この構成を使用して、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。
始める前に
インバウンド・トランスポート は、このサーバー向けの要求を受信するために開かれる
リスナー・ポートのタイプと、その属性とを参照します。Common Secure Interoperability Specification,
Version 2 (CSIv2) および Secure Authentication Service (SAS) の両方に、
トランスポートを構成する機能があります。
重要: SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
ただし、これら 2 つのプロトコルの間には、次のような違いがあります。
- CSIv2 は SAS よりもはるかに柔軟性があります。SAS は Secure Sockets Layer (SSL) を要求しますが、CSIv2 は要求しません。
- SAS は SSL クライアント証明書認証をサポートしていませんが、CSIv2 はサポートしています。
- CSIv2 は SSL 接続を要求できますが、SAS は SSL 接続をサポートするだけです。
- SAS では、常に、TCP/IP と SSL の 2 つのリスナー・ポートが開いています。
- CSIv2 では、
リスナー・ポートを 1 つだけ開くことも、多い場合は 3 つ開くこともできます。
TCP/IP だけの場合、あるいは SSL が必要な場合は、1 つのポートを開くことができます。SSL がサポート
されている場合には 2 つのポートを開くことができ、SSL および SSL クライアント証明書認証が
サポートされている場合には、3 つのポートを開くことができます。
このタスクについて
以下のステップを完了して、管理コンソールの「インバウンド・トランスポート」パネルを構成します。
プロシージャー
- 「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
- 「RMI/IIOP security」の下の「CSIv2 inbound transport」をクリックして、トランスポートの
タイプおよび SSL 設定を選択します。
前述のように、トランスポートのタイプを選択することにより、開くリスナー・ポートを選択します。また、
トランスポートとして TCP/IP を選択すると、SSL クライアント証明書認証機能は使用不可になります。
- SSL トランスポートに対応する SSL の設定値を選択します。
これらの設定値は「SSL 構成」パネルにアクセスすることによって定義できます。詳しくは、Secure Sockets Layer 構成の作成
を参照してください。
- 「CSIv2 インバウンド・トランスポート」パネルの「適用」をクリックします。
- 構成したリスナー・ポートの修正を検討してください。
このアクションは別のパネルで行いますが、ここで取り上げるのが妥当です。
ほとんどのエンドポイントは、単一のロケーションで管理されているため、「インバウンド・トランスポート」パネルでは表示されません。単一のロケーションでエンドポイントを管理すると、エンドポイントを割り当てる際に、構成内での競合数を減らすことができます。SSL エンドポイントのロケーションは、個々のサーバーにあります。
以下のポート名は、「エンドポイント」パネルで定義され、オブジェクト・リクエスト・ブローカー (ORB) のセキュリティーに使用されます。
- CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS - CSIv2 クライアント認証 SSL ポート
- CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS - CSIv2 SSL ポート
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS - SAS SSL ポート
- ORB_LISTENER_PORT - TCP/IP ポート
アプリケーション・サーバーでは、
「サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。「通信」の下の「ポート」をクリックします。指定されたサーバーの「ポート」パネルが表示されます。
WebSphere Application Server の Object Request Broker (ORB) は、
Internet Inter-ORB Protocol (RMI/IIOP) 通信上のリモート・メソッド呼び出しにリスナー・ポートを使用します。
これは、構成ダイアログを使用して静的に指定されるか、またはマイグレーションの間に静的に指定されます。
ファイアウォールで作業する場合には、ORB リスナーに静的ポートを指定し、ファイアウォール上でそのポートを開き、この指定されたポートを介して通信が渡されるようにします。ORB リスナー・ポートを設定する際のエンドポイント・プロパティーは、ORB_LISTENER_ADDRESS です。
管理コンソールを使用して以下のステップを行い、ORB_LISTENER_ADDRESS ポート (複数可) を指定します。
- 「サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。「通信」の下の「ポート」>「新規」とクリックします。
- 「構成」パネルの「ポート名」フィールドから ORB_LISTENER_ADDRESS を選択します。
- IP アドレス、完全修飾ドメイン・ネーム・システム (DNS) ホスト名、または DNS ホスト名だけを「ホスト」フィールドに入力します。
例えば、ホスト名が myhost である場合、DNS の
完全修飾名は myhost.myco.com、IP アドレスは
155.123.88.201 などになります。
- 「ポート」フィールドに、ポート番号を入力します。 ポート番号は、クライアント要求を受け入れるようにサービスが構成されているポートを指定します。
ポート値は、ホスト名とともに使用します。前の例を使用すると、ポート番号は 9000 になります。
-
「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。CSIv2 クライアントからのインバウンド要求に使用する SSL 設定を選択するには、「RMI/IIOP security」の下の「CSIv2 inbound transport」をクリックします。
前のリリースとの相互運用には、CSIv2 プロトコルが使用されることに留意してください。
SSL 構成で鍵ストア・ファイルおよびトラストストア・ファイルを構成する場合、これらのファイルには、WebSphere Application Server の前のリリースとの相互運用のための正しい情報が必要です。
例えば、前のリリースとバージョン 6 のリリースでは、トラストストア・ファイルが異なります。バージョン 6 の
鍵ストア・ファイルを使用している場合は、このサーバーに接続している
クライアントのために、前のリリースのトラストストア・ファイルに署名者を追加してください。
結果
インバウンド・トランスポート構成が完了しました。この構成により、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。
例えば、ユーザーが最初に使用するサーバーがアプリケーション・サーバーである場合は、セキュリティー構成はさらにセキュアになります。
バックエンドのエンタープライズ Bean サーバーに要求が出される場合は、
パフォーマンス上の理由で、アウトバウンドへの送出時のセキュリティーを
軽減することがあります。この柔軟性により、それぞれのニーズに適したトランスポート・インフラストラクチャーを設計することができます。
次の作業
セキュリティーの構成を終えたら、以下のステップを実行して、サーバーを保管し、同期を取ってから、サーバーを再始動します。
- 管理コンソールで「保管」をクリックして、構成に対する変更を保管します。
- 同期が取れたら、すべてのサーバーを停止してから再始動します。