WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

WebSphere Application Server for z/OS のセキュリティーに関する考慮事項

WebSphere Application Server for z/OS でサポートされる機能

WebSphere Application Server for z/OS は、 以下の機能をサポートしています。

表 1. WebSphere Application Server for z/OS でサポートされる機能
機能 追加情報
RunAs EJB 詳しくは、代行 を参照してください。
サーブレット用 RunAs 詳しくは、代行 を参照してください。
SAF ベースの IIOP プロトコル 詳しくは、Common Secure Interoperability Version 2 および Security Authentication Service クライアント構成 を参照してください。
z/OS コネクター機能 詳しくは、Resource Recovery Service (RRS) を参照してください。
セキュリティーの使用可能化または使用不可化 詳しくは、グローバル・セキュリティーの使用可能化 およびグローバル・セキュリティーの使用不可化 を参照してください。
SAF 鍵リング 詳しくは、Java Secure Sockets Extension と System Authorization Facility 鍵リングの使用 を参照してください。
認証機能 認証機能の例: 基本認証、SSL デジタル証明書、フォーム・ベースのログイン、 セキュリティー制約、トラスト・アソシエーション・インターセプター
J2EE セキュリティー・リソース 詳しくは、タスクの概要: リソースの保護 を参照してください。
Web 認証 (LTPA) 詳しくは 、Lightweight Third Party Authentication メカニズムの構成 を参照してください。
LTPA を使用する IIOP 詳しくは、LTPA (Lightweight Third Party Authentication) を参照してください。
WebSphere アプリケーション・バインディング WebSphere アプリケーション・バインディングを使用すると、 ユーザーと役割のマッピングを提供できます。
Synch to OS Thread 詳しくは、Java スレッド ID とオペレーティング・システム・スレッド ID を参照してください。
J2EE 役割ベース・ネーミング・セキュリティー 詳しくは、Java 2 Platform, Enterprise Edition (J2EE) 仕様 を参照してください。
J2EE 役割ベース管理セキュリティー 詳しくは、Java 2 Platform, Enterprise Edition (J2EE) 仕様 を参照してください。
SAF レジストリー 詳しくは、ユーザー・レジストリー を参照してください。
ID アサーション

詳しくは、 ID アサーションを参照してください。

認証プロトコル : z/SAS、CSIV2

詳しくは、 認証プロトコルのサポート を参照してください。

CSIv2 適合レベル "0" 詳しくは、セキュリティー計画の概要 を参照してください。
J2EE 1.4 準拠 詳しくは、Java 2 Platform, Enterprise Edition (J2EE) 仕様 を参照してください。
JAAS プログラミング・モデル WebSphere 拡張機能 詳しくは、Web 認証用の Java Authentication and Authorization Service プログラミング・モデ ルの使用 を参照してください。
基本 WebSphere Application Server にはすべて、以下の機能が備わっています。
  • RunAs の使用: RunAs は、呼び出し元、サーバー、または役割の ID を変更するために使用します。 この指定はサーブレット仕様に含まれるようになりました。
  • SAF ベースの IIOP 認証プロトコルのサポート: Network Deployment では、Internet Inter-ORB Protocol (IIOP) 認証に Secure Authentication Services (SAS) を使用します。 z/OS には、(同様の機能を持つがメカニズムが異なる) z/OS Secure Authentication Services (z/SAS) と呼ばれる SAS の独自のバージョンがあり、 ローカル・セキュリティー、Secure Sockets Layer (SSL) ベースの許可、 System Authorization Facility (SAF) マッピングによるデジタル証明書、 および SAF ID アサーションなどの機能を扱います。
  • SAF ベースの許可および RunAs 機能: 許可および代行セキュリティー情報の SAF (EJBROLE) プロファイルを使用します。
  • z/OS コネクター機能のサポート: ユーザー ID およびパスワードを保管する際に別名を使用する代わりに、 ローカル OS ID を伝搬する機能がサポートされています。
  • HTTP および IIOP の SAF 鍵リング・サポート: HTTP、IIOP、 および SAF 鍵リング・サポートで SystemSSL を使用します。JSSE を使用することもできます。
  • 認証機能: 基本認証、SSL デジタル証明書、 フォーム・ベースのログイン、セキュリティー制約、 トラスト・アソシエーション・インターセプターなどの Web 認証メカニズムによって、 バージョン 5 で提供していたものと同じ機能を、 バージョン 6.0.x で提供します。
  • J2EE リソースの許可: Java 2 Platform, Enterprise Edition (J2EE) リソースの許可はバージョン 4 で使用されている役割と同様の役割を使用し、 これらの役割はディスクリプターとして使用されます。
  • セキュリティーの使用可能化: セキュリティーは、 グローバルに使用可能とすることも使用不可とすることもできます。 サーバーの起動時にあるレベルのセキュリティーが設定されますが、 管理者がセットアップするまでは使用不可の状態です。
  • LTPA および SWAM による Web 認証: Lightweight Third Party Authentication (LTPA)、 または Simple WebSphere Authentication Mechanism (SWAM) によるシングル・サインオンがサポートされています。
  • LTPA による IIOP 認証: LTPA による IIOP 認証がサポートされています。
  • WebSphere Application Bindings for Authorization: WebSphere Application Bindings for Authorization がサポートされるようになりました。
  • Synch to OS Thread: Application Synch to OS Thread がサポートされています。
  • J2EE 役割ベース・ネーミング・セキュリティー: ネーム・スペースへのアクセスを保護するのに J2EE 役割が使用されます。 新規の役割とタスクは cosNamingRead、cosNamingWrite、cosNamingCreate、および cosNamingDelete です。
  • 役割ベースの管理セキュリティー: セキュリティーを区切る役割には以下があります。
    • モニター (許可が最も少なく、読み取り専用)
    • オペレーター (ランタイム変更の実行が可能)
    • コンフィギュレーター (特権のモニターおよび構成が可能)
    • 管理者 (ほとんどの許可)

