管理コンソールを使用して Tivoli Access Manager を
Java Authorization Contract for Containers (JACC) プロバイダーとして構成するには、このタスクを使用します。
始める前に
以下のステップを完了させる前に、
事前にセキュリティーの管理ユーザーが作成されていることを確認します。詳しくは、
セキュリティー管理ユーザーの作成
を参照してください。
このタスクについて
以下の構成は、管理サーバーで実行されます。「適用」または「OK」のいずれかをクリックすると、
構成情報の整合性が検査され、検査が正常に終了した場合は、保管されて適用されます。
管理コンソールを使用して、Tivoli Access Manager を JACC プロバイダーとして構成するには、
以下のステップを実行します。
プロシージャー
- WebSphere Application Server の始動後に、
http://yourhost.domain:port_number/ibm/console
をクリックして、WebSphere Application Server 管理コンソールを開始します。
現在セキュリティーが使用不可になっている場合は、いずれかのユーザー ID でログインします。
現在セキュリティーが使用可能になっている場合は、定義済みの管理 ID
とパスワードでログインします。この ID は、通常ユーザー・レジストリーの構成時に指定するサーバー・ユーザー ID です。
- 「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」>
「External authorization providers」とクリックします。
- 「その他」プロパティーで、「JACC プロバイダーを使用する外部許可」を選択します。
- 「関連項目」の下の「外部 JACC プロバイダー」をクリックします。
- 「追加プロパティー」の下の「Tivoli Access Manager プロパティー」をクリックします。
「Tivoli Access Manager JACC provider configuration」画面が表示されます。
- 以下の情報を入力します。
- 組み込み Tivoli Access Manager を使用可能にする
- Tivoli Access Manager を使用可能にするには、このオプションを選択します。
- 組み込み Tivoli Access Manager 使用不可時のエラーを無視
- JACC プロバイダーの構成を解除したい場合に、このオプションを選択します。
構成中にこのオプションを選択しないでください。
- クライアント listen ポートの設定
- WebSphere Application Server は、TCP/IP ポートを使用して、
ポリシー・サーバーからの許可データベースの更新情報を listen する必要があります。
特定のノードまたはマシン上で、複数のプロセスが実行される場合があります。エントリーをコンマで区切ることによって、複数の許可サーバーを指定することができます。
1 度に複数の許可サーバーを指定すると、フェイルオーバーおよびパフォーマンスに役立ちます。
Tivoli Access Manager クライアントが使用する listen ポートを、コンマで区切って入力します。ポートの範囲を指定する場合は、小さい値と大きい値をコロン (:) で区切ります (例えば、7999, 9990:999 のようになります)。
- ポリシー・サーバー
-
Tivoli Access Manager ポリシー・サーバーの名前および接続ポートを入力します。
policy_server:port という形式を使用します。
ポリシーの通信ポートは、Tivoli Access Manager の構成時に設定されます (デフォルトでは 7135 です)。
- 許可サーバー
-
Tivoli Access Manager 許可サーバーの名前を入力します。
auth_server:port:priority という形式を使用します。
許可サーバーの通信ポートは、Tivoli Access Manager の構成時に設定されます (デフォルトでは 7136 です)。優先度の値は、許可サーバーの使用順序によって決定します (例えば、auth_server1:7136:1、および auth_server2:7137:2 のようになります)。
優先度の値 1 は、単一許可サーバーに対する構成時に必要となります
- 管理者ユーザー名
- Tivoli Access Manager の構成時に作成された Tivoli Access Manager の管理者ユーザー名を入力します。
通常は sec_master です。
- 管理者ユーザー・パスワード
- Tivoli Access Manager 管理者のパスワードを入力します。
- ユーザー・レジストリー識別名の接尾部
- Tivoli Access Manager と WebSphere で共用されるユーザー・レジストリーの、
識別名の接尾部を入力します。例えば、o=ibm, c=us のようになります。
- セキュリティー・ドメイン
- Tivoli Access Manager では、複数のセキュリティー・ドメインを、
それぞれ固有の管理ユーザーを伴って作成することができます。
特定のドメイン内にユーザー、グループ、およびその他のオブジェクトが
作成され、別のドメイン内のリソースへのアクセスは許可されません。
WebSphere Application Server のユーザーおよびグループを保管するために使用される、
Tivoli Access Manager セキュリティー・ドメインの名前を入力します。
Tivoli Access Manager の構成時にセキュリティー・ドメインを設定していない場合は、
値を Default のままにしておいてください。
- 管理者ユーザーの識別名
- WebSphere Application Server セキュリティー管理者 ID の完全識別名を入力します
(例えば、cn=wasdmin, o=organization, c=country のようになります)。
ID 名は、管理コンソールの「LDAP ユーザー・レジストリー」パネルにある「サーバー・ユーザー ID」と一致している必要があります。
LDAP ユーザー・レジストリー・パネルにアクセスするには、「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」をクリックします。
「ユーザー・アカウント・リポジトリー」の下で、使用可能なレルム定義として「スタンドアロン LDAP レジストリー」を選択します。
次に「構成」をクリックします。
- すべての情報が入力されたら、
「OK」をクリックして構成プロパティーを保管します。
構成パラメーターの妥当性が検査され、構成がホスト・サーバーまたはセル・マネージャーで試行されます。
結果
「
OK」をクリックすると、WebSphere Application Server は以下のアクションを完了します。
- 構成パラメーターを確認します。
- ホスト・サーバーまたはセル・マネージャーを構成します。
これらのプロセスは、ネットワーク・トラフィックまたはマシンの速度によって、時間がかかる場合があります。
次の作業
構成が正常に行われると、パラメーターは、ノード・エージェントを含むすべての従属サーバーにコピーされます。
組み込み Tivoli Access Manager クライアントの構成を完了するには、
ホスト・サーバーを含むすべてのサーバーを再始動し、WebSphere Application Server のセキュリティーを使用可能にする必要があります。