これらのステップを使用して、ローカル・オペレーティング・システムのレジストリーを構成します。
始める前に
ローカル・オペレーティング・システム・ユーザー・レジストリーの使用について、詳しくはローカル・オペレーティング・システムのレジストリー
を参照してください。インストール済みの状態では、WebSphere Application Server の
セキュリティーは使用不可となっています。以下のステップにより、WebSphere Application Server がインストールされている
ローカル・オペレーティング・システムのユーザー・レジストリーを基にして、セキュリティーをセットアップすることができます。
セキュリティーのために、WebSphere Application Server は、
Windows オペレーティング・システム・レジストリー、AIX、Solaris、および複数のバージョンの Linux オペレーティング・システムのインプリメンテーションを提供し、サポートしています。
それぞれのオペレーティング・システム・アプリケーション・プログラミング・インターフェース (API) は、
製品プロセス (サーバー) で呼び出されて、ユーザーおよびその他のセキュリティー関連タスク (例えばユーザーまたはグループ情報の取得など) の認証を行います。
これらの API にアクセスできるのは、特権のあるユーザーに限られています。
これらの特権は、以下で説明するように、オペレーティング・システムによって異なります。
WebSphere Application Server バージョン 6.1 では、
Security WebSphere Common Configuration Model (WCCM) モデルが新しいタグ (internalServerId) を含むので、
内部生成のサーバー ID を使用できます。
混在しているセル環境以外では、セキュリティー設定中にサーバーのユーザー ID およびパスワードを指定する必要はありません。
新しい内部サーバー ID の詳細については、管理役割およびネーミング・サービスの許可
を参照してください。
![[Windows]](../../windows.gif)
以下の問題を考慮してください。
- サーバー ID は、製品のインストール先である Windows マシンの名前とは異なる名前にする必要があります。
例えば、Windows マシン名が vicky であり、セキュリティー・サーバー ID も vicky である場合、
Windows システムは、ユーザー vicky の情報 (グループ情報など) を取得する際に障害が起こります。
- WebSphere Application Server は、そのマシンが Windows システム・ドメインのメンバーであるかどうかを動的に判別します。
- WebSphere Application Server は、Windows のトラステッド・ドメインをサポートしません。
- マシンが Windows ドメインのメンバーであれば、
ドメイン・ユーザー・レジストリーとそのマシンのローカル・ユーザー・レジストリーの両方が、認証およびセキュリティー役割のマッピングに使用されます。
- 同じパスワードを持つユーザーが両方のユーザー・レジストリーに存在すると、ドメイン・ユーザー・レジストリーがマシンのローカル・ユーザー・レジストリーよりも優先されるため、ドメイン・ユーザー・レジストリーに望ましくない影響が及ぶ場合があります。
- 製品プロセスの実行に使用されるユーザーには、ユーザーおよびグループ情報の認証または収集を行う Windows オペレーティング・システム API を呼び出す、管理特権とオペレーティング・システムの一部としてアクションを行う特権が必要です。
このプロセスには特殊権限が必要で、その権限はこれらの特権によって与えられます。
この例でのユーザーは、セキュリティー・サーバー ID と同じではない可能性があります (セキュリティー・サーバー ID の要件は、レジストリー内で有効なユーザーであるということです)。
このユーザーは、マシンにログインする (コマンド行を使用して製品プロセスを始動する場合) か、サービス・パネルの「ログオン・ユーザー」設定 (サービスを使用して製品プロセスを始動した場合) にログインします。
マシンがドメインの一部でもある場合は、このユーザーは、ドメイン内のオペレーティング・システム API を呼び出すドメイン管理グループの一部であり、さらに、ローカル・マシン内でオペレーティング・システムの一部としてアクションを行う特権を持っています。
このタスクについて
セキュリティーを初めてセットアップした場合は、最初にこのタスクを実行するのに、以下のステップが必要です。
プロシージャー
- 「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
- 「ユーザー・アカウント・リポジトリー」の下で、「ローカル・オペレーティング・システム」を選択し、「構成 」をクリックします。
- 「Primary administrative user name」フィールドに、有効なユーザー名を入力します。 この値は、レジストリーで定義された管理特権があるユーザーの名前です。
このユーザー名は、管理コンソールにアクセスする場合、または wsadmin により使用されます。
- 「適用」をクリックします。
- 「Automatically generated server identity」または「Server identity that is stored in the repository」のいずれかのオプションを選択します。
「Server identity that is stored in the repository」オプションを選択した場合は、以下の情報を入力します。
- バージョン 6.0.x ノードのサーバー・ユーザー ID または管理ユーザー。
- ステップ 2 で選択したアカウントのショート・ネームを指定します。
- サーバー・ユーザー・パスワード
- ステップ 2 で選択したアカウントのパスワードを指定します。
- 「OK」をクリックします。
「OK」をクリックした場合は、管理コンソールはユーザー ID とパスワードを検証しません。
検証が行われるのは、
「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルで「OK」または「適用」をクリックしたときに限られます。
はじめに、「Local operating
system」を「ユーザー・アカウント・リポジトリー」セクションの使用可能なレルム定義として選択したことを確認し、
「Set as current」をクリックします。
セキュリティーが既に使用可能になっていて、このパネルでユーザー情報またはパスワード情報のいずれかを変更した場合は、
その変更を有効にするために、必ず「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルに戻って、
「OK」または「適用」をクリックしてください。
変更が有効になっていないと、サーバーは始動しません。
重要: 他のユーザーに管理機能の実行を許可するまでは、
あなただけが指定したサーバー・ユーザー ID とパスワードを使って管理コンソールにアクセスすることができます。詳しくは
、
管理の役割へのアクセスの許可
を参照してください。
結果
このパネルでの変更を有効にするには、
ノード、およびアプリケーション・サーバーなどの製品のすべてのサーバーを保管し、停止してから始動する必要があります。
サーバーが問題なく始動したら、セットアップは正しく行われたことになります。
これらのステップを実行すると、ローカル・オペレーティング・システム・レジストリーを使用して
許可ユーザーを識別する WebSphere Application Server を構成したことになります。
次の作業
セキュリティーを使用可能にするための残りのステップを完了します。
詳しくは、セキュリティーの使用可能化
を参照してください。