WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

ローカル・オペレーティング・システムのユーザー・レジストリーの構成

これらのステップを使用して、ローカル・オペレーティング・システムのユーザー・レジストリーを構成し

始める前に

ローカル・オペレーティング・システム・ユーザー・レジストリーの使用について、詳しくはローカル・オペレーティング・システムのユーザー・レジストリー を参照してください。インストール済みの状態では、WebSphere Application Server の セキュリティーは使用不可となっています。以下のステップにより、WebSphere Application Server がインストールされている ローカル・オペレーティング・システムのユーザー・レジストリーを基にして、セキュリティーをセットアップすることができます。

ローカル OS ユーザー・レジストリーが選択されている場合、 開始済みタスク ID がサーバー ID として選択されます。サーバーを構成するためにユーザー ID および パスワードは必要ありません。

重要: 各開始済みタスク、例えば、コントローラー、サーバント、またはノード・エージェントなどは、 別の ID を持つ場合があります。z/OS のカスタマイズ・ダイアログによりこれらの ID がセットアップされます。 詳しくは、z/OS カスタマイズ・ダイアログを参照してください。

このタスクについて

WebSphere Application Server のユーザー・レジストリーをセットアップする場合には、 System Authorization Facility (SAF) がユーザー・レジストリーとの組み合わせで作動して、アプリケーションがサーバー上で 稼働するのを許可します。SAF の機能の詳細については System Authorization Facility のユーザー・レジストリー を参照してください。 ローカル OS ユーザー・レジストリーおよび SAF 構成に関連する追加プロパティーを構成するには、以下のステップを実行します。

重要: z/OS プラットフォーム および非 z/OS プラットフォームの両方のノードが含まれた混合セル環境がある場合、 ローカル・オペレーティング・システムには有効なユーザー・アカウント・リポジトリーが ありません。

プロシージャー

  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「ユーザー・レジストリー」の下の「ローカル OS」をクリックします。
  3. オプション: デフォルトの許可を使用する際に WebSphere Application Server が大/小文字を区別しないで許可の検査を行えるようにする場合は、 「許可検査で大/小文字を区別しない」オプションを選択します。
  4. オプション: 追加プロパティーの下の「z/OS SAF properties」をクリックして、無保護サーブレット要求を 表すために使用される MVS ユーザー ID を指定します。
  5. オプション: 許可」オプションをクリックして、ユーザーの役割許可に SAF EJBROLE プロファイルを使用します。
  6. オプション: ローカル OS ユーザー・レジストリーの構成パネルに戻ります。 ローカル OS ユーザー・レジストリーの構成パネルに戻るには、このタスクの最初の 2 つのステップを実行します。
  7. 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。 ローカル OS ユーザー・レジストリーの以下のカスタム・プロパティーを構成することができます。
    com.ibm.security.SAF.unauthenticated
    このプロパティーは、無保護サーブレット要求を表すために使用される MVS ユーザー ID を示し、 以下の機能に対して使用されます。
    • 無保護サーブレットがエンティティー Bean を呼び出す場合の許可。
    • res-auth=container の場合に現在の ID を使用する z/OS コネクター (Customer Information Control System (CICS)、Information Management System (IMS)) を起動するための無保護サーブレットの識別。
    com.ibm.security.SAF.authorization
    このプロパティーは、true または false に設定できます。 このプロパティーを true に設定すると、 Java 2 Platform, Enterprise Edition (J2EE) アプリケーションと、WebSphere Application Server ランタイムに関連付けられた役割ベースの許可要求 (ネーミングおよび管理) の両方について、ユーザーの役割許可に SAF EJBROLE プロファイルが使用されます。
    com.ibm.security.SAF.delegation
    このプロパティーは、RunAs 指定の役割を選択した場合に、 SAF EJBROLE 定義にアクティブ ID になる MVS ユーザー ID が割り当てられることを指定します。
    com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress
    このプロパティーによって、ICH408I メッセージをオンまたはオフにすることができます。このプロパティーのデフォルト値は、 false で、この場合、メッセージは抑止されません。 この値を true に設定すると、ICH408I メッセージを抑止できます。
    システム管理機能 (SMF) は、 この新規プロパティーにどの値が指定されても、アクセス違反を記録します。 このプロパティーは、ネーミングおよび管理サブシステムのアプリケーション定義役割および WebSphere Application Server ランタイム定義役割の両方のアクセス違反のメッセージ生成に影響します。 EJBROLE プロファイル検査は、宣言およびプログラマチック検査の両方に行われます。
    • 宣言検査は Web アプリケーションでセキュリティー制約としてコード化され、 デプロイメント記述子は Enterprise JavaBeans (EJB) ファイルでセキュリティー制約としてコード化されます。このプロパティーは、この場合のメッセージを制御するために使用されません。 その代わり、許可される役割セットがあり、アクセス違反が発生すると、ICH408I アクセス違反メッセージが 役割の 1 つに障害が発生したことを示します。SMF はその後、その役割の単一のアクセス違反をログに記録します。
    • プログラム・ロジック検査またはアクセス検査は、エンタープライズ Bean の場合はプログラマチック isCallerinRole(x) を、 Web アプリケーションの場合は isUserInRole(x) を使用して実行されます。 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーは、この呼び出しによって生成されるメッセージを制御します。

    SAF 権限について詳しくは、ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御 を参照してください。管理役割について詳しくは、管理の役割 を参照してください。

  8. OK」をクリックします。

    OK」をクリックした場合は、管理コンソールはユーザー ID とパスワードを検証しません。 検証が行われるのは、「グローバル・セキュリティー」パネルで「OK」または「適用」をクリックしたときに限られます。 セキュリティーを初めて使用可能にする場合は、残りのステップを完了して「グローバル・セキュリティー」パネルに移動します。 「ローカル OS」がアクティブ・ユーザー・レジストリーとして選択されていることを確認してください。セキュリティーが既に使用可能になっていて、このパネルでユーザー情報またはパスワード情報のいずれかを変更した場合は、その変更を有効にするために、必ず「グローバル・セキュリティー」パネルに戻って、「OK」または「適用」をクリックしてください。 変更が有効になっていないと、サーバーは始動しません。

    重要: 他のユーザーに管理機能の実行を許可するまでは、 あなただけが指定したサーバー・ユーザー ID とパスワードを使って管理コンソールにアクセスすることができます。詳しくは 、管理の役割へのアクセスの許可 を参照してください。

結果

このパネルでの変更を有効にするには、デプロイメント・マネージャー、 ノード、およびアプリケーション・サーバーなどの製品のすべてのサーバーを保管し、停止してから始動する必要があります。サーバーが問題なく始動したら、セットアップは正しく行われたことになります。

これらのステップを実行すると、ローカル OS ユーザー・レジストリーを使用して 許可ユーザーを識別する WebSphere Application Server を構成したことになります。

次の作業

セキュリティーを使用可能にするための残りのステップを完了します。 詳しくは、すべてのアプリケーション・サーバーのセキュリティーの使用可能化 を参照してください。




サブトピック
ローカル・オペレーティング・システムのユーザー・レジストリー設定
関連概念
Lightweight Directory Access Protocol ユーザー・レジストリー
System Authorization Facility のユーザー・レジストリー
System Authorization Facility (SAF) のオペレーティング・システムおよびアプリケーション・レベルに関する考慮事項
関連タスク
すべてのアプリケーション・サーバーのセキュリティーの使用可能化
ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御
管理の役割へのアクセスの許可
ユーザー・レジストリーの選択
関連資料
z/OS System Authorization Facility 許可
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/tsec_localos.html