WebSphere Application Server Network Deployment, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

役割へのユーザーおよびグループの割り当て

役割の割り当てには 2 つの選択肢があります。 WebSphere Application Server 許可 (管理コンソールの「ユーザー/グループへの セキュリティー・ロールのマッピング」パネルを使用) と、役割ベースの 許可用の System Authorization Facility (SAF) (Java 2 Platform, Enterprise Edition (J2EE) 役割の SAF 許可を使用) です。このトピックでは、 管理コンソールの「ユーザー/グループへのセキュリティー・ロールのマッピング」パネルを使用 して (J2EE 役割に対する WebSphere Application Server 許可) ユーザーおよびグループに 役割を割り当てる方法について説明します。

始める前に

この作業を実行する前に、以下のステップを実行します。

デフォルトのアクティブ・ユーザー・レジストリーはローカル OS であるため、ローカル OS ユーザー・レジストリーを 使用してユーザーおよびグループを役割に割り当てる場合は、 セキュリティーを使用可能にすることが推奨されます。 この場合は、ユーザーおよびグループが割り当てられた後で、セキュリティーを使用可能にできます。 このタスクを続行する前に該当するユーザー・レジストリーでセキュリティーを使用可能 にすることの利点は、セキュリティーのセットアップを検査し (ユーザー・レジストリー 構成の検査を含む)、このレジストリーの使用による問題を回避できるということです。

このタスクについて

これらのステップは、アプリケーションのインストール、 および既存アプリケーションの変更の両方に共通です。 アプリケーションに役割が含まれている場合、アプリケーションのインストール中、 およびアプリケーションの管理中に、「追加プロパティー」セクションのリンクとして、 「セキュリティー役割をユーザーおよびグループにマップ」リンクが表示されます。

プロシージャー

  1. 管理コンソールにアクセスします。

    Web ブラウザーに http://localhost:port_number/ibm/console と入力します。

  2. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
  3. 「追加プロパティー」の下の「セキュリティー役割をユーザーおよびグループにマップ」をクリックします。 このアプリケーションに属するすべての役割のリストが表示されます。 すでに役割にユーザー、全認証者、または特別な対象である「全員」が割り当て済みの場合は、役割はここに表示されます。
  4. 特別な対象を割り当てるには、該当する役割の「 全員」オプションか「全認証者」オプションのいずれかを選択します。
  5. ユーザーまたはグループを割り当てるには、役割を選択します。 同一のユーザーまたはグループをすべての役割に割り当てる場合は、 同時に複数の役割を選択することができます。
  6. ユーザーのルックアップ」または「グループのルックアップ」をクリックします。
  7. 「limit」および「検索ストリング」の各フィールド に入力し、「検索」をクリックして、ユーザー・レジストリーから該当するユーザーとグループを取得します。 「Limit」フィールドは、ユーザー・レジストリーから取得して表示する ユーザーの数を制限します。パターンは、1 つ以上のユーザーやグループを突き合わせる 検索可能なパターンです。 例えば、user* は、user1、user2 のようなユーザーをリストします。 アスタリスク (*) のパターンはすべてのユーザーまたはグループを表します。

    制限ストリングと検索ストリングは、 慎重に使用して、ユーザー・レジストリーを圧倒しないようにしてください。 何千というユーザーやグループの情報が格納されている大容量ユーザー・レジストリー (Lightweight Directory Access Protocol (LDAP) など) を 使用している場合、多数のユーザーやグループを検索すると、 システムが遅くなったり、障害が発生したりすることがあります。エントリーに対する要求よりも多くのエントリーがある場合は、 メッセージがパネルの上部に表示されます。 必要なリストを手に入れるまで、検索を詳細化することができます。

  8. 使用可能」フィールドから、これらの役割のメンバーとして 組み込むユーザーとグループを選択し、「>>」をクリックしてそれらを役割に 追加します。
  9. 既存のユーザーやグループを除去するには、「選択」フィールドからそれらを選択し、 「<<」をクリックします。 役割から既存のユーザーやグループを除去する際に、 それらの役割が RunAs 役割として使用されていないか注意してください。

    例えば、ユーザー user1 が、役割 role1 RunAs に割り当てられ、ユーザー user1 を役割 role1 から除去しようとする場合、管理コンソールの妥当性検証は、ユーザーを削除しません。ユーザーが、グループを介してすでに役割内に直接または間接的に存在する場合、ユーザーは役割 RunAs の一部としてのみ存在することができます。この場合、ユーザー user1 は、役割 role1 内に存在します。 RunAs 役割マッピングと、役割へのユーザーおよびグループのマッピングとの 間で実行される妥当性検査について詳しくは、RunAs 役割へのユーザーの割り当て を参照してください。

  10. OK」をクリックします。 役割割り当てと RunAs 役割割り当てとの間に妥当性に関する何らかの問題がある場合は、 変更が確定されず、問題を示すエラー・メッセージがパネルの上部に表示されます。 問題がある場合は、RunAs 役割内のユーザーが通常の役割のメンバーになっていないか 確認してください。RunAs 役割内のユーザーを含んでいるグループが 通常の役割に含まれている場合は、管理コンソールを使用して、そのグループを役割に 割り当ててください。ステップ 4 および 5 を実行します。 アプリケーション・サーバー・ツールキット、またはグループの完全な名前、ホスト名、グループ名、 または識別名 (DN) を使用しないその他の手動処理は使用しないでください。

結果

ユーザーおよびグループの情報は、 アプリケーション内のバインディング・ファイルに追加されます。 この情報は、後で認証のために使用されます。

次の作業

このタスクはユーザーおよびグループを役割に割り当てるために必要です。 これにより正しいユーザーおよびグループが保護されたアプリケーションにアクセスできるようになります。アプリケーションをインストールする場合は、インストールを完了してください。アプリケーションをインストールし、稼働させると、 この作業で実行したユーザーとグループのマッピングに従って、 リソースへアクセスすることができます。アプリケーションを管理しているときに、 ユーザーとグループを役割に割り当てるマッピングを変更した場合は、 変更を有効にするために、アプリケーションを保管、停止してから始動してください。 変更が有効になっていることを確認するために、アプリケーション内の J2EE リソース にアクセスしてみてください。



サブトピック
アセンブリー・ツールを使用したユーザーおよびグループの役割への追加
ユーザーおよびグループへのセキュリティー役割のマッピング
ユーザーの役割へのマッピング
ユーザーおよびグループ検索設定
RunAs 役割へのユーザーの割り当て
関連タスク
すべてのアプリケーション・サーバーのセキュリティーの使用可能化
アセンブリーおよびデプロイメント中のアプリケーションの保護
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:13:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/tsec_tasroles.html