この項では、WebSphere® Application
Server for z/OS® カスタマイズ・ダイアログに出てくる用語の定義をリストします。
注: スタンドアロン・アプリケーション・サーバーを「練習で」セットアップする場合は、
可能な限りデフォルト値を選択してください。
セキュリティー・ドメイン ID
セキュリティー・ドメイン名に基づいて APPL または EJBROLE のプロファイルを識別する場合は、「Use security domain identifier in RACF® definitions」を「Y」に設定し、セキュリティー・ドメイン名を 1 から 8 文字の英数字で指定します。
内部的には、これにより、
「SecurityDomainType」がストリング「cellQualified」に設定されます。
セル内のすべてのサーバーは、ユーザーが指定するセキュリティー・ドメイン名を、
アプリケーション固有の J2EE 役割名の前に付加して、
検査用の SAF EJBROLE プロファイルを作成します。
注: ただし、WebSphere Application
Server for z/OS バインディングを使用して役割検査が行われる場合には、セキュリティー・ドメイン名は使用されません。
セキュリティー・ドメイン名は、APPL プロファイル名としても使用され、
CBIND 検査に使用されるプロファイル名に挿入されます。
カスタマイズ・ダイアログが生成する RACF ジョブは、作成済みのノードおよびサーバーのために、適切な RACF プロファイルを作成および許可します。
セキュリティー・ドメイン ID を使用しない場合は、「Use security domain identifier in RACF definitions」を「N」に設定します。
セル全体のユーザー ID とグループ
セキュリティー・ドメインをセットアップする最初の部分では、
セル全体のユーザー ID とグループ名を選択します。
個々の名前には、1 から 8 文字の英数字が含まれ、
最初の文字は英字でなければなりません。
注: 国別文字 (#、$、および @) も使用できますが、後に互換性問題の原因となる可能性があるので、避けた方がよいでしょう。
以下のように、各ユーザー ID には UNIX
® システム・サービス UID 番号が、
各グループには UNIX システム・サービス GID 番号が必要です。
- UID 値は、1 から 2,147,483,647 までの一意の数値でなければなりません。
UID 値に 0 は使用しないでください。
- GID 値は、1 から 2,147,483,647 までの一意の数値でなければなりません。
単一のセキュリティー・ドメイン定義を使用して、
複数のセルをセットアップすることができますが、
別々のセキュリティー・ドメイン間でユーザー ID とグループを共用することはできません。
以下の SAF ユーザー ID 用に名前と UID 値を選択し、
それらをワークシートに入力します。
- WebSphere Application
Server 管理者
- このユーザー ID は、初期 WebSphere Application Server 管理者であり、ほとんどのセルのファイルも構成 HFS 内に所有しています。
このユーザー ID には、WebSphere Application
Server 構成グループ (下記) が、そのデフォルト UNIX システム・サービス・グループとして存在していなければなりません。特定のカスタマイズ・バッチ・ジョブが、
このユーザー ID で実行されていなければなりません。
- WebSphere Application
Server 非同期管理タスク
- このユーザー ID は、
非同期管理操作のプロシージャーを実行するために使用されます。
このユーザー ID は、WebSphere Application Server 構成グループのメンバーでなければなりません。
- WebSphere Application
Server 非認証ユーザー
- このユーザー ID は、非認証クライアント要求に関連付けられています。
このユーザー ID は、「ゲスト」ユーザー ID と呼ばれることもあります。
このユーザー ID は、UACC ベースのアクセス権を継承しないように、RACF で RESTRICTED 属性を指定されている必要があり、WebSphere Application
Server 非認証グループ (下記) のメンバーでなければなりません。
以下の SAF グループ用に名前と GID 値を選択し、
それらをワークシートに入力します。
- WebSphere Application
Server 構成グループ
- これは、WebSphere Application Server の管理者ユーザー ID およびすべてのサーバー・ユーザー ID 用のデフォルト・グループ名です。これは構成 HFS 内のほとんどのファイルに対するグループ所有者であるため、
このグループへのアクセスは制限する必要があります。
- WebSphere Application
Server 非認証ユーザー・グループ
- これは、WebSphere Application Server の非認証ユーザー ID 用のデフォルト・グループ名です。
このグループには、非認証ユーザーを追加することができます。
- WebSphere Application
Server サーバント・グループ
- すべてのサーバント・ユーザー ID をこのグループに接続します。
ユーザーはこれを使用して、DB2® 許可などのサブシステム・アクセス権を、セキュリティー・ドメイン内のすべてのサーバントに割り当てることができます。
ユーザー・レジストリー
WebSphere Application
Server for z/OS は、SAF ベース (ローカル OS) レジストリー、LDAP レジストリー、またはカスタム・レジストリーを使用することができます。カスタマイズ・プロセスが、ローカル OS セキュリティー・レジストリー用の RACF 定義を準備する必要がある場合は、「Y」を選択します。
代わりに LDAP またはカスタム・ユーザー・レジストリーを使用する場合は、「N」を選択します。
SSL カスタマイズ
推奨されているように、
ある時点でグローバル・セキュリティーを使用可能にする場合は、
以下の SSL 値を入力します。
- 認証局の鍵ラベル
- サーバー証明書の生成に使用する認証局 (CA) を識別する鍵ラベルの名前。
- 認証局 (CA) 証明書の生成
- 新規 CA 証明書を生成する場合は、「Y」を選択します。
