WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

すべてのアプリケーション・サーバーのセキュリティーの使用可能化

要件に合うセキュリティー・コンポーネントを決定した後で、以下のステップに従って WebSphere Application Server のグローバル・セキュリティーを構成します。

始める前に

インフラストラクチャーの観点からセキュリティーを理解しておくと、 さまざまな認証メカニズム、ユーザー・レジストリー、認証プロトコルなどの利点を知ることができて有益です。 ユーザーの要件に合った正しいセキュリティー・コンポーネントを選択することも、グローバル・セキュリティーの構成の一環です。 以下のセクションは、これらの判断を下す際の一助となるものです。 セキュリティー構成を続行する前に、以下の項目を読んでください。 セキュリティー・コンポーネントについて理解すると、WebSphere Application Server でのグローバル・セキュリティーの構成を進めることができます。
重要: セキュリティーを使用可能にするのに必要な幾つかのセキュリティー・カスタマイズ・タスクがあります。 これらのタスクは、リソース・アクセス制御機能 (RACF) などのセキュリティー・サーバーへの更新を必要とします。このプロセスに、 セキュリティー・アドミニストレーターを含める必要がある場合もあります。

プロシージャー

  1. WebSphere Application Server デプロイメント・マネージャーの始動後に、http://yourhost.domain:port_number/ibm/console と入力して、WebSphere Application Server 管理コンソールを開始します。 現在セキュリティーが使用不可になっている場合は、いずれかのユーザー ID でログインします。 現在セキュリティーが使用可能になっている場合は、定義済みの管理ユーザー ID とパスワードでログインします。
  2. ナビゲーション・メニューで、「セキュリティー」をクリックします。 認証メカニズム、ユーザー・レジストリーなどを構成します。 構成の順序は重要ではありません。ただし、これらのタスクをすべて完了した後で、「グローバル・セキュリティー」パネルで「グローバル・セキュリティーの使用可能化」オプションを選択してください。 最初に「適用」または「OK」をクリックし、「グローバル・セキュリティーの使用可能化」オプションが設定されると、その管理ユーザー ID とパスワードを、構成済みのユーザー・レジストリーに対して認証できるかどうかを確認するための検査が行われます。 ユーザー・レジストリーが構成されていない場合、検査が失敗します。
  3. ユーザー・レジストリーを構成します。 詳しくは、ユーザー・レジストリーの選択 を参照してください。ローカル OS、Lightweight Directory Access Protocol (LDAP)、 またはカスタム・ユーザー・レジストリーを構成し、次にそのレジストリーの詳細を指定します。すべてのユーザー・レジストリーに共通の詳細の 1 つに、 サーバーに使用するユーザー ID があります。 この ID は、選択されたユーザー・レジストリーの 1 メンバーですが、WebSphere Application Server では特別な権限も持っています。 この ID の特権と、管理役割 ID に関連付けられている特権とは同じものです。 サーバーに使用するユーザー ID は、すべての保護管理メソッドにアクセスできます。 WebSphere Application Server for z/OS でローカル OS ユーザー・レジストリーを使用すると、サーバーのユーザー ID は、管理コンソールを使用してではなく、z/OS オペレーティング・システムの STARTED クラスを介して設定されます。
  4. 認証メカニズムを構成します。 Lightweight Third Party Authentication (LTPA)、Integrated Cryptographic Services Facility (ICSF)、または Simple WebSphere Authentication Mechanism (SWAM) のいずれかを選択できます。LTPA の構成について詳しくは、 項目 Lightweight Third Party Authentication メカニズムの構成 を参照してください。 ICSF の構成について詳しくは、認証メカニズムとしての ICSF の構成 を参照してください。 LTPA および ICSF クレデンシャルは、 他のマシンに転送することができ、セキュリティー上の理由から有効期限が設定されています。この有効期限は、構成可能です。