WebSphere Application Server for z/OS と、 他のプラットフォームの WebSphere Application Server との比較

主要な 類似点:
  • プラグ可能セキュリティー・モデル: プラグ可能セキュリティー・モデルは、 IIOP Common Secure Interoperability Version 2 (CSIv2)、Web Trust Authentication、Java Management Extensions (JMX) コネクター、 または Java Authentication and Authorization Service (JAAS) プログラミング・モデルで認証できます。 以下のことを行う必要があります。
    1. 該当のレジストリーと必要な認証 (トークン) メカニズムを決定します。
    2. レジストリーがローカルまたはリモートであるかどうか、 さらにはどの Web 許可 (Simple WebSphere authentication mechanism (SWAM)、 および Lightweight Third-Party Authentication (LTPA)) を使用すべきかを決定します。
主な相違点は以下のとおりです。
  • SAF レジストリー: ローカル・オペレーティング・システム・レジストリーは、 z/OS では優れた機能を提供します。 これは、z/OS が単一サーバーではなくシスプレックス全体にまたがるためです。 z/OS は、証明書からユーザーへのマッピング、許可、および代行機能を提供します。
  • ID アサーション: 表明を行うサーバーに必要な許可を得るには、 トラステッド・サーバーまたは CBIND を使用します。 分散プラットフォームでは、 トラステッド・サーバー・リストにサーバーを配置する必要があります。 z/OS では、サーバー ID に特定の CBIND 許可が必要です。 表明の種類には、SAF ユーザー ID、識別名 (DN)、 および SSL クライアント証明書があります。
  • IIOP クライアント用の zSAS と SAS の認証プロトコル: z/SAS は、 RACF PassTicket をサポートするという点で SAS とは異なります。 WebSphere Distributed の SAS 層は、 Common Object Request Broker Architecture (CORBA) ポータブル・インターセプターを使用して、 Secure Association Service を実装しますが、z/OS は異なります。
  • CORBA フィーチャー: z/OS では、 CORBA セキュリティー・インターフェースはサポートされていません。 これには、現行 CORBA、LoginHelper、信任状、および ServerSideAuthenticator の各モデルが含まれます。 CORBA 機能は JAAS にマイグレーション済みです。
  • 認証プロトコル: CSIv2 は、z/OS Security Server のオブジェクト管理グループ (OMG) 仕様で、 WebSphere セキュリティーが使用可能になると自動的に使用可能になります。 これは、3 層のアプローチで、メッセージ保護のための Secure Sockets Layer Transport Layer Security (SSL/TLS)、ユーザー ID およびパスワードの補足クライアント認証層である Generic Security Services Username Password (GSSUP)、および ID アサーションに中間サーバー (ターゲット・サーバーに対して特に許可を得る必要があるもの) で使用するセキュリティー属性層から成ります。

