WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

カスタマイズ・ダイアログの変数: セキュリティー・ドメイン

この項では、WebSphere® Application Server for z/OS® カスタマイズ・ダイアログに出てくる用語の定義をリストします。

注: スタンドアロン・アプリケーション・サーバーを「練習で」セットアップする場合は、 可能な限りデフォルト値を選択してください。

セキュリティー・ドメイン ID

セキュリティー・ドメイン名に基づいて APPL または EJBROLE のプロファイルを識別する場合は、「Use security domain identifier in RACF® definitions」を「Y」に設定し、セキュリティー・ドメイン名を 1 から 8 文字の英数字で指定します。

内部的には、これにより、 「SecurityDomainType」がストリング「cellQualified」に設定されます。 セル内のすべてのサーバーは、ユーザーが指定するセキュリティー・ドメイン名を、 アプリケーション固有の J2EE 役割名の前に付加して、 検査用の SAF EJBROLE プロファイルを作成します。
注: ただし、WebSphere Application Server for z/OS バインディングを使用して役割検査が行われる場合には、セキュリティー・ドメイン名は使用されません。
セキュリティー・ドメイン名は、APPL プロファイル名としても使用され、 CBIND 検査に使用されるプロファイル名に挿入されます。 カスタマイズ・ダイアログが生成する RACF ジョブは、作成済みのノードおよびサーバーのために、適切な RACF プロファイルを作成および許可します。

セキュリティー・ドメイン ID を使用しない場合は、「Use security domain identifier in RACF definitions」を「N」に設定します。

セル全体のユーザー ID とグループ

セキュリティー・ドメインをセットアップする最初の部分では、 セル全体のユーザー ID とグループ名を選択します。 個々の名前には、1 から 8 文字の英数字が含まれ、 最初の文字は英字でなければなりません。
注: 国別文字 (#、$、および @) も使用できますが、後に互換性問題の原因となる可能性があるので、避けた方がよいでしょう。
以下のように、各ユーザー ID には UNIX® システム・サービス UID 番号が、 各グループには UNIX システム・サービス GID 番号が必要です。
  • UID 値は、1 から 2,147,483,647 までの一意の数値でなければなりません。 UID 値に 0 は使用しないでください。
  • GID 値は、1 から 2,147,483,647 までの一意の数値でなければなりません。
単一のセキュリティー・ドメイン定義を使用して、 複数のセルをセットアップすることができますが、 別々のセキュリティー・ドメイン間でユーザー ID とグループを共用することはできません。

以下の SAF ユーザー ID 用に名前と UID 値を選択し、 それらをワークシートに入力します。

WebSphere Application Server 管理者
このユーザー ID は、初期 WebSphere Application Server 管理者であり、ほとんどのセルのファイルも構成 HFS 内に所有しています。 このユーザー ID には、WebSphere Application Server 構成グループ (下記) が、そのデフォルト UNIX システム・サービス・グループとして存在していなければなりません。特定のカスタマイズ・バッチ・ジョブが、 このユーザー ID で実行されていなければなりません。
WebSphere Application Server 非同期管理タスク
このユーザー ID は、 非同期管理操作のプロシージャーを実行するために使用されます。 このユーザー ID は、WebSphere Application Server 構成グループのメンバーでなければなりません。
WebSphere Application Server 非認証ユーザー
このユーザー ID は、非認証クライアント要求に関連付けられています。 このユーザー ID は、「ゲスト」ユーザー ID と呼ばれることもあります。 このユーザー ID は、UACC ベースのアクセス権を継承しないように、RACF で RESTRICTED 属性を指定されている必要があり、WebSphere Application Server 非認証グループ (下記) のメンバーでなければなりません。
以下の SAF グループ用に名前と GID 値を選択し、 それらをワークシートに入力します。
WebSphere Application Server 構成グループ
これは、WebSphere Application Server の管理者ユーザー ID およびすべてのサーバー・ユーザー ID 用のデフォルト・グループ名です。これは構成 HFS 内のほとんどのファイルに対するグループ所有者であるため、 このグループへのアクセスは制限する必要があります。
WebSphere Application Server 非認証ユーザー・グループ
これは、WebSphere Application Server の非認証ユーザー ID 用のデフォルト・グループ名です。 このグループには、非認証ユーザーを追加することができます。
WebSphere Application Server サーバント・グループ
すべてのサーバント・ユーザー ID をこのグループに接続します。 ユーザーはこれを使用して、DB2® 許可などのサブシステム・アクセス権を、セキュリティー・ドメイン内のすべてのサーバントに割り当てることができます。

ユーザー・レジストリー

WebSphere Application Server for z/OS は、SAF ベース (ローカル OS) レジストリー、LDAP レジストリー、またはカスタム・レジストリーを使用することができます。カスタマイズ・プロセスが、ローカル OS セキュリティー・レジストリー用の RACF 定義を準備する必要がある場合は、「Y」を選択します。 代わりに LDAP またはカスタム・ユーザー・レジストリーを使用する場合は、「N」を選択します。

