WebSphere Application Server Network Deployment for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

インバウンド・トランスポートの構成

この構成を使用して、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。

始める前に

[この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] インバウンド・トランスポート は、このサーバー向けの要求を受信するために開かれる リスナー・ポートのタイプと、その属性とを参照します。Common Secure Interoperability Specification, Version 2 (CSIv2) および Secure Authentication Service (SAS) の両方に、 トランスポートを構成する機能があります。
重要: SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
ただし、これら 2 つのプロトコルの間には、次のような違いがあります。[この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]
  • CSIv2 は SAS よりもはるかに柔軟性があります。SAS は Secure Sockets Layer (SSL) を要求しますが、CSIv2 は要求しません。
  • SAS は SSL クライアント証明書認証をサポートしていませんが、CSIv2 はサポートしています。
  • CSIv2 は SSL 接続を要求できますが、SAS は SSL 接続をサポートするだけです。
  • SAS では、常に、TCP/IP と SSL の 2 つのリスナー・ポートが開いています。
  • CSIv2 では、 リスナー・ポートを 1 つだけ開くことも、多い場合は 3 つ開くこともできます。 TCP/IP だけの場合、あるいは SSL が必要な場合は、1 つのポートを開くことができます。SSL がサポート されている場合には 2 つのポートを開くことができ、SSL および SSL クライアント証明書認証が サポートされている場合には、3 つのポートを開くことができます。

このタスクについて

以下のステップを完了して、管理コンソールの「インバウンド・トランスポート」パネルを構成します。

プロシージャー

  1. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
  2. 「RMI/IIOP security」の下の「CSIv2 inbound transport」をクリックして、トランスポートの タイプおよび SSL 設定を選択します。 前述のように、トランスポートのタイプを選択することにより、開くリスナー・ポートを選択します。また、 トランスポートとして TCP/IP を選択すると、SSL クライアント証明書認証機能は使用不可になります。
  3. SSL トランスポートに対応する SSL の設定値を選択します。 これらの設定値は「SSL 構成」パネルにアクセスすることによって定義できます。詳しくは、Secure Sockets Layer 構成の作成 を参照してください。
  4. 「CSIv2 インバウンド・トランスポート」パネルの「適用」をクリックします。
  5. 構成したリスナー・ポートの修正を検討してください。
    このアクションは別のパネルで行いますが、ここで取り上げるのが妥当です。 ほとんどのエンドポイントは、単一のロケーションで管理されているため、「インバウンド・トランスポート」パネルでは表示されません。単一のロケーションでエンドポイントを管理すると、エンドポイントを割り当てる際に、構成内での競合数を減らすことができます。SSL エンドポイントのロケーションは、個々のサーバーにあります。 以下のポート名は、「エンドポイント」パネルで定義され、オブジェクト・リクエスト・ブローカー (ORB) のセキュリティーに使用されます。
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS - CSIv2 クライアント認証 SSL ポート
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS - CSIv2 SSL ポート
    • [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] SAS_SSL_SERVERAUTH_LISTENER_ADDRESS - SAS SSL ポート
    • ORB_LISTENER_PORT - TCP/IP ポート

    アプリケーション・サーバーでは、 「サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。「通信」の下の「ポート」をクリックします。指定されたサーバーの「ポート」パネルが表示されます。

    WebSphere Application Server の Object Request Broker (ORB) は、 Internet Inter-ORB Protocol (RMI/IIOP) 通信上のリモート・メソッド呼び出しにリスナー・ポートを使用します。 これは、構成ダイアログを使用して静的に指定されるか、またはマイグレーションの間に静的に指定されます。 ファイアウォールで作業する場合には、ORB リスナーに静的ポートを指定し、ファイアウォール上でそのポートを開き、この指定されたポートを介して通信が渡されるようにします。ORB リスナー・ポートを設定する際のエンドポイント・プロパティーは、ORB_LISTENER_ADDRESS です。

