Java Authorization Contract for Containers (JACC) ベースの許可を使用可能にする前にアプリケーションをインストールすることは可能です。デフォルトの許可で開始し、後で JACC を使用して、外部プロバイダーをベースにした許可に移行することができます。
始める前に
ベスト・プラクティス: wsadmin ツールは、アプリケーションのインストール・プロセスから
独立した JACC プロバイダーへの情報の伝搬に使用します。これで、アプリケーションを再インストールする必要がなくなります。
また、アプリケーションのインストールまたは変更中に、
JACC プロバイダーにセキュリティー・ポリシー情報を伝搬するのに問題が発生した可能性があります。例えば、ネットワーク問題が発生する場合や、JACC プロバイダーが使用可能でないなどの場合があります。こういった場合、以前にインストールしたアプリケーションのセキュリティー・ポリシーは、JACC プロバイダー内に存在せず、
アクセスの決定は行われません。選択肢の 1 つは、関係するアプリケーションを再インストールすることです。
ただし、wsadmin スクリプト・ツールを使用すれば、再インストールを回避することができます。
このツールは、アプリケーションのインストール・プロセスから独立した JACC プロバイダーへの情報の伝搬に使用します。
bprac
このツールは SecurityAdmin MBean を使用して、任意のインストール済みアプリケーションのデプロイメント記述子内のポリシー情報を JACC プロバイダーに伝搬します。Network Deployment の
基本およびデプロイメント・マネージャー・レベルには、基本アプリケーション・サーバーで wsadmin を使用して
このツールを起動することができます。SecurityAdmin MBean は、サーバーが実行中の場合のみ使用可能であることに注意してください。
propagatePolicyToJACCProvider(String appNames) を使用して、エンタープライズ・アーカイブ (EAR) ファイルのデプロイメント記述子内のポリシー情報を JACC プロバイダーに伝搬します。RoleConfigurationFactory および RoleConfiguration インターフェースが JACC プロバイダーによってインプリメントされている場合は、EAR ファイルのバインディング・ファイル内の許可テーブル情報もプロバイダーに伝搬されます。これらのインターフェースについて詳しくは、JACC をサポートするインターフェース
を参照してください。
appNames
ストリング には、コロン (:) で区切られたアプリケーション名のリストが含まれます。
このアプリケーション名のポリシー情報は、プロバイダーに保管されている必要があります。
ヌル値が渡されると、デプロイされたアプリケーションのポリシー情報がプロバイダーに伝搬されます。
また、以下の項目にも注意してください。
- アプリケーションを Tivoli Access Manager JACC プロバイダーにマイグレーションする前に、アプリケーション内のユーザーおよびグループを、Tivoli Access Manager に作成またはインポートしてください。
- 伝搬するアプリケーション、またはアプリケーション数によって、コマンドが完了するために、profile_root/properties ディレクトリー内の soap.client.props ファイル (SOAP を使用している場合) または sas.client.props ファイル (RMI を使用している場合) のいずれかの中にある要求タイムアウト期間を引き延ばす必要がある場合があります。
タイムアウトの問題を回避するために、要求タイムアウト値を 0 に設定し、コマンドの実行後に元の値に戻すことができます。