既存の CA 証明書にサーバー証明書を生成させる場合は、「N」を選択します。
- CA 権限の有効期限
- WebSphere Application
Server for z/OS サーバー用に生成される個人証明書の有効期限とともに、X509 認証局証明書に使用される有効期限。
「Generate Certificate Authority (CA) certificate」に対して「N」を選択した場合であっても、
この値を指定する必要があります。
- デフォルトの RACF 鍵リング名
- WebSphere Application
Server for z/OS が使用する RACF 鍵リングに指定するデフォルト名。
レパートリー用に作成される鍵リング名は、セル内ではすべて同一です。
- ロケーション・サービス・デーモンで SSL を使用可能に設定
- SSL を使用するロケーション・サービス・デーモンに対して Inter-ORB Request Protocol (IIOP) を使用する
セキュア通信をサポートする必要がある場合は、「Y」を選択します。
「Y」を指定すると、使用するロケーション・サービス・デーモン用に RACF 鍵リングが生成されます。
その他の z/OS セキュリティー・カスタマイズ・オプション
- デフォルトの RACF レルム名
これは、特定の RACF (または準拠)
データベースの識別に使用される SAF 設定です。単一の RACF データベースを共用しているシステムはすべて、同一の RACF レルム名を持っています。
CSIv2 ローカル OS レジストリーは、デフォルトの RACF レルム名 (設定されている場合) またはロケーション・サービス・デーモン IP 名を、WebSphere セキュリティー・レルム名として使用します。
デフォルトの RACF レルム名を設定または変更する場合は、「Generate default RACF realm
name」を「Y」に設定し、設定する RACF レルム名を入力します。カスタマイズ・ダイアログ・ジョブでは、RACF レルム名を、それらのレルム名を実行する各 z/OS システム上に設定します。
- SAF EJBROLE プロファイルを使用した J2EE 役割の実行
J2EE および WebSphere Application
Server for z/OS 管理者役割を許可するために、アプリケーション・デプロイメント時に作成された WebSphere Application
Server for z/OS バインディングではなく、SAF EJBROLE プロファイルを使用することを示す場合は、「Y」を選択します。
ここで指定した値は、WebSphere Application Server for z/OS グローバル・セキュリティーを使用可能にするまでは無効です。
この変数が「Y」に設定されると、カスタマイズ・ダイアログが作成した RACF ジョブが、WebSphere Application
Server for z/OS ランタイム管理およびネーミングに必要な EJBROLE プロファイルをセットアップします。
さらに、グローバル・セキュリティーが使用可能である場合、
ローカル OS レジストリーは、デフォルトで SAF 許可を使用するように設定されます。
(LDAP またはカスタム・ユーザー・レジストリーで
SAF 許可を使用する場合、ユーザー・レジストリー SAF 許可設定での変更、および JAAS
システム・ログインのプラグ可能 ID マッピング・モジュールのインストール・システムでの変更は両方とも、WebSphere Application Server for z/OS プリンシパルを SAF ユーザー ID にマップすることを必要とします。)
SAF EJBROLE プロファイルを使用する場合、SAF EJBROLE プロファイルが定義されていることを確認するのは WebSphere Application
Server for z/OS 管理者の責任であり、ユーザーから役割へのマッピングを完了するのはシステム管理者の責任です。
- LTPA または ICSF ログイン・トークンを使用した SAF 許可の使用可能化
WebSphere Application Server for z/OS サーバントを使用可能にして、パスワードや SAF 固有のオーセンティケーターを提供せずに SAF レジストリーに対してユーザーを認証するには、「Y」を指定します。
これは以下の場合に必要になります。
- WebSphere Application
Server for z/OS セキュリティーが使用可能になっている
- ローカル OS がアクティブ・レジストリーである
および、以下のいずれかの場合です。
- ICSF または LTPA が認証メカニズムである、または
- トラスト・アソシエーション・インターセプターが使用中である
この値を「Y」に設定すると、z/OS ユーザー ID は持っているが z/OS オーセンティケーターを持たない WebSphere Application Server for z/OS サーバント・ランタイム (未許可のアプリケーション) が、z/OS にログオンできるようになります。これは、WebSphere Application Server for z/OS ログイン・トークン検証またはトラスト・アソシエーション・インターセプターの検証を介して z/OS ユーザー ID を設定する場合に必要です。
注: 従来の z/OS システムの制約事項を一部緩和すると、WebSphere Application Server for z/OS 管理者に、インストールされるアプリケーションに不正なコードが含まれていないことを確認するという、追加の責任が発生します。
Java™ 2
セキュリティーを使用すると、このような機密漏れを最小化することができます。
WebSphere Application
Server ユーザー ID ホーム・ディレクトリー
注: このフィールドは、WebSphere Application
Server for z/OS バージョン 6.0.2.1 で、カスタマイズ・ダイアログに追加されました。
- WebSphere Application
Server ユーザー ID ホーム・ディレクトリー
- WebSphere Application
Server for z/OS ユーザー
ID のホーム・ディレクトリーがカスタマイズ・プロセスによって作成される場所に、新規または既存の z/OS HFS ディレクトリーを指定します。
このディレクトリーは、WebSphere Application Server セルの z/OS システム間で共用する必要はありません。