WebSphere Application Server Network Deployment, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

C++ Common Object Request Broker Architecture クライアントとのインターオペラビリティー

WebSphere Application Server では、 アクセス保護されたエンタープライズ Bean に対して CORBA C++ クライアントでのセキュリティーを サポートします。このサポートを構成すると、C++ CORBA クライアントが、クライアント証明書を使用して 保護されているエンタープライズ Bean メソッドにアクセスできるようになり、WebSphere Application Server アプリケーション上での 相互認証が実現できます。

このタスクについて

Common Secure Interoperability バージョン 2 (CSIv2) 認証プロトコルを 、Internet Inter-ORB Protocol 経由のリモート・メソッド呼び出し (RMI-IIOP) 上で使用することにより 、C++ Common Object Request Broker Architecture (CORBA) クライアントと WebSphere Application Server 間での Security Authentication Service のインターオペラビリティーを実現できます。 CSIv2 セキュリティー・サービス・プロトコルには、認証、属性、およびトランスポートの 3 つの層があります。この 3 つの層のうち、 トランスポート認証は、概念的には単純ですが、暗号をベースにしているので、 最も強力です。WebSphere Application Server は、トランスポート認証層を インプリメントしているため、C++ のセキュアな CORBA クライアントはそれを効果的に使用して、CORBA クライアントと 保護されているエンタープライズ Bean リソースを連動させることができます。

非 Java ベース の C++ クライアントからエンタープライズ Bean へのセキュリティー認証。WebSphere Application Server では、 アクセス保護されたエンタープライズ Bean に対して CORBA C++ クライアントでのセキュリティーを サポートします。このサポートを構成すると、C++ CORBA クライアントが、クライアント証明書を使用して 保護されているエンタープライズ Bean メソッドにアクセスできるようになり、WebSphere Application Server アプリケーション上での 相互認証が実現できます。

C++ CORBA クライアントが 保護されたエンタープライズ Bean にアクセスできるようにするには、以下のステップを実行します。
  • current.env のようなクライアントの環境ファイルを作成します。 ファイルの以下のリストに表示される変数を設定します。
    C++ セキュリティー設定 説明
    client_protocol_password ユーザー ID に対するパスワードを指定します。
    client_protocol_user ターゲット・サーバーで認証するユーザー ID を指定します。
    security_sslKeyring クライアントが使用する RACF 鍵リングの名前を指定します。鍵リングは、 クライアントを実行するコマンドを発行しているユーザー ID の下で定義されている必要があります。
  • WAS_CONFIG_FILE 環境変数を介した完全修飾パス名を使用して環境ファイルを指します。例えば、test.sh テスト・シェル・スクリプトでは、以下をエクスポートします。
    /WebSphere/V6R0M0/DeploymentManager/profiles/default/config/cells
      /PLEX1Network/nodes/PLEX1Manager/servers/dmgr
    一部の環境ファイル用語を以下に説明します。
    default
    プロファイル名
    PLEX1Network
    セル名
    PLEX1Manager
    ノード名
    dmgr
    サーバー名