SSL カスタマイズ

推奨されているように、 ある時点でグローバル・セキュリティーを使用可能にする場合は、 以下の SSL 値を入力します。
認証局の鍵ラベル
サーバー証明書の生成に使用する認証局 (CA) を識別する鍵ラベルの名前。
認証局 (CA) 証明書の生成
新規 CA 証明書を生成する場合は、「Y」を選択します。 既存の CA 証明書にサーバー証明書を生成させる場合は、「N」を選択します。
CA 権限の有効期限
WebSphere Application Server for z/OS サーバー用に生成される個人証明書の有効期限とともに、X509 認証局証明書に使用される有効期限。 「Generate Certificate Authority (CA) certificate」に対して「N」を選択した場合であっても、 この値を指定する必要があります。
デフォルトの RACF 鍵リング名
WebSphere Application Server for z/OS が使用する RACF 鍵リングに指定するデフォルト名。 レパートリー用に作成される鍵リング名は、セル内ではすべて同一です。
ロケーション・サービス・デーモンで SSL を使用可能に設定
SSL を使用するロケーション・サービス・デーモンに対して Inter-ORB Request Protocol (IIOP) を使用する セキュア通信をサポートする必要がある場合は、「Y」を選択します。 「Y」を指定すると、使用するロケーション・サービス・デーモン用に RACF 鍵リングが生成されます。

その他の z/OS セキュリティー・カスタマイズ・オプション

デフォルトの RACF レルム名

これは、特定の RACF (または準拠) データベースの識別に使用される SAF 設定です。単一の RACF データベースを共用しているシステムはすべて、同一の RACF レルム名を持っています。 CSIv2 ローカル OS レジストリーは、デフォルトの RACF レルム名 (設定されている場合) またはロケーション・サービス・デーモン IP 名を、WebSphere セキュリティー・レルム名として使用します。

デフォルトの RACF レルム名を設定または変更する場合は、「Generate default RACF realm name」を「Y」に設定し、設定する RACF レルム名を入力します。カスタマイズ・ダイアログ・ジョブでは、RACF レルム名を、それらのレルム名を実行する各 z/OS システム上に設定します。

SAF EJBROLE プロファイルを使用した J2EE 役割の実行

J2EE および WebSphere Application Server for z/OS 管理者役割を許可するために、アプリケーション・デプロイメント時に作成された WebSphere Application Server for z/OS バインディングではなく、SAF EJBROLE プロファイルを使用することを示す場合は、「Y」を選択します。 ここで指定した値は、WebSphere Application Server for z/OS グローバル・セキュリティーを使用可能にするまでは無効です。

この変数が「Y」に設定されると、カスタマイズ・ダイアログが作成した RACF ジョブが、WebSphere Application Server for z/OS ランタイム管理およびネーミングに必要な EJBROLE プロファイルをセットアップします。 さらに、グローバル・セキュリティーが使用可能である場合、 ローカル OS レジストリーは、デフォルトで SAF 許可を使用するように設定されます。 (LDAP またはカスタム・ユーザー・レジストリーで SAF 許可を使用する場合、ユーザー・レジストリー SAF 許可設定での変更、および JAAS システム・ログインのプラグ可能 ID マッピング・モジュールのインストール・システムでの変更は両方とも、WebSphere Application Server for z/OS プリンシパルを SAF ユーザー ID にマップすることを必要とします。)

SAF EJBROLE プロファイルを使用する場合、SAF EJBROLE プロファイルが定義されていることを確認するのは WebSphere Application Server for z/OS 管理者の責任であり、ユーザーから役割へのマッピングを完了するのはシステム管理者の責任です。

LTPA または ICSF ログイン・トークンを使用した SAF 許可の使用可能化
WebSphere Application Server for z/OS サーバントを使用可能にして、パスワードや SAF 固有のオーセンティケーターを提供せずに SAF レジストリーに対してユーザーを認証するには、「Y」を指定します。 これは以下の場合に必要になります。
  • WebSphere Application Server for z/OS セキュリティーが使用可能になっている
  • ローカル OS がアクティブ・レジストリーである
および、以下のいずれかの場合です。
  • ICSF または LTPA が認証メカニズムである、または
  • トラスト・アソシエーション・インターセプターが使用中である
この値を「Y」に設定すると、z/OS ユーザー ID は持っているが z/OS オーセンティケーターを持たない WebSphere Application Server for z/OS サーバント・ランタイム (未許可のアプリケーション) が、z/OS にログオンできるようになります。これは、WebSphere Application Server for z/OS ログイン・トークン検証またはトラスト・アソシエーション・インターセプターの検証を介して z/OS ユーザー ID を設定する場合に必要です。
注: 従来の z/OS システムの制約事項を一部緩和すると、WebSphere Application Server for z/OS 管理者に、インストールされるアプリケーションに不正なコードが含まれていないことを確認するという、追加の責任が発生します。 Java™ 2 セキュリティーを使用すると、このような機密漏れを最小化することができます。

WebSphere Application Server ユーザー ID ホーム・ディレクトリー

注: このフィールドは、WebSphere Application Server for z/OS バージョン 6.0.2.1 で、カスタマイズ・ダイアログに追加されました。
WebSphere Application Server ユーザー ID ホーム・ディレクトリー
WebSphere Application Server for z/OS ユーザー ID のホーム・ディレクトリーがカスタマイズ・プロセスによって作成される場所に、新規または既存の z/OS HFS ディレクトリーを指定します。 このディレクトリーは、WebSphere Application Server セルの z/OS システム間で共用する必要はありません。



関連資料
カスタマイズ・ダイアログのワークシート: セキュリティー・ドメイン
関連情報
セキュリティーの計画
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/rins_defvar1def.html