WebSphere Application Server Network Deployment, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

ローカル・オペレーティング・システムのレジストリー

ローカル・オペレーティング・システムのレジストリー実装により、 WebSphere Application Server の認証メカニズムは、 ローカル・オペレーティング・システムのユーザー・アカウント・データベースを使用できます。

Lightweight Directory Access Protocol (LDAP) は、 集中レジストリーです。 ほとんどのローカル・オペレーティング・システムのレジストリーは、集中レジストリーではありません。

WebSphere Application Server は、 Windows のローカル・アカウント・レジストリーおよびドメイン・レジストリーのインプリメンテーションも、 Linux、Solaris、および AIX のユーザー・アカウント・レジストリーのインプリメンテーションに加えて提供しています。 Windows Active Directory は、 後述する LDAP ユーザー・レジストリーの実装によってサポートされます。

注: Active Directory (ドメイン・コントローラー) における 3 つのグループ有効範囲は、Domain Local Group、Global Group、および Universal Group です。 Active Directory (ドメイン・コントローラー) では、2 つのグループ・タイプは、Security および Distribution です。
グループが作成される場合、デフォルト値は Global で、デフォルトのタイプは Security です。 Windows 2000 および 2003 ドメイン・コントローラーに対する Windows NT ドメイン・レジストリーのサポートでは、 WebSphere Application Server は Security タイプの Global グループのみをサポートします。 Windows 2000 および 2003 ドメイン・コントローラーを使用する場合は、 Active Directory ではすべてのグループ有効範囲およびタイプがサポートされるため、 Windows NT ドメイン・レジストリーではなく Active Directory レジストリー・サポートを使用することが 推奨されます。また、Active Directory は、Windows NT ドメイン・レジストリーではサポートされていない、ネストされたグループをサポートしています。 Active Directory は、集中制御のレジストリーです。
注: ドメインのメンバーはすべてのプラットフォーム上の任意のマシンにインストールできるため、WebSphere Application Server では、ドメインのメンバーをインストールする必要はありません。 Windows NT ドメイン・ネイティブ呼び出しは、 エラーなしで、サポート・グループのみを戻します。

アプリケーション・サーバーが複数のマシン間で分散している WebSphere Application Server 環境では、 各マシンが独自のユーザー・レジストリーを持つため、 ローカル・オペレーティング・システムのレジストリーを使用しないでください。

Windows ドメイン・レジストリーおよび Network Information Services (NIS) は除外されます。 Windows ドメイン・レジストリーと Network Information Services (NIS) は、ともに集中レジストリーです。 Windows ドメイン・レジストリーは WebSphere Application Server によってサポートされていますが、 NIS はサポートされていません。

前述したように、 ユーザー・レジストリーから取り出したアクセス ID が、許可検査時に使用されます。これらの ID は、通常、固有の ID であるため、 まったく同じユーザーとパスワードが各マシン上に存在しても、マシンごとに異なります。

ローカル・オペレーティング・システム・ユーザー・レジストリーを使用している場合、 Web クライアント証明書認証は現在サポートされていません。 ただし、Java クライアント証明書認証は、 ローカル・オペレーティング・システム・ユーザー・レジストリーを使用して機能します。 Java クライアント証明書認証は、 証明書のドメイン・ネームの 1 番目の属性をユーザー・レジストリーのユーザー ID にマップします。

Java クライアント証明書が正しく機能している場合でも、 SystemOut.log ファイルには、次のエラーが表示されます。

CWSCJ0337E: mapCertificate メソッドはサポートされていません

このエラーは、Web クライアント証明書に対するものですが、Java クライアント証明書の場合にも表示されます。 Java クライアント証明書の場合は、このエラーを無視してください。

必要な特権

WebSphere Application Server プロセスを実行するユーザーは、 Windows オペレーティング・システムからユーザーおよびグループ情報を認証したり、取得したりするために、 Windows システムのアプリケーション・プログラミング・インターフェース (API) を呼び出すことができる十分なオペレーティング・システム特権を持っている必要があります。 このユーザーがマシンにログインするか、 またはサービスとして稼働中の場合は、「Log On As」ユーザーがログオンします。 マシンによって、およびマシンがスタンドアロン・マシンであるか、 ドメインの一部またはドメイン・コントローラーとなっているマシンであるかによって、 アクセス要件は異なります。

