これらのステップを使用して、ローカル・オペレーティング・システムのユーザー・レジストリーを構成し。
始める前に
ローカル・オペレーティング・システム・ユーザー・レジストリーの使用について、詳しくはローカル・オペレーティング・システムのユーザー・レジストリー
を参照してください。インストール済みの状態では、WebSphere Application Server の
セキュリティーは使用不可となっています。以下のステップにより、WebSphere Application Server がインストールされている
ローカル・オペレーティング・システムのユーザー・レジストリーを基にして、セキュリティーをセットアップすることができます。
ローカル OS ユーザー・レジストリーが選択されている場合、
開始済みタスク ID がサーバー ID として選択されます。サーバーを構成するためにユーザー ID および
パスワードは必要ありません。
重要: 各開始済みタスク、例えば、コントローラー、サーバント、またはノード・エージェントなどは、
別の ID を持つ場合があります。z/OS のカスタマイズ・ダイアログによりこれらの ID がセットアップされます。
詳しくは、z/OS カスタマイズ・ダイアログを参照してください。
このタスクについて
WebSphere Application Server のユーザー・レジストリーをセットアップする場合には、
System Authorization Facility (SAF) がユーザー・レジストリーとの組み合わせで作動して、アプリケーションがサーバー上で
稼働するのを許可します。SAF の機能の詳細については System Authorization Facility のユーザー・レジストリー
を参照してください。
ローカル OS ユーザー・レジストリーおよび SAF 構成に関連する追加プロパティーを構成するには、以下のステップを実行します。
重要: z/OS プラットフォーム
および非 z/OS プラットフォームの両方のノードが含まれた混合セル環境がある場合、
ローカル・オペレーティング・システムには有効なユーザー・アカウント・リポジトリーが
ありません。
プロシージャー
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。
- 「ユーザー・レジストリー」の下の「ローカル OS」をクリックします。
- オプション:
デフォルトの許可を使用する際に WebSphere Application Server が大/小文字を区別しないで許可の検査を行えるようにする場合は、
「許可検査で大/小文字を区別しない」オプションを選択します。
- オプション:
追加プロパティーの下の「z/OS SAF properties」をクリックして、無保護サーブレット要求を
表すために使用される MVS ユーザー ID を指定します。
- オプション:
「許可」オプションをクリックして、ユーザーの役割許可に SAF EJBROLE プロファイルを使用します。
- オプション:
ローカル OS ユーザー・レジストリーの構成パネルに戻ります。
ローカル OS ユーザー・レジストリーの構成パネルに戻るには、このタスクの最初の 2 つのステップを実行します。
- 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
ローカル OS ユーザー・レジストリーの以下のカスタム・プロパティーを構成することができます。
- com.ibm.security.SAF.unauthenticated
- このプロパティーは、無保護サーブレット要求を表すために使用される MVS ユーザー ID を示し、
以下の機能に対して使用されます。
- 無保護サーブレットがエンティティー Bean を呼び出す場合の許可。
- res-auth=container の場合に現在の ID を使用する z/OS コネクター
(Customer Information Control System (CICS)、Information Management System (IMS)) を起動するための無保護サーブレットの識別。
- com.ibm.security.SAF.authorization
- このプロパティーは、true または false に設定できます。
このプロパティーを true に設定すると、
Java 2 Platform, Enterprise Edition (J2EE) アプリケーションと、WebSphere Application Server ランタイムに関連付けられた役割ベースの許可要求
(ネーミングおよび管理) の両方について、ユーザーの役割許可に SAF EJBROLE プロファイルが使用されます。
- com.ibm.security.SAF.delegation
- このプロパティーは、RunAs 指定の役割を選択した場合に、
SAF EJBROLE 定義にアクティブ ID になる MVS ユーザー ID が割り当てられることを指定します。
- com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress
- このプロパティーによって、ICH408I メッセージをオンまたはオフにすることができます。このプロパティーのデフォルト値は、
false で、この場合、メッセージは抑止されません。
この値を true に設定すると、ICH408I メッセージを抑止できます。
システム管理機能 (SMF) は、
この新規プロパティーにどの値が指定されても、アクセス違反を記録します。
このプロパティーは、ネーミングおよび管理サブシステムのアプリケーション定義役割および WebSphere Application Server ランタイム定義役割の両方のアクセス違反のメッセージ生成に影響します。
EJBROLE プロファイル検査は、宣言およびプログラマチック検査の両方に行われます。
- 宣言検査は Web アプリケーションでセキュリティー制約としてコード化され、
デプロイメント記述子は Enterprise JavaBeans (EJB) ファイルでセキュリティー制約としてコード化されます。このプロパティーは、この場合のメッセージを制御するために使用されません。
その代わり、許可される役割セットがあり、アクセス違反が発生すると、ICH408I アクセス違反メッセージが
役割の 1 つに障害が発生したことを示します。SMF はその後、その役割の単一のアクセス違反をログに記録します。
- プログラム・ロジック検査またはアクセス検査は、エンタープライズ Bean の場合はプログラマチック isCallerinRole(x) を、
Web アプリケーションの場合は isUserInRole(x) を使用して実行されます。
com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress プロパティーは、この呼び出しによって生成されるメッセージを制御します。
SAF 権限について詳しくは、ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御
を参照してください。管理役割について詳しくは、管理の役割
を参照してください。
- 「OK」をクリックします。
「OK」をクリックした場合は、管理コンソールはユーザー ID とパスワードを検証しません。
検証が行われるのは、「グローバル・セキュリティー」パネルで「OK」または「適用」をクリックしたときに限られます。
セキュリティーを初めて使用可能にする場合は、残りのステップを完了して「グローバル・セキュリティー」パネルに移動します。
「ローカル OS」がアクティブ・ユーザー・レジストリーとして選択されていることを確認してください。セキュリティーが既に使用可能になっていて、このパネルでユーザー情報またはパスワード情報のいずれかを変更した場合は、その変更を有効にするために、必ず「グローバル・セキュリティー」パネルに戻って、「OK」または「適用」をクリックしてください。
変更が有効になっていないと、サーバーは始動しません。
重要: 他のユーザーに管理機能の実行を許可するまでは、
あなただけが指定したサーバー・ユーザー ID とパスワードを使って管理コンソールにアクセスすることができます。詳しくは
、
管理の役割へのアクセスの許可
を参照してください。
結果
このパネルでの変更を有効にするには、デプロイメント・マネージャー、
ノード、およびアプリケーション・サーバーなどの製品のすべてのサーバーを保管し、停止してから始動する必要があります。サーバーが問題なく始動したら、セットアップは正しく行われたことになります。
これらのステップを実行すると、ローカル OS ユーザー・レジストリーを使用して
許可ユーザーを識別する WebSphere Application Server を構成したことになります。