プロシージャー

  1. クライアントを示す有効な証明書を取得して、 その公開鍵をターゲットのエンタープライズ Bean サーバーにエクスポートします。

    C++ クライアントを示す有効な証明書が必要です。認証局 (CA) から証明書を要求するか、テスト用の自己署名証明書を作成します。

    Global Security Kit (GSKit) の鍵管理ユーティリティーを使用して、 個人証明書から公開鍵を抽出し、.arm フォーマットで保管します。

  2. WebSphere Application Server 用のトラストストア・ファイルを作成します。
    .arm ファイルで抽出したクライアントの公開鍵を、クライアントから、 サーバーの鍵トラストストア・ファイルに追加します。これでサーバーがクライアントの認証を行えます。
    注: これは、WebSphere Application Server インストール・システムから ikeyman.bat または ikeyman.sh を 実行して、鍵管理ユーティリティーを呼び出すことによって行います。
  3. WebSphere Application Server を、 認証メカニズムとして Secure Sockets Layer (SSL) をサポートするように構成します。
    1. 管理コンソールを開始します。
    2. ターゲットのエンタープライズ Bean がデプロイされている アプリケーション・サーバーを見つけて、 そのアプリケーション・サーバーを、SSL クライアント証明書認証を使用するように構成します。
      基本インストールの場合は、以下のステップを実行します。
      1. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。RMI/IIOP セキュリティーの下の「CSIv2 インバウンド認証」をクリックします。 「基本認証」および「クライアント証明書認証」オプションで「サポート」を選択します。 それ以外のオプションは、デフォルトのままにしておきます。
      2. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。「RMI/IIOP security」の下の「CSIv2 インバウンド・トランスポート」をクリックして、「SSL サポート」オプションが選択されていることを確認します。
      Network Deployment 設定の場合は、以下のステップを実行します。
      1. サーバー」>「アプリケーション・サーバー」>「server_name_where_the_EJB_resides」とクリックします。
      2. 「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。
      3. RMI/IIOP security for this server overrides cell settings」オプションを選択します。
      4. 「追加プロパティー」の下の「CSIv2 インバウンド認証」をクリックします。
      5. 「基本認証」および「クライアント証明書認証」オプションで「サポート」を選択します。 それ以外のオプションは、デフォルトのままにしておきます。
      6. サーバー」>「アプリケーション・サーバー」>「server_name_where_the_EJB_resides」とクリックします。
      7. 「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。
      8. 「追加プロパティー」の下で「CSIv2 インバウンド・トランスポート」をクリックします。
      9. SSL サポート」オプションが選択されていることを確認します。

      詳しくは、Common Secure Interoperability バージョン 2 インバウンド認証の構成 およびインバウンド・トランスポートの構成 を参照してください。

    3. アプリケーション・サーバーを再始動します。

      WebSphere Application Server は、C++ CORBA セキュリティー・クライアントに対応しており、トランスポート層で SSL を使用して、サーバーとクライアントの間で相互認証を行うことができます。

  4. 相互認証を行う際に証明書を使用するよう C++ CORBA クライアントを構成します。
    クライアント・ユーザーは、構成設定の指定時に便利なことから、アプリケーションで プロパティー・ファイルを使用することに慣れています。次のリストに、主要な C++ セキュリティー設定を示します。
    C++ セキュリティー設定 説明
    com.ibm.CORBA.bootstrapHostName=ricebella.austin.ibm.com ターゲット・ホスト名を指定します。
    com.ibm.CORBA.securityEnabled=yes セキュリティーを使用可能にします。
    com.ibm.CSI.performTLClientAuthenticationSupported=yes クライアントが証明書による相互認証を確実にサポートするようにします。
    com.ibm.ssl.keyFile=C:/ricebella/etc/DummyKeyRingFile.KDB 使用する鍵データベース・ファイルを指定します。
    com.ibm.ssl.keyPassword=WebAS 鍵データベース・ファイルを開くためのパスワードを指定します。 WebSphere Application Server は、プレーン・パスワードをエンコードする、 PasswordEncode4cpp と呼ばれるユーティリティーをサポートしています。
    com.ibm.CORBA.translationEnabled=1 valueType 変換を使用可能にします。
    稼働中の C++ クライアントでプロパティー・ファイルを使用するには、環境変数 WASPROPS を使用して、プロパティー・ファイルまたはプロパティー・ファイルのリストの場所を示します。

    C++ クライアント・プロパティーの完全セットについては、 製品に同梱されている app_server_root/profiles/profile_name/etc ディレクトリー内のサンプル・プロパティー・ファイル scclient.props を参照してください。




関連タスク
Common Secure Interoperability バージョン 2 インバウンド認証の構成
インバウンド・トランスポートの構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:44:53 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/tsec_interoperatec.html