WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

グローバル・セキュリティーの設定

このページを使用してセキュリティーを構成します。 セキュリティーを使用可能にすると、グローバル・レベルでセキュリティー設定が行えるようになります。

この管理コンソール・ページを表示するには、 「セキュリティー」>「グローバル・セキュリティー」をクリックします。

初めてセキュリティーの構成を行う際には、問題を回避するために、「カスタム・レジストリーのクラス名」に記載されたステップを行ってください。セキュリティーを構成する際、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みます。 グローバル・セキュリティーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、 初めてサーバーを再始動するときに問題を回避することができます。

「構成」タブ

グローバル・セキュリティーの使用可能化

この WebSphere Application Server ドメインのグローバル・セキュリティーを使用可能にするかどうかを指定します。

このフラグは、WebSphere Application Server 情報では通常、グローバル・セキュリティー・フラグ と呼ばれています。 セキュリティーを使用可能にするときには、認証メカニズムの構成を設定し、 選択されたユーザー・レジストリー構成で有効なユーザー ID とパスワードを指定してください。

セキュリティー・ドメイン内でセキュリティーを使用可能にした後に サーバーが開始されないなどの問題が生じた場合には、そのセルのすべてのファイルをこのノードに再同期してください。 ファイルを再同期させるには、ノード から syncNode -username your_userid -password your_password という コマンドを実行してください。 このコマンドによりデプロイメント・マネージャーに接続され、すべてのファイルが再同期されます。

グローバル・セキュリティーを使用可能にした後にサーバーが再始動しなくなった場合には、セキュリティーを使用不可にしてください。$install_root/bin ディレクトリーに移動して、 wsadmin -conntype NONE コマンドを実行します。 wsadmin> プロンプトで securityoff と入力し、次に exit と入力してコマンド・プロンプトに戻ります。 セキュリティーを使用不可にしてサーバーを再始動し、管理コンソールを介して誤っている設定を検査します。

ローカル OS ユーザー・レジストリー・ユーザー: アクティブ・ユーザー・レジストリーとして、「ローカル OS」を選択した場合、 ユーザー・レジストリー構成でパスワードを入力する必要はありません。

デフォルト: 使用不可
Java 2 セキュリティーの実行

Java 2 セキュリティーによる許可検査を使用可能にするのか、使用不可にするのかを指定します。 デフォルトでは、Java 2 セキュリティーは使用不可になっています。 ただし、グローバル・セキュリティーを使用可能にすると、自動的に Java 2 セキュリティーが使用可能になります。グローバル・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。

Enforce Java 2 security」オプションが使用可能になっているときに、 アプリケーションがデフォルト・ポリシーで付与されるよりも多くの Java 2 セキュリティー許可を要求する場合、そのアプリケーションは、 アプリケーションの app.policy ファイルまたは was.policy ファイルに必要な許可が付与されるまでは、 正しく実行できない可能性があります。 必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。Java 2 セキュリティーに関する経験が十分でない場合は、WebSphere Application Server 資料を参照し、Java 2 セキュリティーおよび動的ポリシーに関するセクションを検討してください。

デフォルト: 使用不可
きめ細かな JCA セキュリティーの実行

このオプションを使用可能にすると、 重要な Java Connector Architecture (JCA) マッピング認証データへのアプリケーションのアクセスが制限されます。

次の両方の条件が満たされる場合は、このオプションを使用可能にすることを検討してください。
  • Java 2 セキュリティーが実行される場合。
  • アプリケーション・エンタープライズ・アーカイブ (EAR) ファイル内にある was.policy ファイルで、アプリケーション・コードに accessRuntimeClasses WebSphereRuntimePermission 認可が付与されている場合。 例えば、was.policy ファイルに次のような行があれば、 アプリケーション・コードにこの許可が付与されています。