    シングル・サインオン (SSO) のサポートが必要な場合には、Web ユーザー認証を最小化するためのシングル・サインオンのインプリメント を参照してください。 シングル・サインオン (SSO) がサポートされていると、認証を複数回行わなくても、ブラウザーでさまざまな製品サーバーにアクセスすることができます。フォーム・ベースのログインの場合は、LTPA または ICSF の使用時に SSO を構成する必要があります。

  5. Java クライアントからサーバーへ、 またはサーバーからサーバーへの Internet Inter-ORB Protocol を介したリモート・メソッド呼び出し (RMI/IIOP) を行うための特別なセキュリティー要件に対して、 認証プロトコルを構成します。 Common Secure Interoperability バージョン 2 (CSIv2) または Secure Authentication Service (SAS) プロトコル、あるいは z/OS プ ラットフォーム上では z/OS Secure Authentication Service (z/SAS) プロトコルを選択します。
    SAS および z/SAS プロトコルでは、 現在も製品の旧リリースとの後方互換性が保たれています。 CSIv2、SAS、または z/SAS プロトコルの構成について詳しくは、 Common Secure Interoperability バージョン 2 (CSIV2) および Security Authentication Service (SAS) の構成 を参照してください。
    重要: 今後のリリースでは、 z/OS Secure Authentication Service (z/SAS) IIOP セキュリティー・プロトコルの 出荷およびサポートは廃止される予定です。 代わりに、Secure Interoperability バージョン 2 (CSIv2) プロトコルを使用します。 CSIv2 は、バージョン 4 クライアントを除いて、WebSphere の旧バージョンと相互運用します。
  6. 使用する WebSphere Application Server の Secure Sockets Layer (SSL) レパートリーを確認します。WebSphere Application Server for z/OS のカスタマイズ・ダイアログにより生成される サンプルのカスタマイズ・ジョブは、RACF が セキュリティー・サーバーの場合に使用できる SSL 鍵リングを作成するためのサンプル・ジョブを生成します。これらのジョブは、ご使用のインストール・システムに固有の RACF 認証局証明書および この認証局により署名されたサーバー証明書のセットを作成します。アプリケーション・サーバー・コントローラーで開始される タスク ID は、以下の証明書を含む SAF 鍵リングを持っています。 同様に、Network Deployment 環境では、 デプロイメント・マネージャーのユーザー ID が所有する RACF 鍵リング、 およびノード・エージェントのユーザー ID が作成されます。

    RACF 鍵リングは、レパートリーの鍵リング名およびサーバー制御プロセスの MVS ユーザー ID の 両方により一意に識別されます。異なる WebSphere Application Server コントローラー・プロセスが固有の MVS ユーザー ID を 持っている場合は、これらが同じレパートリーを共有している場合であっても、RACF 鍵リングおよび秘密鍵が生成されるように気をつけなければなりません。

    構成可能な SSL レパートリーには、次の 2 種類があります。
    • システム SSL レパートリーは、HTTPS および Internet InterORB Protocol (IIOP) 通信で使用され、ネイティブのトランスポートが使用します。 セキュリティーを使用可能にしてから 管理コンソールを使用する場合は、必ず HTTP に対してシステム SSL タイプのレパートリーを定義し、選択する必要があります。IIOP セキュリティーが SSL トランスポートを要求しているか、SSL トランスポートをサポートしている場合、またはセキュア Remote Method Invocation (RMI) コネクターが管理要求に対して選択されている場合は、システム SSL レパートリーを定義し、それを選択する必要があります。
    • Java Secure Socket Extension (JSSE) レパートリーは、Java ベースの SSL 通信用です。

    HTTP または IIOP プロトコルを使用するため、ユーザーは、 システム SSL レパートリーを構成する必要があり、Java Management Extension (JMX) コネクターは SSL を使用するように 構成されなければなりません。SOAP HTTP コネクターが選択されている場合、 管理サブシステムには JSSE レパートリーが選択されなければなりません。

