管理セキュリティー という用語は、
セキュリティー・ドメイン全体で有効なセキュリティー構成を意味します。
セキュリティー・ドメインは、
同一のユーザー・レジストリーのレルム名で構成されたすべてのサーバーから構成されます。z/OS プラットフォームでは、
管理セキュリティー という用語は、
WebSphere Application Server セルで有効なセキュリティー構成を意味します。
ローカル OS ユーザー・レジストリーを構成する場合、
このレジストリー構成では、
Resource Access Control Facility (RACF) または System Authorization Facility (SAF) 準拠の、ユーザー・データベースが使用されます。
ローカル OS ユーザー・レジストリーをアクティブなレジストリーとして選択すると、
WebSphere Application Server プリンシパルを直接使用した、
以下のような z/OS System Authorization Facility 機能を利用できます。
- 他の多数の z/OS コネクター・サービスとの ID の共用
- SAF 代行を使用し、構成の多数のロケーションでユーザー ID およびパスワードを保管する必要性を最小化
- 追加の監査機能の使用
これらの機能は、他のレジストリーを使用して使用可能ですが、
WebSphere Application Server システム・ログイン構成および
Java Authentication and Authorization Service (JAAS) ログイン・モジュールへの変更を通じて行う、
ID マッピングが必要です。詳しくは、
System Authorization Facility ユーザー ID マッピングを実行するためのシステム・ログイン構成の更新
を参照してください。
セキュリティー・ドメインの
管理セキュリティー の構成は、
共通ユーザー・レジストリー、認証メカニズム、
およびセキュリティー・ドメインの振る舞いを定義するその他のセキュリティー情報から構成されます。
構成されるその他のセキュリティー情報は、次のコンポーネントを含んでいます。
- Java 2 セキュリティー・マネージャー
- Java Authentication and Authorization Service (JAAS)
- Java 2 コネクター認証データ・エントリー
- Common Secure Interoperability Version
2 (CSIv2) および z/OS Secure Authentication Service (z/SAS) 認証プロトコル
(Internet Inter-ORB Protocol を介して実行される Remote Method Invocation (RMI/IIOP) セキュリティー)
- その他各種の属性。
1 つのノード内に複数ノードおよび複数サーバーが存在可能な場合、
属性の一部をサーバー・レベルで構成できます。
サーバー・レベルで構成可能な属性には、
サーバーのセキュリティー使用可能化、Java 2 セキュリティー・マネージャー使用可能化、
および CSIv2 と z/SAS 認証プロトコル (RMI/IIOP セキュリティー) があります。
管理セキュリティー が使用可能であっても、
個々のアプリケーション・サーバーでセキュリティーを使用不可にすることができます。
ただし、管理セキュリティー が使用不可になっている間に、
個々のアプリケーション・サーバーのセキュリティーを使用可能にすることはできません。
ユーザー要求に対するアプリケーション・サーバーのセキュリティーが使用不可になっている場合でも、
アプリケーション・サーバーにおける管理およびネーミングのセキュリティーは使用可能になっているため、
管理およびネーミングのインフラストラクチャーは保護された状態のままになります。 セルのセキュリティーは使用可能でも、
個々のサーバーのセキュリティーが使用不可である場合、
J2EE アプリケーションは認証も許可もされません。
ただし、ネーミングおよび管理セキュリティーは実行されます。
したがって、ネーミング・サービスは、ユーザー・アプリケーションから呼び出される可能性があるため、
必要なネーミング機能に Everyone アクセスを許可して、
これらの機能が非認証の要求を受け入れられるようにしておく必要があります。
サポートされているスクリプト・ツールを使用する場合を除き、
ユーザー・コードから管理セキュリティーに直接、アクセスすることはありません。