WebSphere Application Server Network Deployment, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

アプリケーション・サーバー間のセキュリティー属性の伝搬

WebSphere Application Server のセキュリティー属性伝搬フィーチャーを使用して、トークンを使用して他のサーバーへの元のログインに関する セキュリティー属性情報を送信します。 このトピックは、WebSphere Application Server を構成して、他のサーバーにセキュリティー属性を伝搬するのに役立ちます。

このタスクについて

セキュリティー属性伝搬を完全に使用可能にするには、 WebSphere Application Server 管理コンソールで、「シングル・サインオン (SSO)」、「Common Secure Interoperability バージョン 2 (CSIv2) インバウンド」、および「CSIv2 アウトバウンド」パネルを構成する必要があります。 構成に関係のあるセキュリティー属性伝搬の部分のみを使用可能にすることができます。 例えば、push 技法 (DynaCache) または pull 技法 (発信側サーバーへのリモート・メソッド) のいずれかを使用して、 フロントエンド・アプリケーション・サーバー間での伝搬である Web 伝搬を使用可能にすることができます。

一般的にダウンストリーム伝搬と呼ばれる、リモート・メソッド呼び出し (RMI) アウトバウンドおよびインバウンド伝搬を使用可能にするかどうかを選択することもできます。 通常は、任意の指定セルについて、両方の伝搬タイプが使用可能にされます。 場合によっては、特定のアプリケーション・サーバー設定内でサーバー・セキュリティー・パネルを使用して、 特定のアプリケーション・サーバーについて異なるオプションを選択する場合があります。

制約事項: アプリケーション・サーバー間で 同じセキュリティー属性を複数回伝搬しないようにするために、 WebSphere Application Server は、Lightweight Third Party Authentication (LTPA) トークンが存在しないことを 確認します。2 つの可能性があります。LTPA トークンが存在しない場合、Application Server は 伝搬を進めてよいと判断します。LTPA トークンが存在する場合、 その LTPA トークンがクラスター内で生成されている場合には、 伝搬が行われたことを示します。ただし 2 番目のケースで、LTPA トークンが存在する場合であっても、 クラスター外部のサーバー (Tivoli Access Manager、Lotus Domino、 あるいは別の Application Server クラスター) によって生成されている場合には、セキュリティー属性は 伝搬されていません。

管理コンソールのサーバー・セキュリティー・パネルにアクセスするには、「サーバー」 >「アプリケーション・サーバー」>「server_name」とクリックします。 「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。

以下のステップに従って、WebSphere Application Server をセキュリティー属性伝搬用に構成します。

プロシージャー

  1. http://server_name:port_number/ibm/console と入力して WebSphere Application Server 管理コンソールにアクセスします。 先にポート番号を変更している場合管理コンソールのアドレスが異なる場合があります。
  2. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
  3. 「Web セキュリティー」の下の「シングル・サインオン (SSO)」をクリックします。
  4. オプション: セキュリティー属性伝搬をサポートしないサーバーと相互運用する必要がある場合、 「Interoperability Mode」オプションを選択します。 セキュリティー属性伝搬をサポートしないサーバーは、Lightweight Third Party Authentication (LTPA) トークン および伝搬トークンを受け取りますが、認識しないセキュリティー属性情報は無視します。
  5. Web インバウンド・セキュリティー属性の伝搬」オプションを選択します。 「Web inbound security attribute propagation」オプションによって、水平伝搬が可能になり、 受信 SSO トークンは元のログイン・サーバーからログイン情報を検索できます。 このオプションを使用可能にしない場合は、「CSIv2 Inbound authentication」および「CSIv2 outbound authentication」パネルの両方で 「Security Attribute Propagation」オプションを使用可能にすると、ダウンストリーム伝搬が起こることがあります。

