」または「Node」のいずれかの値 (大/小文字の区別はありません) を使用します。 値が「Cell」の場合は、 製品のすべてのプロセス (ノード・エージェントおよびすべてのアプリケーション・サーバー) で、 セル・ユーザー・レジストリーが使用されます。 セル・プロセスが何らかの理由でダウンした場合は、 そのセルの再始動後に、すべてのプロセスを再始動してください。 リモート・ユーザー・レジストリーにノード・エージェント・ユーザー・レジストリーを使用する場合は、 「node」に WAS_UseRemoteRegistry という値を設定してください。 この場合、すべてのアプリケーション・サーバー・プロセスが、ノード・エージェント・ユーザー・レジストリーを使用します。 このとき、ノード・エージェントに障害が起こり自動的に始動されない場合は、 ノード・エージェントの始動後にすべてのアプリケーション・サーバーを再始動する必要があります。




関連概念
ユーザー・レジストリー
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:13:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/csec_localos.html