    WebSphere Application Server Network Deployment 環境では、ノード・エージェントに ORB_LISTENER_ADDRESS エンドポイントが指定されます。 ロケーション・サービス・デーモンは、ノード・エージェントに置かれており、ORB リスナー・ポート上で結合されます。これにより、ポートを固定させることが必要になります。また、ORB_LISTENER_ADDRESS を他のアプリケーション・サーバーに追加してから、ORB リスナー・ポートを設定する必要があります。各 ORB は、個別のリスナー・ポートを持っています。 WebSphere Application Server Network Deployment では、異なるリスナー・ポートを指定しなければなりません。 例えば、以下のポートを指定できます。
    • ノード・エージェント: ORB_LISTENER_ADDRESS=9000
    • Server1: ORB_LISTENER_ADDRESS=9811
    • Server2: ORB_LISTENER_ADDRESS=9812
    統合されたサーバーは、ノード・エージェントが実行中でなくても実行できます。 ORB_LISTENER_ADDRESS がゼロ (0) 以上の値に設定されている場合、サーバーはロケーション・サービス・デーモンに依存せずサーバーに接続をリダイレクトします。ORB_LISTENER_ADDRESS を設定する場合、ネーム・スペースのすべての オブジェクト参照はロケーション・サービス・デーモンではなくサーバーへの接続を指定します。 サーバーがノード・エージェントなしで実行中の場合、 すべてのアプリケーションはアプリケーション・サーバー上で実行されるネーム・サーバーを介して アクセスされる必要があります。クライアントは Java Naming Directory Interface (JNDI) 参照を変更して、 アプリケーション・サーバーのホストおよびポートを使用するようにする必要があります。
    表 1.
    ORB_LISTENER_ADDRESS  
    value = 0 サーバーは使用可能な任意のポートで開始され、ロケーション・サービス・デーモンを使用しません。
    value > 0 サーバーは入力した値により指定されたポートで開始されます。 ロケーション・サービス・デーモンは使用されません。
    注: ワークロード管理は、ノード・エージェントが実行中でなければ動作しません。

    管理コンソールを使用して以下のステップを行い、ORB_LISTENER_ADDRESS ポート (複数可) を指定します。

    ノード・エージェントとデプロイメント・マネージャーについて、以下のステップを行ってください。

    1. サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。「通信」の下の「ポート」>「新規」とクリックします。
    2. 「構成」パネルの「ポート名」フィールドから ORB_LISTENER_ADDRESS を選択します。
    3. IP アドレス、完全修飾ドメイン・ネーム・システム (DNS) ホスト名、または DNS ホスト名だけを「ホスト」フィールドに入力します。 例えば、ホスト名が myhost である場合、DNS の 完全修飾名は myhost.myco.com、IP アドレスは 155.123.88.201 などになります。
    4. ポート」フィールドに、ポート番号を入力します。 ポート番号は、クライアント要求を受け入れるようにサービスが構成されているポートを指定します。 ポート値は、ホスト名とともに使用します。前の例を使用すると、ポート番号は 9000 になります。
  6. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。CSIv2 クライアントからのインバウンド要求に使用する SSL 設定を選択するには、「RMI/IIOP security」の下の「CSIv2 inbound transport」をクリックします。 前のリリースとの相互運用には、CSIv2 プロトコルが使用されることに留意してください。 SSL 構成で鍵ストア・ファイルおよびトラストストア・ファイルを構成する場合、これらのファイルには、WebSphere Application Server の前のリリースとの相互運用のための正しい情報が必要です。 例えば、前のリリースとバージョン 6 のリリースでは、トラストストア・ファイルが異なります。バージョン 6 の 鍵ストア・ファイルを使用している場合は、このサーバーに接続している クライアントのために、前のリリースのトラストストア・ファイルに署名者を追加してください。

結果

インバウンド・トランスポート構成が完了しました。この構成により、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。 例えば、ユーザーが最初に使用するサーバーがアプリケーション・サーバーである場合は、セキュリティー構成はさらにセキュアになります。 バックエンドのエンタープライズ Bean サーバーに要求が出される場合は、 パフォーマンス上の理由で、アウトバウンドへの送出時のセキュリティーを 軽減することがあります。この柔軟性により、それぞれのニーズに適したトランスポート・インフラストラクチャーを設計することができます。

次の作業

セキュリティーの構成を終えたら、以下のステップを実行して、サーバーを保管し、同期を取ってから、サーバーを再始動します。
  1. 管理コンソールで「保管」をクリックして、構成に対する変更を保管します。
  2. 同期が取れたら、すべてのサーバーを停止してから再始動します。



サブトピック
Common Secure Interoperability バージョン 2 トランスポート・インバウンド設定
Secure Authentication Service インバウンド・トランスポート設定
関連タスク
Common Secure Interoperability バージョン 2 (CSIV2) および Security Authentication Service (SAS) の構成
関連資料
ポート設定
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 8:28:52 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.iseries.doc/info/iseriesnd/ae/tsec_inboundtransport.html