WebSphere Application Server - Express, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

管理、アプリケーション、およびインフラストラクチャー保護の設定

ご使用のアプリケーションのパフォーマンスに対して、 セキュリティーによる影響がある程度生じます。 パフォーマンスへの影響は、アプリケーション・ワークロードの特性により異なることがあります。 管理、アプリケーション、インフラストラクチャーのセキュリティーを、 グローバル・レベルで構成することにより、 ワークロードへのセキュリティーの影響を管理します。

この管理コンソール・ページを表示するには、「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」をクリックします。

セキュリティーは、ご使用のアプリケーションに対してパフォーマンス上多少の影響を与えます。 パフォーマンスへの影響は、アプリケーション・ワークロードの特性により異なることがあります。 まず、ご使用のアプリケーションに対して必要なレベルのセキュリティーを使用可能にし、次にアプリケーションのパフォーマンスに与えるセキュリティーの影響を測定する必要があります。

セキュリティーを構成する際、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みるか、管理 ID (internalServerID を使用する場合) の妥当性検査を試みます。 管理セキュリティーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、初めてサーバーを再始動するときに問題を回避することができます。

「構成」タブ

セキュリティー構成ウィザード

基本管理およびアプリケーション・セキュリティー設定を構成できるウィザードを起動します。このプロセスは、許可ユーザーに対する管理用タスクおよびアプリケーションを制限します。

このウィザードを使用すると、アプリケーション・セキュリティー、リソースまたは Java 2 コネクター (J2C) セキュリティー、およびユーザー・レジストリーを構成できます。既存のレジストリーを構成し、管理セキュリティー、アプリケーション・セキュリティー、およびリソース・セキュリティーを使用可能にします。

セキュリティー構成ウィザードを使用して行った変更を適用する場合、管理セキュリティーは、デフォルトでオンになります。

セキュリティー構成報告書

アプリケーション・サーバーのコア・セキュリティー設定を表示するセキュリティー構成報告書を起動します。 この報告書は、管理ユーザーおよびグループ、および CORBA ネーミング役割も表示します。

報告書への現在の制限により、アプリケーション・レベルのセキュリティー情報は表示されません。 この報告書はまた、Java Message Service (JMS) セキュリティー、バス・セキュリティー、または Web Services セキュリティーに関する情報も表示しません。

管理セキュリティーを使用可能にする

このアプリケーション・サーバー・ドメインの管理セキュリティーを使用可能にするかどうかを指定します。 管理セキュリティーでは、アプリケーション・サーバーの管理制御を得る前に、ユーザーが認証される必要があります。

詳しくは、管理の役割に関するリンクを参照してください。

セキュリティーを使用可能にするときには、認証メカニズムの構成を設定し、 選択されたレジストリー構成で有効なユーザー ID とパスワード (または、internalServerID 機能を使用している場合は、有効な管理 ID) を指定してください。

注: 環境を管理する管理者を識別するユーザー ID (通常は管理 ID と呼ばれる) とサーバーとサーバーの間での通信に使用するサーバー ID は異なります。 内部サーバー ID 機能を使用する場合には、サーバー ID およびパスワードの入力は必要ありません。ただし、 オプションで、サーバー ID およびパスワードを指定することができます。サーバー ID およびパスワードを指定するには、以下のステップを実行します。
  1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックします。
  2. 「User accounts repository」の下で、リポジトリーを選択し、「構成」をクリックします。
  3. 「Server user identity」セクションでサーバー ID およびパスワードを指定します。
デフォルト: 使用可能
アプリケーション・セキュリティーを使用可能にする

ご使用の環境内のアプリケーションのセキュリティーを使用可能にします。 このタイプのセキュリティーは、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供します。

WebSphere Application Server の以前のリリースでは、ユーザーがグローバル・セキュリティーを使用可能にすると、 管理とアプリケーションの両方のセキュリティーが使用可能になりました。 WebSphere Application Server バージョン 6.1 では、 これまでのグローバル・セキュリティーの概念が管理セキュリティーとアプリケーション・セキュリティーに分割され、 そのそれぞれを別々に使用可能にすることができます。

この分割の結果、WebSphere Application Server クライアントは、 ターゲット・サーバーでアプリケーション・セキュリティーが使用不可になっているかどうかを認識する必要があります。 管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーを使用可能にするには、管理セキュリティーを使用可能にする必要があります。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。

デフォルト: 使用不可
Java 2 セキュリティーを使用してローカル・リソースへのアプリケーションのアクセスを制限する

Java 2 セキュリティーによる許可検査を使用可能にするのか、使用不可にするのかを指定します。 デフォルトでは、ローカル・リソースへのアクセスは制限されません。アプリケーション・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。

Use Java 2 security to restrict application access to local resources」オプションが使用可能になっていて、アプリケーションがデフォルト・ポリシーで付与されるよりも高い Java 2 セキュリティー許可を要求する場合、そのアプリケーションは、アプリケーションの app.policy ファイルまたは was.policy ファイル内で必要な許可が付与されるまで、正しく実行できない可能性があります。必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。 Java 2 セキュリティーについて詳しくは、関連リンクを参照してください。

デフォルト: 使用不可
アプリケーションがカスタム許可を認可されたときに警告する

アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 Java API 許可は、java.* および javax.* パッケージで定義されている許可です。