    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

きめ細かな JCA セキュリティーの強制」オプションによって、WSPrincipalMappingLoginModule インプリメンテーションのデフォルト・プリンシパル・マッピングに、きめ細かな Java 2 セキュリティー許可検査が追加されます。「Enable Java 2 security」オプションと 「きめ細かな JCA セキュリティーの強制」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接 WSPrincipalMappingLoginModule インプリメンテーションを使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的な許可を付与する必要があります。

デフォルト: 使用不可
ドメイン修飾ユーザー ID を使用

メソッドで戻されるユーザー名を、そのユーザー名が配置されているセキュリティー・ドメインで 修飾するように指定します。

このフィールドで、 ユーザー名のセキュリティー・ドメイン ID による修飾を使用可能にしたり使用不可にしたりします。

デフォルト: 使用不可
キャッシュ・タイムアウト

セキュリティー・キャッシュのタイムアウト値を秒単位で指定します。

WebSphere Application Server のセキュリティーが使用可能になっている場合、 セキュリティー・キャッシュのタイムアウトによってパフォーマンスが影響を受ける可能性があります。 このタイムアウト設定値では、セキュリティー関連のキャッシュのリフレッシュ頻度が指定されます。 キャッシュ・タイムアウトが満了すると、キャッシュされた情報はすべて無効になります。

デフォルトのセキュリティー・キャッシュ・タイムアウト値は 10 分です。ユーザーが少ない場合はもっ と長く、または、ユーザーが多い場合はもっと短い時間にする必要があります。

LTPA タイムアウト値は、セキュリティー・キャッシュ・タイムアウト以上でなければなりません。 また、LTPA タイムアウト値は ORB 要求タイムアウト値よりも長く設定することも推奨されます。 しかし、セキュリティー・キャッシュ・タイムアウト値と ORB 要求タイムアウト値との間には何の関係もありません。

データ型: 整数
単位:
デフォルト: 600
範囲: 30 秒より大
許可警告の発行

アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 Java API 許可は、java.* および javax.* パッケージで定義されている許可です。

WebSphere Application Server は、ポリシー・ファイル管理をサポートします。 この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。filter.policy ファイルには、J2EE 1.3 仕様に従って、アプリケーションが持つべきではない許可のリストが入っています。

デフォルト: 使用不可
アクティブなプロトコル

セキュリティーが使用可能になっている場合の、Remote Method Invocation over the Internet Inter-ORB Protocol (RMI IIOP) 要求のためのアクティブな認証プロトコルを指定します。

[バージョン 6.0.2] バージョン 5.x より前では、z/OS の z/OS Security Authentication Service (z/SAS) プロトコルが、唯一の使用可能なプロトコルでした。

Common Secure Interoperability Version 2 (CSIv2) と呼ばれるオブジェクト管理グループ (OMG) はさらなる ベンダー・インターオペラビリティーおよび追加機能をサポートします。セキュリティー・ドメインに含まれるすべてのサーバーが バージョン 5.x 以降のサーバーである場合、プロトコルとして CSI を指定します。

バージョン 4.x サーバーが存在する場合には、「CSI および zSAS」を指定してください。

デフォルト: BOTH
範囲:
範囲: CSI および zSAS、CSI
アクティブな認証メカニズム

セキュリティーが使用可能になっている場合のアクティブな認証メカニズムを指定します。

アクティブな認証メカニズムは構成可能ではありません。 また、このバージョンの製品では、Lightweight Third Party Authentication (LTPA) 認証のみがサポートされます。

WebSphere Application Server for z/OS、バージョン 5.x 以降では、Simple WebSphere Authentication Mechanism (SWAM)、Lightweight Third Party Authentication (LTPA)、 および Integrated Cryptographic Services Facility (ICSF) という認証メカニズムがサポートされています。 WebSphere Application Server for z/OS バージョン 5.x 以降では ICSF および LTPA のみが構成可能です。SWAM は構成可能ではありません。