  • スタンドアロン・マシンの場合、ユーザーの要件は以下のとおりです。
    • 管理グループのメンバーであること。
    • 「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • サーバーをサービスとして実行する場合は、「サービスとしてログオンする」特権があること。
  • マシンがドメインのメンバーである場合、 ドメイン・ユーザーのみが、サーバー・プロセスを開始でき、 以下の要件を満たしている必要があります。
    • ドメイン・コントローラーのドメイン管理グループのメンバーであること。
    • ドメイン・コントローラーのドメイン・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • ローカル・マシンのローカル・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • サーバーをサービスとして実行する場合は、ローカル・マシンに「サービスとしてログオンする」特権があること。

      ユーザーは、ドメイン・ユーザーであり、ローカル・ユーザーではありません。 これは、マシンがドメインの一部であるときに、 ドメイン・ユーザーしかサーバーを開始できないことを意味しています。

  • ドメイン・コントローラー・マシンの場合、ユーザーの要件は以下のとおりです。
    • ドメイン・コントローラーのドメイン管理グループのメンバーであること。
    • ドメイン・コントローラーのドメイン・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • サーバーをサービスとして実行する場合は、 ドメイン・コントローラーに「サービスとしてログオンする」特権があること。
サーバーを稼働させているユーザーに必要な特権がない場合は、 ログ・ファイルに以下の例外メッセージのいずれかが見られることがあります。
  • A required privilege is not held by the client.
  • Access is denied.
[この情報は、Microsoft Windows Vista オペレーティング・システムで稼動するバージョン 6.1.0.9 以降のものにだけ適用されます。 ] Microsoft® Windows Vista™ オペレーティング・システムでアプリケーション・サーバーを始動する際の注記: Windows Vista オペレーティング・システムでは、コマンド・プロンプトを使用する場合、アプリケーション・サーバーは管理者権限で開始する必要があります。 以下のアクションを実行して起動されるコマンド・プロンプト・ウィンドウからアプリケーション・サーバーを開始します。
  • コマンド・プロンプトのショートカットを右クリックします。
  • 管理者として実行」をクリックします。

    コマンド・プロンプト・ウィンドウを Administrator として開くと、続行するかどうかを尋ねるオペレーティング・システムのダイアログが表示されます。「継続」をクリックして作業を続行します。

ドメインおよびローカル・ユーザー・レジストリー

WebSphere Application Server の始動時に、セキュリティー・ランタイム初期化プロセスは、 ローカル・マシンが Windows ドメインのメンバーであるかどうかを動的に判別します。 マシンがドメインの一部である場合は、優先するドメイン・レジストリーの認証および許可を目的として、 デフォルトで、ローカル・レジストリー・ユーザーまたはグループならびにドメイン・レジストリー・ユーザーまたはグループの両方を使用できます。 セキュリティー役割マッピング中に示されたユーザーおよびグループのリストには、 ローカル・ユーザー・レジストリーおよびドメイン・ユーザー・レジストリーの両方からのユーザーおよびグループが含まれています。 ユーザーとグループは、関連付けられたホスト名により区別できます。

WebSphere Application Server は、 トラステッド・ドメインをサポートしていません。

マシンが Windows システム・ドメインのメンバーでない場合は、 そのマシンのローカルなユーザー・レジストリーが使用されます。

ドメイン・ユーザー・レジストリーおよびローカル・オペレーティング・システム・レジストリーの両方を使用

WebSphere Application Server プロセスをホストするマシンがドメインのメンバーである場合は、 デフォルトで、ローカル・ユーザー・レジストリーとドメイン・ユーザー・レジストリーの両方が使用されます。 次のセクションでは、このトピックについて詳しく説明し、 好ましくない結果を避けるため、いくつかのベスト・プラクティスを推奨しています。
注: このセクションでは、 z/OS の考慮事項を直接には説明しませんが、これらのレジストリーをどのようにセットアップするかによって、 セキュリティー・オペレーション全体が影響を受けることに注意してください。
  • ベスト・プラクティス