    SSL レパートリーのセットは、z/OS のインストール・ダイアログでセットアップされます。これらのダイアログは、 RACF コマンドの生成時にカスタマイズ・プロセスにより移植された SAF 鍵リングおよびファイルを参照するように構成されています。
    レパートリー名 タイプ デフォルト使用
    DefaultSSLSettings JSSE SOAP JMX コネクター、SOAP クライアント
    DefaultHTTPS SSSL Web コンテナー HTTP トランスポート
    DefaultIIOPSSL SSSL z/SAS および CSIV2
    RACFJSSESettings SSSL なし
    RACFJSSESettings JSSE なし

    これらの設定がニーズを満たしている場合は、追加のアクションは必要ありません。これらの設定を作成 または変更する場合は、参照される鍵ストア・ファイルが作成されていることを確認する必要があります。

    新規の 鍵ストア・ファイルおよびトラストストア・ファイル用に新規のエイリアスを作成する場合は、 SSL 構成のエイリアスを参照するロケーションをすべて変更する必要があります。 これらの ロケーションは、以下のリストに示します。
    • セキュリティー」>「グローバル・セキュリティー」。 「認証」の下で「認証プロトコル」>「CSIv2 インバウンド・トランスポート」をクリックします。
    • セキュリティー」>「グローバル・セキュリティー」。 「認証」の下で「認証プロトコル」>「CSIv2 アウトバウンド・トランスポート」とクリックします。
    • セキュリティー」>「グローバル・セキュリティー」。 「認証」の下で「認証プロトコル」>「zSAS authentication」とクリックします。
    • サーバー」>「アプリケーション・サーバー」>「server_name」。 「Web コンテナー設定」の下の「Web コンテナー」をクリックします。 「追加プロパティー」の下で「HTTP トランスポート」>「host_name」とクリックします。
    • サーバー」>「アプリケーション・サーバー」>「server_name」。「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。 「追加プロパティー」の下で「CSIv2 インバウンド・トランスポート」をクリックします。
    • サーバー」>「アプリケーション・サーバー」>「server_name」。「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。 「追加プロパティー」の下の「CSIv2 アウトバウンド・トランスポート」をクリックします。
    • サーバー」>「アプリケーション・サーバー」>「server_name」。「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。 「追加プロパティー」の下の「z/SAS authentication」をクリックします。 SSL 設定メニューから適切な SSL 構成を選択します。
  7. セキュリティー」>「グローバル・セキュリティー」をクリックし、 残りのセキュリティー設定を構成して、セキュリティーを使用可能にします。

    このパネルは、セキュリティー構成の最終検証を行います。このパネルの「OK」または「適用」をクリックすると、セキュリティー検証ルーチンが実行され、ページの最上部にすべての問題が報告されます。 すべてのフィールドへの記入を完了したら、「OK」または「適用」をクリックして、選択した設定を受け入れます。 これらの設定をファイルに永続的に保管するには、パネルの上部の「保管」をクリックします。

    赤字の情報メッセージが表示された場合は、セキュリティー検証に問題が発生しています。 通常、このメッセージは問題を示しています。 したがって、構成を見直し、ユーザー・レジストリーの設定が正確であること、および正しいユーザー・レジストリーが選択されていることを確認してください。 または、Lightweight Third Party Authentication (LTPA) 構成が完全に指定されていない可能性もあります。 詳しくは、サーバーおよび管理セキュリティー を参照してください。