J2EE 1.3 準拠

J2EE に準拠させるには、以下のことが必要です。
  • CSIv2 適合レベル 「0」: これは Object Management Group (OMG) (z/OS Security Server に関連) 仕様で、 以前の CORBA サポートの一部です。 セキュリティーを使用可能にすると、CSIv2 も自動的に使用可能になります。
  • Java 2 セキュリティーの使用:「セキュリティー使用可能」と「Java 2 セキュリティー使用可能」があり、Java 2 のデフォルトは「オン」です。 これには、 サブジェクト・ベースの許可とは反対のコード・ベースの許可である、 きめ細かいアクセス制御が用意されています。 各クラスともある特定のドメインに属します。 Java 2 セキュリティーによって保護される許可には、 ファイル・アクセス、ネットワーク・アクセス、ソケット、 既存の Java 仮想マシン (JVM)、プロパティーの管理、およびスレッドがあります。 セキュリティー・マネージャーは、 セキュリティーの管理および必要な保護の実行を行うメカニズムとして Java 2 で使用します。 Java 2 セキュリティーの拡張機能としては、 動的ポリシー (コード・ベースではなくリソース・タイプ・ベースの許可) の使用、 テンプレート・プロファイルのリソースに定義されている特定のデフォルト許可の使用、 およびポリシーを使用不可にするためのフィルター・ファイルの使用があります。
  • JAAS プログラミングの使用: JAAS プログラミングには、認証用の API の標準セットが組み込まれています。 JAAS は、戦略的な許可および認証メカニズムです。 IBM Developer Kit for Java Technology Edition バージョン 1.4.2 は、 WebSphere バージョン 6.0.x と同時に出荷されます。 ただし、幾つかの拡張機能が提供されています。
  • サーブレット RunAs 機能の使用: 分散プラットフォーム (z/OS プラットフォームは除く) 上の WebSphere Application Server では、 この機能を代行ポリシー と呼びます。 システム、呼び出し元、または役割 (ユーザー) として実行するように ID を変更できます。 この機能はサーブレット仕様に含まれるようになりました。 認証では、ユーザー ID およびパスワードを使用し、 次に、該当する XML ファイルまたは EJBROLE への別名のマッピングを行い、RunAs 役割のユーザー ID を検出します。

API/SPI レベルにおける WebSphere Application Server Network Deployment への対応

アプリケーション・プログラミング・インターフェース または Service Provider Programming Interface (API/SPI) のレベルで、WebSphere Application Server Network Deployment に準拠することにより、z/OS 上での Network Deployment からアプリケーションのデプロイを、 より簡単に行うことができます。 Network Deployment によって拡張されるか、 推奨されないフィーチャーは、z/OS でも拡張されるか、推奨されません。 ただし、これは、 z/OS のカスタマーがマイグレーションを実行しなくてもよいということではありません。 API/SPI レベルにおける WebSphere Network Deployment への対応には以下のものがあります。
  • JAAS プログラミング・モデルの WebSphere Application Server 拡張: 許可モデルは、 JAAS プログラミングの Java 2 セキュリティー・モデルを拡張したものです (したがって、J2EE モデルで実行されます)。 サブジェクト・ベースの許可は、認証済みのユーザー ID で実行されます。 単にユーザー ID とパスワードを使用してログインする代わりに、 ログイン・プロセスが用意されました。 これにより、ログイン・コンテキストを作成し、 ユーザー ID およびパスワードに対してプロンプトを出すコールバック・ハンドラーを渡して、 ログインします。 WebSphere Application Server for z/OS は、ログイン・モジュール、 必要なデータを検索するためのコールバック・ハンドラー、コールバック、WSSubject 選択、 getCallerSubject、および getRunAsSubject を提供します。
  • WebSphere Application Server セキュリティー API の使用: z/OS は WebSphere Application Server セキュリティー API をサポートしています。
  • セキュアな JMX コネクターの使用: JMX コネクターは、 ユーザー ID とパスワード・クレデンシャルを用いて使用することができます。 コネクターには RMI と SOAP/HTTPS の 2 種類があります (これらは管理用です)。 SOAP コネクターは、JSSE SSL リポジトリーを使用します。 RMI コネクターには、 IIOP メカニズム (CSIv2 など) と同じ利点および制約事項があります。



関連タスク
タスクの概要: リソースの保護
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/csec_oversecure.html