    通常、 ローカル・レジストリーおよびドメイン・レジストリーに共通のユーザーまたはグループが含まれていない場合は、 管理が簡単になり、好ましくない副次作用の発生を避けられます。 可能であれば、ユーザーおよびグループには、サーバー ID や管理役割などの、 固有のセキュリティー役割へのアクセスを提供してください。 この状況では、 ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーのいずれかから、 ユーザーおよびグループを選択し、役割へのマッピングを行ないます。

    同じユーザーまたはグループがローカル・ユーザー・レジストリーとドメイン・ユーザー・レジストリーの両方に存在する場合、 少なくとも、サーバー ID、および管理役割へマップされるユーザーおよびグループが、 レジストリー内で固有であり、ドメイン上にのみ存在することが推奨されます。

    ユーザーの共通セットが存在する場合は、 該当するユーザーが確実に認証を受けられるように異なるパスワードを設定してください。

  • 動作の状況

    マシンがドメインに含まれる場合、 ローカル・ユーザー・レジストリーよりもドメイン・ユーザー・レジストリーが優先します。 例えば、ユーザーがシステムにログインする場合、 まずドメイン・ユーザー・レジストリーがユーザーを認証しようとします。 認証が失敗すると、ローカル・ユーザー・レジストリーが使用されます。 ユーザーまたはグループが役割にマップされる際に、 ユーザーおよびグループの情報は、まずドメイン・ユーザー・レジストリーから取得されます。 これが失敗すると、ローカル・ユーザー・レジストリーから情報を取得しようとします。

    ただし、完全修飾されたユーザーまたはグループ名で、 ドメインまたはホスト名が付加されているものが役割にマップされる場合は、 そのユーザー・レジストリーのみが情報の取得に使用されます。管理コンソールまたはスクリプトを使用して完全修飾されたユーザーおよびグループ名を取得する方法が、ユーザーおよびグループを役割にマップする場合の推奨方法です。
    ヒント: あるマシン (例えば、ローカル OS ユーザー・レジストリー) 上の ユーザー Bob は、別のマシン (例えば、ドメイン・ユーザー・レジストリー) 上の ユーザー Bob と同じではありません。 これは、ユーザー・レジストリーが異なると、Bob の固有 ID (この場合、セキュリティー ID [SID]) が 異なるためです。
  • MyMachine マシンは MyDomain ドメインに含まれています。 MyMachine マシンには、以下のユーザーおよびグループがあります。
    • MyMachine¥user2
    • MyMachine¥user3
    • MyMachine¥group2
    MyDomain ドメインには、以下のユーザーおよびグループがあります。
    • MyDomain¥user1
    • MyDomain¥user2
    • MyDomain¥group1
    • MyDomain¥group2
    以下に示すのは、 上記のユーザーおよびグループのセットを想定している、いくつかのシナリオです。
    1. user2 がシステムにログインする際には、認証にはドメイン・ユーザー・レジストリーが使用されます。 例えば、パスワードが異なるなどの理由で認証が失敗した場合、 ローカル・ユーザー・レジストリーが使用されます。
    2. MyMachine¥user2 ユーザーが役割にマップされる場合は、MyMachine マシンの user2 ユーザーだけが、 アクセス権を持ちます。したがって、user2 パスワードが、ローカル・ユーザー・レジストリーと ドメイン・ユーザー・レジストリーの両方で同じ場合、user2 ユーザーはリソースにアクセスできません。 これは、user2 ユーザーが常にドメイン・ユーザー・レジストリーを使用して認証されるためです。 両方のユーザー・レジストリーに共通ユーザーがある場合、 パスワードを別にしておくことをお勧めします。
    3. group2 グループが役割にマップされる場合は、最初に group2 情報が ドメイン・ユーザー・レジストリーから取得されるため、 MyDomain¥group2 グループのメンバーであるユーザーのみがリソースにアクセスできます。
    4. MyMachine¥group2 グループが役割にマップされる場合は、 MyMachine¥group2 グループのメンバーであるユーザーのみがリソースにアクセスできます。 特定のグループが役割 (単なる group2 ではなく MyMachine¥group2) にマップされます。
    5. user3 ユーザーまたは MyMachine¥user3 ユーザーのいずれかを使用して、 役割にマップします。これは、user3 ユーザーは 1 つのユーザー・レジストリーのみに存在し、 固有であるためです。