デフォルト: SWAM
範囲: SWAM、LTPA、ICSF
アクティブなユーザー・レジストリー

セキュリティーが使用可能になっている場合のアクティブなユーザー・レジストリーを指定します。

以下のユーザー・レジストリーのうちの 1 つについて、設定を構成することができます。
  • Local OS

    この設定は、構成済みの Resource Access Control Facility (RACF) あるいは Security Authorization Facility (SAF) 準拠のセキュリティー・サーバーを、WebSphere Application Server ユーザー・レジストリーとして使用したい場合に指定します。

  • LDAP ユーザー・レジストリー。

    ユーザーおよびグループが外部 LDAP ディレクトリーに置かれている場合には、LDAP ユーザー・レジストリーの設定値が使用されます。 セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、 「グローバル・セキュリティー」パネルに進み、「適用」または「OK」をクリックして変更内容を有効にしてください。

  • カスタム・ユーザー・レジストリー
デフォルト: ローカル OS (単一の独立型サーバー、またはシスプレックスおよびルート管理者のみ)
範囲: ローカル OS (単一の独立型サーバー、またはシスプレックスおよびルート管理者のみ)、 LDAP ユーザー・レジストリー、カスタム・ユーザー・レジストリー
連邦情報処理標準 (FIPS) を使用

連邦情報処理標準 (FIPS) 準拠の Java 暗号化エンジンを使用可能にします。

  • WebSphere Application Server for z/OS System Secure Sockets Layer (SSSL) によって実行される Secure Sockets Layer 暗号化に影響を与えません。
  • このセルに WebSphere Application Server for z/OS バージョン 6.0.x より前の Application Server バージョンが 含まれている場合は、JSSE プロバイダーを変更しません。

Use the Federal Information Processing Standard (FIPS)」を選択した場合には、 Lightweight Third Party Authentication (LTPA) インプリメンテーションは IBMJCEFIPS を使用します。IBMJCEFIPS は、Data Encryption Standard (DES)、Triple-DES、および Advanced Encryption Standard (AES) で、連邦情報処理標準 (FIPS) 承認済み暗号アルゴリズムをサポートしています。 ただし LTPA キーは、WebSphere Application Server の以前のリリースと互換性がありますが、LTPA トークンは以前のリリースとは互換性はありません。 以前のリリースの WebSphere Application Server では、LTPA トークンの生成を、FIPS 承認のアルゴリズムを使用して行いませんでした。

WebSphere Application Server では、IBMJSSEFIPS という FIPS 承認済みの Java Secure Socket Extension (JSSE) プロバイダーを提供しています。 FIPS 承認済みの JSSE は、Secure Sockets Layer (SSL) プロトコルとの互換性がないので、Transport Layer Security (TLS) プロトコルが必要です。

デフォルト: 使用不可
カスタム・プロパティー

既存の構成の場合、変更する必要のあるプロファイルがいくつかあります。 これらのプロファイルを変更するには、 管理コンソールに移動し、「セキュリティー」>「グローバル・セキュリティー」をクリックします。 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。