アプリケーション・サーバーは、ポリシー・ファイル管理をサポートします。この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。 filter.policy ファイルには、J2EE 1.4 仕様に従って、アプリケーションに与えたくない許可のリストが入っています。 アクセス権の詳細については、Java 2 セキュリティー・ポリシー・ファイルに関するリンクを参照してください。

重要:Use Java 2 security to restrict application access to local resources」オプションを使用可能にしない場合には、このオプションを使用可能にすることはできません。
デフォルト: 使用不可
リソース認証データへのアクセスを制限する

このオプションを使用可能にすると、 重要な Java Connector Architecture (JCA) マッピング認証データへのアプリケーションのアクセスが制限されます。

次の両方の条件が満たされる場合は、このオプションを使用可能にすることを検討してください。
  • Java 2 セキュリティーが実行される場合。
  • アプリケーション・エンタープライズ・アーカイブ (EAR) ファイル内にある was.policy ファイルで、アプリケーション・コードに accessRuntimeClasses WebSphereRuntimePermission 認可が付与されている場合。例えば、was.policy ファイルに次のような行があれば、 アプリケーション・コードにこの許可が付与されています。
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

リソース認証データへのアクセスを制限する」オプションによって、WSPrincipalMappingLoginModule インプリメンテーションのデフォルト・プリンシパル・マッピングに、きめ細かな Java 2 セキュリティー許可検査が追加されます。「Use Java 2 security to restrict application access to local resources」オプションと「リソース認証データへのアクセスを制限する」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接 WSPrincipalMappingLoginModule インプリメンテーションを使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的な許可を付与する必要があります。

デフォルト: 使用不可
現在のレルムの定義

アクティブ・ユーザー・リポジトリーの現在の設定を指定します。

このフィールドは読み取り専用です。

使用可能なレルムの定義

使用可能なユーザー・アカウントのリポジトリーを指定します。

現在値として設定

ユーザー・リポジトリーが構成されたあとに、それを使用可能にします。

UNIX 非ルート・ユーザーとして実行する場合や、マルチノード環境で実行する場合は、LDAP またはカスタム・ユーザー・レジストリーが必要です。

以下のユーザー・リポジトリーのうちの 1 つについて、設定を構成することができます。
統合リポジトリー
この設定を指定して、単一レルムの下の複数のリポジトリーでプロファイルを管理します。 レルムは、以下の場所にある ID で構成できます。
  • システムに組み込まれたファイル・ベースのリポジトリー
  • 1 つ以上の外部リポジトリー
  • 組み込みファイル・ベース・リポジトリーと 1 つ以上の外部リポジトリーの両方
注: 管理者特権を持つユーザーのみが統合リポジトリーの構成を表示できます。
ローカル・オペレーティング・システム

マルチノード、または UNIX プラットフォーム上で非ルートとして実行中の場合、ローカル OS を使用できません。

スタンドアロン LDAP レジストリー

この設定を指定して、ユーザーおよびグループが外部の LDAP ディレクトリーに常駐している場合に、スタンドアロン LDAP レジストリー設定を使用します。セキュリティーが使用可能になっており、これらのプロパティーのいずれかが変更された場合は、「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー 」パネルに移動して、「適用」または「OK」をクリックし、変更の妥当性検査を行います。

注: 複数の LDAP サーバーがサポートされているので、この設定は 1 つの LDAP レジストリーを意味するものではありません。
スタンドアロン・ カスタム・ レジストリー
この設定を指定して、com.ibm.websphere.security.UserRegistry インターフェースをインプリメントしたスタンドアロン・カスタム・レジストリー (standalone custom registry) をインプリメントします。セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルに進み、「適用」または「OK」をクリックして変更内容を有効にしてください。
デフォルト: 使用不可
ドメイン修飾ユーザー名を使用する

メソッドで戻されるユーザー名を、そのユーザー名が配置されているセキュリティー・ドメインで 修飾するように指定します。

デフォルト: 使用不可
アクティブなプロトコル

セキュリティーが使用可能になっている場合の、Remote Method Invocation over the Internet Inter-ORB Protocol (RMI IIOP) 要求のためのアクティブな認証プロトコルを指定します。

Common Secure Interoperability Version 2 (CSIv2) と呼ばれるオブジェクト管理グループ (OMG) はさらなる ベンダー・インターオペラビリティーおよび追加機能をサポートします。セキュリティー・ドメインに含まれるすべてのサーバーがバージョン 5.x 以降のサーバーである場合、プロトコルとして CSI を指定します。

[この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] バージョン 3.x またはバージョン 4.x のサーバーが存在する場合には、「CSI および SAS」を指定してください。
重要: SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
[この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] 注: このフィールドは、ご使用の環境でバージョン 6.0.x 以前のサーバーが検出された場合に表示されます。
デフォルト: BOTH
範囲: CSI および SAS、CSI



関連概念
Java 2 セキュリティー
関連タスク
セキュリティーの使用可能化
連邦情報処理標準 (FIPS) Java セキュア・ソケット拡張機能ファイルの構成
関連資料
認証メカニズムおよび有効期限
ローカル・オペレーティング・システムの設定
スタンドアロン LDAP レジストリー設定
スタンドアロン・カスタム・レジストリー設定
管理の役割
Java 2 セキュリティー・ポリシー・ファイル
関連情報
Cryptographic Module Validation Program FIPS 140-1 and FIPS 140-2 Pre-validation List
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 6:25:35 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/usec_secureadminappinfra.html