    同じパスワードを持つユーザーが、 ドメイン・ユーザー・レジストリーおよびローカル・ユーザー・レジストリーの両方に存在する場合、 ドメイン・ユーザー・レジストリーを最初に許可すると、問題が発生する可能性があります。 ユーザーは最初にドメイン・ユーザー・レジストリー内で認証されるため、この状態では役割ベースの許可が失敗する可能性があります。 この認証によって、WebSphere Application Server で使用される固有のドメイン・セキュリティー ID が許可検査中に生成されます。 しかし、役割の割り当てには、ローカル・ユーザー・レジストリーが使用されます。 ドメイン・セキュリティー ID は、役割に関連付けられた固有のセキュリティー ID とは一致しません。 この問題を避けるためには、セキュリティー役割をローカル・ユーザーではなく、ドメイン・ユーザーにマップしてください。

    複数のノードが関係している場合は、 集中リポジトリーのみを使用できます。 この使用法は、ドメイン・ユーザー・レジストリーのみが使用できることを意味します。 これは前述のように、ノードによって、ユーザーおよびグループの固有 ID (SID) が異なるためです。

ローカルまたはドメインのユーザー・レジストリーの使用

. ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーの両方ではなく、 そのいずれかからユーザーおよびグループにアクセスする場合は、com.ibm.websphere.registry.UseRegistry プロパティーを設定します。 このプロパティーは、local または domain のいずれかに設定できます。 このプロパティーが local (大/小文字は区別しません) に設定されている場合は、ローカル・ユーザー・レジストリー のみが使用されます。このプロパティーが domain (大/小文字は区別しません) に設定されている場合は、 ドメイン・ユーザー・レジストリーのみが使用されます。

このプロパティーは、 以下のステップを実行して、管理コンソールの「カスタム・プロパティー」パネルにアクセスすることにより設定します。
  1. セキュリティー」>「管理、アプリケーション、インフラストラクチャーの保護 」とクリッ クします。
  2. 「ユーザー・アカウント・リポジトリー」で、 「使用可能なレルム定義」ドロップダウン・リストをクリックし、 「ローカル・オペレーティング・システム」を 選択してから「構成」をクリックします。
  3. 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
wsadmin を使用してこのプロパティーを構成することもできます。 このプロパティーが設定された場合、 製品プロセスを実行するユーザーに必要な特権は変わりません。 例えば、このプロパティーが local に設定されていても、 プロセスを実行しているユーザーには、プロパティーが設定されていない場合と同じ特権が必要です。

UNIX システム・ユーザー・レジストリーの使用 [AIX HP-UX Solaris]

UNIX システムのユーザー・レジストリーを使用する場合、 WebSphere Application Server プロセスを実行するプロセス ID は、 認証とユーザーまたはグループ情報取得用のローカル・オペレーティング・システム API を呼び出すために、 ルート権限を持っている必要があります。
注: UNIX システムでは、ローカル・マシンのユーザー・レジストリーのみが使用されます。 ネットワーク情報サービス (NIS) (イエロー・ページ) はサポートされていません。
[HP-UX]
注: ローカル・オペレーティング・システムのユーザー・レジストリーを使用する場合は、HP-UX が非トラステッド・モードで構成されている必要があります。ローカル・オペレーティング・システムの ユーザー・レジストリーを使用してになっている場合、 トラステッド・モードはサポートされません。

Linux および Solaris システム・ユーザー・レジストリーの使用 [Linux] [Solaris]

WebSphere Application Server ローカル・オペレーティング・システムのレジストリーが Linux および Solaris プラットフォーム上で実行する場合には、シャドー・パスワード・ファイルが必要です。 シャドー・パスワード・ファイルは shadow という名前で、 /etc ディレクトリーにあります。シャドー・パスワード・ファイルが存在しない場合には、 管理セキュリティーを使用可能にして、ローカル・オペレーティング・システムとしてレジストリーを構成した後に、エラーが発生します。

シャドー・ファイルを作成するには、 pwconv コマンドを (パラメーターなしで) 実行してください。 このコマンドにより、/etc/passwd ファイルから /etc/shadow ファイルが作成されます。 シャドー・ファイルの作成後は、 ローカル・オペレーティング・システム・セキュリティーを正常に使用可能にできます。




関連概念
ユーザー・レジストリーおよびリポジトリー
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:44:53 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/csec_localos.html