    新規フロントエンド・サーバーで再生成できない元のログイン・サーバーで動的セキュリティー属性セットを収集する必要がある場合、 通常は、「Web inbound security attribute propagation」オプションを使用可能にします。 これらの属性には、 com.ibm.websphere.security.WSSecurityHelper アプリケーション・プログラミング・インターフェース (API) を使用して PropagationToken トークンで設定される可能性のあるカスタム属性が含まれます。 このオプションを使用可能にするとシステムのパフォーマンスが向上するのか、または低下するのかを判断する必要があります。 このオプションのためにリモート・ユーザー・レジストリー呼び出しを実行できないときは、 一部のトークンのデシリアライゼーションおよび暗号化解除がパフォーマンスに影響する場合があります。 場合により、特にユーザー・レジストリーがトポロジーのボトルネックである場合には、伝搬が速くなります。 このオプションを使用した場合と使用しない場合の環境のパフォーマンスを測定することをお勧めします。 パフォーマンスを検査する場合、 システムに同時にアクセスする通常の固有ユーザー数で、標準的な実稼働環境のオペレーティング環境で検査を行うことをお勧めします。

  6. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。RMI/IIOP セキュリティーの下の「CSIv2 インバウンド認証」をクリックします。 「ログイン構成」フィールドは、インバウンド要求に使用されるシステム・ログイン構成として RMI_INBOUND を指定します。 カスタム Java Authentication and Authorization Service (JAAS) ログイン・モジュールを追加するには、以下のステップを実行します。
    1. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。「Java Authentication and Authorization Service」の下の「システム・ログイン」をクリックします。 システム・ログイン構成のリストが表示されます。WebSphere Application Server は次の事前に構成されたシステム・ログイン構成を提供します: DEFAULT、LTPA、LTPA_WEB、RMI_INBOUND、RMI_OUTBOUND、SWAM、WEB_INBOUND、wssecurity.IDAssertion、および wssecurity.Signature。 これらの定義済み構成を削除しないでください。
      注: SWAM は WebSphere Application Server バージョン 6.1 では 推奨されません。また将来のリリースでは除去される予定です。
    2. 変更するログイン構成の名前をクリックします。
    3. 「追加プロパティー」の下の「JAAS ログイン・モジュール」をクリックします。 「JAAS ログイン・モジュール」パネルが表示され、ログイン構成で処理されるすべてのログイン・モジュールをリストします。 必要な JAAS ログイン・モジュールを削除しないでください。その代わり、必要なログイン・モジュールの前後にカスタム・ログイン・モジュールを追加することができます。 カスタム・ログイン・モジュールを追加する場合は、 名前を com.ibm.ws.security.server で始めないでください。

      Set Order」をクリックすることによってログイン・モジュールが処理される順番を指定することができます。

  7. 「CSIv2 インバウンド認証」パネルで「セキュリティー属性の伝搬」オプションを選択します。セキュリティー属性の伝搬」を選択すると、サーバーは Common Secure Interoperability バージョン 2 (CSIv2) プロトコルを介して同じレルムの他のサーバーから伝搬されたセキュリティー属性を受け取ることができることを他のアプリケーション・サーバーに通知します。
  8. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。「RMI/IIOP security」の下の「CSIv2 アウトバウンド認証」をクリックします。 「CSIv2 アウトバウンド認証」パネルが表示されます。 「ログイン構成」フィールドは、 アウトバウンド構成に使用される JAAS ログイン構成として RMI_OUTBOUND を指定します。 このログイン構成を変更することはできません。その代わり、先にリストしたサブステップを CSIv2 インバウンド認証に対して実行して、 このログイン構成をカスタマイズすることができます。
  9. オプション: 必要に応じて「セキュリティー属性の伝搬」オプションが選択されていることを確認し、リモート・メソッド呼び出し (RMI) プロトコルの アウトバウンド・サブジェクトおよびセキュリティー・コンテキスト・トークンの伝搬を使用可能にします。 このオプションを選択する場合、WebSphere Application Server はサブジェクト内容および PropagationToken 内容をシリアライズします。 内容をシリアライズした後、サーバーは CSIv2 プロトコルを使用して、 セキュリティー属性伝搬をサポートするターゲット・サーバーにサブジェクトおよび PropagationToken トークンを送信します。 受信サーバーがセキュリティー属性トークンをサポートしていない場合、WebSphere Application Server は Lightweight Third Party Authentication (LTPA) トークンのみを送信します。
    重要: WebSphere Application Server はシリアライズできるサブジェクト内のオブジェクトのみを伝搬します。 サーバーは最大限の努力でカスタム・オブジェクトを伝搬します。

