WebSphere Application Server のグローバル・セキュリティーを使用可能にする前に、
認証メカニズムをアクティブにする必要があります。
管理コンソールを開始し、それを使用して認証メカニズムをアクティブにし、
管理コンソールで一部のタスクを実行することで、最終的に グローバル・セキュリティーが使用可能になります。
始める前に
WebSphere Application Server のグローバル・セキュリティーを使用可能にする前に、
認証メカニズムおよびユーザー・レジストリーの両方を選択する必要があります。
このタスクについて
Web サイト
http://server_hostname:port_number/ibm/console
を指定して、
管理コンソールを開始する必要があります。
グローバル・セキュリティーを使用可能にするには、以下のステップを行います。
プロシージャー
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。
- 「グローバル・セキュリティーの使用可能化」オプションを選択します。
グローバル・セキュリティーは、デフォルトでは使用不可になっています。
- オプション: 「Java 2 セキュリティーの強制」オプションを選択して、Java 2 セキュリティー権限の検査を使用可能にします。
デフォルトでは、Java 2 セキュリティーは使用不可になっています。
ただし、グローバル・セキュリティーを使用可能にする場合、Java 2 セキュリティーは自動的に使用可能になります。
グローバル・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。
Java 2 セキュリティーが使用可能になっているときに、アプリケーションが
デフォルト・ポリシーで与えられるよりも多くの Java 2 セキュリティー許可を要求する場合、
そのアプリケーションは、アプリケーションの app.policy ファイルまたは was.policy ファイル
に必要な許可が与えられるまでは、正しく実行できない可能性があります。
必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。Java 2 セキュリティーに関する詳しい説明については、『Java 2 セキュリティー
および動的ポリシー』資料を参照してください。
- 重要な Java Connector Architecture (JCA) マッピング認証データへのアプリケーションのアクセスを制限する必要がある場合は、「きめ細かな JCA セキュリティーの強制」オプションを選択します。
詳しくは、グローバル・セキュリティーの設定
を参照してください。
- 「ドメイン修飾ユーザー ID の使用」オプションを選択します。
このオプションが使用可能になっていると、プログラマチックに検索されたユーザー名は、完全修飾のドメイン属性で表示されます。
- 「キャッシュ・タイムアウト」フィールドで、セキュリティー・キャッシュについてのキャッシュ・タイムアウト値を秒単位で入力します。
タイムアウトに到達すると、Application Server はセキュリティー・キャッシュをクリアにし、セキュリティー・データを再ビルドします。
タイムアウトはパフォーマンスに影響を与えるので、低すぎる値を設定しないようにしてください。
デフォルト: 600 秒。
- 「許可警告の発行」オプションを選択します。
filter.policy ファイルには、J2EE 1.3 仕様に従って、
アプリケーションが持つべきではないアクセス権のリストが入っています。
このポリシー・ファイルに指定されたアクセス権と共に、アプリケーションがインストールされ、このオプションが使用可能な場合には、警告が出されます。
デフォルトは使用可能です。
- 「アクティブなプロトコル」メニューからセキュリティーを使用可能にする場合は、どのセキュリティー・プロトコルをアクティブにするか選択します。
セキュリティーが使用可能な場合に、RMI/IIOP 要求のアクティブな認証プロトコルを指定します。
WebSphere Application Server には、CSIv2
という Object Management Group (OMG) プロトコルが 含まれています。
このプロトコルでは、ベンダーのインターオペラビリティーが向上し、追加機
能がサポートされます。
セキュリティー・ドメイン全体に含まれるすべてのサーバーがバージョン 5 (およびそれ以降) のサーバー
である場合、プロトコルとして CSIv2 を指定するのが最適です。
デフォルトは、CSIv2 と z/SAS の両方です。
- 「アクティブな認証メカニズム」メニューからセキュリティーを使用可能にする場合は、どの認証メカニズムをアクティブにするかを選択します。
セキュリティーが使用可能な場合に、「アクティブな認証メカニズム」メニューを使用して、アクティブな認証メカニズムを指定します。
WebSphere Application
Server バージョン 6 では、Simple WebSphere Authentication Mechanism (SWAM) および Lightweight
Third Party Authentication (LTPA) は、サポートされた認証メカニズムです。
WebSphere Application Server Network Deployment では、LTPA のみが構成可能です。
SWAM は WebSphere Application Server Network Deployment で構成可能ではありません。
- セキュリティーが使用可能な場合に、「アクティブなユーザー・レジストリー」メニューを使用して、アクティブなユーザー・レジストリーを指定します。
以下のユーザー・レジストリーのうちの 1 つについて、設定を構成することができます。
デフォルト・ユーザー・レジストリーは、ローカル OS です。
ただし、この管理コンソール・パネルの「ユーザー・レジストリー」セクションで、サポートされているユーザー・レジストリーを構成することができます。
- オプション: 連邦情報処理標準によって認証された JSSE を使用している場合は、「連邦情報処理標準 (FIPS) を使用」オプションをクリックします。 WebSphere Application Server バージョン 6 以降は、
IBMJSSE2 を使用するチャネル・フレームワークをサポートしています。「連邦情報処理標準 (FIPS) を使用」
オプションを使用可能な場合、IBMJSSE2 は暗号のサポートに IBMJCEFIPS を使用します。
- 「OK」をクリックします。
このパネルは、セキュリティー構成の最終検証を行います。このパネルの「OK」または「適用」をクリックすると、セキュリティー検証ルーチンが実行され、ページの最上部にすべての問題が報告されます。
すべてのフィールドへの記入を完了したら、「OK」または「適用」をクリックして、選択した設定を受け入れます。
これらの設定をファイルに永続的に保管するには、「保管」(パネルの上部) をクリックします。赤字の
情報メッセージが表示された場合は、セキュリティー検証に問題が発生しています。
通常、このメッセージは問題を示しています。
したがって、構成を見直し、ユーザー・レジストリーの設定が正確であること、および正しいレジストリーが選択されていることを確認してください。
または、LTPA 構成が完全に指定されていない可能性もあります。
詳しくは、グローバル・セキュリティーの設定
を参照してください。
- オプション: SAF 許可の構成。これらの設定の詳細については、z/OS System Authorization Facility 許可
を参照してください。
結果
パネルの上部にエラー・メッセージが表示されない場合は、構成に成功しています。
次の作業
グローバル・セキュリティーを使用不可にすることができます。