"security.zOS.domainName" value="TESTSYS"
以下のドメイン関連のグローバル・セキュリティーのカスタム・プロパティーを変更できます。
  • security.zOS.domainType プロパティーは、セキュリティー定義を修飾するためにセキュリティー・ドメイン を使用するかどうかを指定します。WebSphere Application Server for z/OS では、値はすべて none に指定でき、 これは、Service Access Facility (SAF) セキュリティー定義がグローバル・シスプレックス有効範囲 または cellQualified に属することを意味します。 この値は、 WebSphere Application Server ランタイムが、SAF セキュリティー定義を修飾するために、 security.zOS.domainName プロパティーに指定されているドメイン・ネームを使用することを示します。 プロパティーが定義されていない、または値が設定されていない場合は、none が想定されます。 例えば、"security.zOS.domainType" value="cellQualified" です。
  • security.zOS.domainName は、"security.zOS.domainType" value="cellQualified" の場合に指定されます。 security.zOS.domainName の値は、 サーバーの許可に検査される SAF プロファイルを修飾するために 使用し、1 から 8 文字の長さの大文字ストリングでなければなりません。 ここで値が指定され、cellQualified が選択されている場合、その名前は、APPL およびパスチケットの各プロファイルで使用するアプリケーション名の識別にも使用されます。security.zOS.domainName の値が指定されていない場合、デフォルト値は CBS390 です。
この定義によって影響を受けるプロファイルは、以下のとおりです。
  • EJBROLE (SAF 許可の場合)
  • CBIND
  • APPL
カスタマイズ・ダイアログは、セキュリティー・ドメインが定義されている場合、カスタマイズ中に適切な SAF プロファイルをセットアップします。 domainName の domainType の値を変更すると、 カスタマーは SAF プロファイル・セットアップで適切な変更を行う必要があり、 変更しない場合はランタイム・エラーが生じます。 セキュリティー domainName 関連のカスタマイズに必要な特定のプロファイルの更新、 およびセキュリティー・ドメイン・カスタマイズ・パネルについての詳細は、制御の要約 を参照してください。

カスタム・プロパティー: デフォルト TSO セッション・タイプのオーバーライド

アプリケーションがエンタープライズ情報システム (EIS) に接続し、スレッド識別サポートを使用する場合があります。 スレッド識別サポートは、WebSphere Application Server for z/OS の接続管理コンポーネントによって提供されます。 この状態では、現行のスレッド識別を基にしたセキュリティー・クレデンシャルによって、その接続に関連した ユーザーのセキュリティー情報がカプセル化されます。 デフォルトでは、ユーザーに関連したセッション・タイプは TSO です。 スレッド識別サポートを使用する WebSphere Application Server for z/OS ユーザーがある場合は、そのユーザーを TSO ユーザーとして定義する必要があります。 ユーザーを TSO ユーザーとして定義したくない場合は、security.zOS.session.OMVSSRV カスタム・プロパティーを使用できます。 このカスタム・プロパティーは、セキュリティー・クレデンシャルのユーザー ID のセッション・タイプを TSO から OMVSSRV に変更します。 ただし、IMS など、ターゲット EIS での認証にこのユーザー情報を使用する場合は、 そのユーザーは許可済みの OMVSSRV ユーザーでなければなりません。 このカスタム・プロパティーを指定するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
  3. 新規」をクリックします。
  4. 「名前」フィールドに、security.zOS.session.OMVSSRV と入力します。
    重要: このカスタム・プロパティーでは、大/小文字を区別します。
  5. 「値」フィールドに true と入力します。
  6. 適用」と「保管」をクリックします。

カスタム・プロパティー: 信頼されたアプリケーション

custom_region_security_enable_trusted_applications プロパティーにより、WebSphere Application Server は問題プログラム状態の呼び出し元に代わるオーセンティケーターなしで、ネイティブ・クレデンシャルを作成することができます。 このプロパティーを使用して、権限のない呼び出し元が権限のある機能を実行できないように、MVS 整合性ルールを満たします。 ローカル・オペレーティング・システムのレジストリーまたは System Authorization Facility (SAF) 権限を持つ Lightweight Third Party Authentication (LTPA) を使用している場合は、このプロパティーを true に設定します。このプロパティーを設定するには、以下のステップを実行します。
  1. カスタム・プロパティー」をクリックします。
  2. control_region_security_enable_trusted_applications」プロパティーをクリックします。
  3. 」フィールドを「false」から「true」に変更し、 「適用」をクリックします。



関連タスク
特定のアプリケーション・サーバーの保護
すべてのアプリケーション・サーバーのセキュリティーの使用可能化
関連資料
LTPA (Lightweight Third Party Authentication) 設定
統合暗号サービス機能の設定
ローカル・オペレーティング・システムのユーザー・レジストリー設定
Lightweight Directory Access Protocol (LDAP) 設定
制御の要約
カスタム・ユーザー・レジストリーの設定
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/usec_rgsp.html