    セキュリティー属性の伝搬」が使用可能な場合、WebSphere Application Server は、ターゲット・サーバーがインバウンド・ログイン中に追加属性を追加できるように、サブジェクトにマーカー・トークンを追加します。 ログインのコミット・フェーズ中、マーカー・トークンおよびサブジェクトは読み取り専用としてマークされ、その後は変更できません。

  10. オプション: Security Attribute Propagation」オプションをクリアしており、RMI_OUTBOUND ログイン構成を使用する場合は、「Custom Outbound Mapping」オプションを選択します。Custom Outbound Mapping」オプションおよび「Security Attribute Propagation」オプションのいずれも選択されていない場合、WebSphere Application Server は RMI_OUTBOUND ログイン構成を呼び出しません。クレデンシャル・マッピング・ログイン・モジュールを接続する必要がある場合、「Custom Outbound Mapping」オプションを選択する必要があります。
  11. オプション: Trusted Target Realms」フィールドで信頼できるターゲット・レルム名を指定します。 これらのレルム名を指定することによって、 送信サーバーのレルム外にあるサーバーに情報を送信でき、これらのダウンストリーム・サーバーであるインバウンド・マッピングを サポートすることができます。 現行レルムと異なるレルムへのアウトバウンド・マッピングを実行するには、 要求がレルムのミスマッチによって拒否されることなく、このポイントに到達できるように、 このフィールドでレルムを指定する必要があります。 要求が送信される際に、WebSphere Application Server に他のレルムへセキュリティー属性を伝搬させる必要がある場合、 「トラステッド・ターゲット・レルム」フィールドにレルム名を指定する必要があります。 指定しないと、セキュリティー属性は、指定解除されたレルムに伝搬されません。 各項目間でパイプ (|) 区切り文字を追加することによって、複数のターゲット・レルムを追加することができます。
  12. オプション: ピュア・クライアントの伝搬を使用可能にします。 ピュア・クライアントが、呼び出しサブジェクトに追加される属性を伝搬するには、 以下のプロパティーを sas.client.props ファイルに追加する必要があります。
    com.ibm.CSI.rmiOutboundPropagationEnabled=true
    注: sas.client.props ファイルは、<WAS-HOME>/profiles/<ProfileName>/properties> に配置されています。

結果

これらのステップを実行すると、他のサーバーにセキュリティー属性を伝搬する WebSphere Application Server を構成したことになります。

次の作業

セキュリティー属性伝搬を使用不可にする必要がある場合、サーバー・レベルまたはセル・レベルのどちらに対して使用不可にする必要があるのかを決定します。
重要: サーバー・レベルに対する変更は、セルの設定をオーバーライドします。
サーバー・レベルでセキュリティー属性伝搬を使用不可にするには、以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。
  2. 「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。
  3. RMI/IIOP security for this server overrides cell settings」オプションを選択します。
  4. 「追加プロパティー」の下の「CSI インバウンド認証」をクリックし、 「Security attribute propagation」オプションをクリアして、インバウンド要求のセキュリティー属性伝搬を使用不可にします。
  5. 「追加プロパティー」の下の「CSI アウトバウンド認証」をクリックし、 「Security attribute propagation」オプションをクリアして、アウトバウンド要求のセキュリティー属性伝搬を使用不可にします。

セル・レベルでセキュリティー属性伝搬を使用不可にするには、このタスクでセキュリティー属性伝搬を使用可能にするために実行してきたステップを元に戻します。




関連概念
セキュリティー属性の伝搬
関連タスク
カスタム伝搬トークンのインプリメント
カスタム許可トークンのインプリメント
カスタム・シングル・サインオン・トークンのインプリメント
カスタム認証トークンのインプリメント
カスタム Java 直列化可能オブジェクトの伝搬
ユーザーの認証
関連資料
例: デフォルトの伝搬トークンの使用
例: デフォルトの許可トークンの使用
例: デフォルトのシングル・サインオン・トークンの使用
デフォルトの認証トークン
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:44:53 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/tsec_enablesecattprop.html