    グローバル・セキュリティーの使用可能化
    このオプションは、グローバル・セキュリティーを使用可能または使用不可にします。 グローバル・セキュリティーについて詳しくは、サーバーおよび管理セキュリティー を参照してください。 このフラグを使用可能にすると、製品ドメイン全体のセキュリティーが使用可能になります。 いくつかのセキュリティー属性は、サーバー固有のレベルで変更することができます。
    Java 2 セキュリティーの強制
    このオプションは、Java 2 セキュリティー・アクセス制御を使用可能または使用不可にします。 WebSphere Application Server における Java 2 セキュリティーについて詳しくは、システム・リソースおよび API の保護 (Java 2 セキュリティー) を参照してください。
    ドメイン修飾ユーザー ID の使用
    このオプションは、getUserPrincipal や getCallerPrincipal など、J2EE API によって戻されるユーザー ID が、 それらが存在しているセキュリティー・ドメイン内に限定されるかどうかを決定します。
    キャッシュ・タイムアウト
    このフィールドは、WebSphere Application Server の認証および検証キャッシュのタイムアウト値です。 この値を使用して、いつクレデンシャルをキャッシュからフラッシュするかを決定します。クレデンシャルが再利用される場合は必ず、そのクレデンシャルに対するキャッシュ・タイムアウトは、この値にリセットされます。 現時点では、キャッシュをフラッシュしたり、またはキャッシュから特定のユーザーを消去することはできません。
    許可警告の発行
    このオプションが使用可能になっている場合には、通常はアプリケー ションには認可されない Java 2 セキュリティー許可をアプリケーションが要求すると、アプリケーションのインストール中に警告が発行されます。 WebSphere Application Server は、ポリシー・ファイル管理をサポートします。 WebSphere Application Server には多数のポリシー・ファイルがあります。 静的なファイルも、動的なファイルもあります。 動的ポリシー は、特定のリソース・タイプに対するアクセス権のテンプレートです。

    動的ポリシー・テンプレートでは、 コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。filter.policy ファイルには、J2EE 1.3 仕様に従って、 アプリケーションが持たないアクセス権のリストが入っています。 許可について詳しくは、Java 2 セキュリティー・ポリシー・ファイル を参照してください。

    アクティブなプロトコル
    この選択項目は、オブジェクト・リクエスト・ブローカー (ORB) 用のアクティブな認証プロトコルです。 RMI/IIOP 要求ではこのプロトコルを使用して、クライアントとサーバーの両方が認識できる形式でセキュリティー情報を収集します。 ステップ 5 で、これらの認証プロトコルのいずれか、または両方が既に構成されている場合もあります。 バージョン 5 よりも前のバージョンの WebSphere Application Server と通信する必要がある場合は、「BOTH」を選択してください。WebSphere Application Server バージョン 5.x またはバージョン 6.0.x のサーバーとだけ通信する必要がある場合は、「CSI」を選択してください。
    アクティブな認証メカニズム
    これを選択することによって、WebSphere Application Server for z/OS が使用する認証メカニズムを決定します。 WebSphere Application Server for z/OS バージョン 6.0.x では、Simple WebSphere Authentication Mechanism (SWAM) または Lightweight Third Party Authentication (LTPA) (優先) という認証メカニ ズムがサポートされています。
    アクティブなユーザー・レジストリー
    このオプションは、ステップ 3 で選択したユーザー・レジストリーを示しています。ユーザー・レジストリーの選択 の項目に、 ユーザー・レジストリーを構成する際に必要なステップが記載されています。
    連邦情報処理標準 (FIPS) を使用
    このオプションは、FIPS 準拠の Java 暗号化エンジンを使用可能にします。
  8. セキュリティー」>「グローバル・セキュリティー」パネルで「OK」または「適用」を選択し、検証に関する問題が発生しない場合は、WebSphere Application Server の再始動後に使用するデプロイメント・マネージャーの構成を保管します。



サブトピック
グローバル・セキュリティー
Java 2 セキュリティー
レルムのセキュリティーの使用可能化
使用可能にしたセキュリティーのテスト
関連タスク
認証メカニズムとしての ICSF の構成
ユーザー・レジストリーの選択
Lightweight Third Party Authentication メカニズムの構成
関連資料
グローバル・セキュリティーの設定
サーバーのセキュリティー設定
サーバー・レベルでのセキュリティー設定
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/tsec_csec.html