WebSphere Application Server Network Deployment for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

セキュリティーの使用可能化

セキュリティーを使用可能にすることで、ご使用のサーバーを許可されていないユーザーから保護し、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供することができます。

始める前に

インフラストラクチャーの観点からセキュリティーを理解しておくと、 さまざまな認証メカニズム、ユーザー・レジストリー、認証プロトコルなどの利点を知ることができて有益です。 ユーザーの要件に合った正しいセキュリティー・コンポーネントを選出することも、 セキュリティーの構成の一環です。以下のセクションは、これらの判断を下す際の一助となるものです。

セキュリティー構成を続行する前に、以下の項目を読んでください。 セキュリティー・コンポーネントについて理解すると、 WebSphere Application Server でのセキュリティーの構成に進むことができます。
注: WebSphere Application Server バージョン 6.1 では、新規プロファイルを作成する際の初期インストール処理中、または、プロファイル作成ツールを使用する際のポストインストール処理中、新規のプロファイルが作成されるときは常に、管理セキュリティーはデフォルトで使用可能です。 管理コンソールを使用してセキュリティー・ポスト・プロファイル作成を可能にする代わりに、プロファイル作成時中、管理セキュリティーを可能にしないよう決定できます。

プロシージャー

  1. WebSphere Application Server の管理コンソールを始動します。

    デプロイメント・マネージャーを開始して、ブラウザーに WebSphere Application Server Network Deployment サーバーのアドレスを入力します。 デフォルトでは、コンソールは http://your_host.your_domain:9060/ibm/console にあります。

    現在セキュリティーが使用不可になっている場合は、 ユーザー ID を要求するプロンプトが出されます。任意のユーザー ID を使用してログインします。 ただし、セキュリティーが現在有効になっている場合は、 ユーザー ID とパスワードの両方を要求するプロンプトが出されます。 定義済みの管理ユーザー ID とパスワードを使用してログインします。

  2. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。 バージョン 6.1 で使用できるセキュリティー 構成ウィザードでセキュリティーを構成するか、手動で 構成してください。構成の順序は重要ではありません。 手動構成について詳しくは、 ユーザーの認証 を参照してください。
  3. ユーザー・アカウント・リポジトリーを構成します。 詳しくは、レジストリーまたはリポジトリーの選択 を参照してください。 「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルで、 統合リポジトリー、ローカル・オペレーティング・システム、 スタンドアロンの Lightweight Directory Access Protocol (LDAP) レジストリー、 スタンドアロンのカスタム・レジストリーなどの、 ユーザー・アカウント・リポジトリーを構成することができます。
    注: インターオペラビリティー用のサーバー ID およびパスワードを指定するか、または WebSphere Application Server 6.1 インストールが自動的に内部サーバー ID を生成できるようにするかを選択できます。 サーバー ID の自動生成に関する詳細については、ローカル・オペレーティング・システムの設定 を参照してください。

    すべてのユーザー・レジストリーやリポジトリーに共通の詳細事項の 1 つに、「Primary administrative user name」があります。 この ID は、選択されたリポジトリーの 1 メンバーですが、 WebSphere Application Server では特別な権限も持っています。 この ID の特権と、管理役割 ID に関連付けられている特権とは同じものです。 この「Primary administrative user name」は、保護された管理方法のすべてにアクセスできます。

    スタンドアロン LDAP レジストリーでは、「Primary administrative role name が、 LDAP 管理役割 ID であるだけでなく、リポジトリーのメンバーであることを確認してください。 このエントリーは、検索可能である必要があります。

    「Primary administrative user name」は、WebSphere Application Server プロセスの実行は行いません。 代わりに、プロセス ID が WebSphere Application Server プロセスを実行します。

    デフォルトの構成では、WebSphere Application Server プロセスは、QEJBSVR システム提供ユーザー・プロファイルで実行されます。

  4. ユーザー・アカウント・リポジトリーを構成した後、「Set as current」オプションを選択します。 適用」をクリックした場合に「管理セキュリティーを使用可能にする 」オプションが設定されていると検査が実行され、管理ユーザー ID が構成済みで、アクティブ・ユーザー・レジストリーに存在するかどうかが検査されます。 管理ユーザー ID は、「アクティブ・ユーザー・レジストリー」パネルまたはコンソール・ユーザーのリンクから指定できます。 アクティブ・ユーザー・レジストリーに対して管理 ID が構成されていないと、検査に失敗します。
    注: ユーザー・レジストリーを切り替える場合は、 admin-authz.xml ファイルから既存の管理 ID とアプリケーション名が除去されます。 admin-authz.xml ファイルに存在する ID の例外がログに記録されますが、現行のユーザー・レジストリーには存在しません。
  5. 認証メカニズムを構成します。

    「認証メカニズムおよび有効期限」パネルで、Lightweight Third-Party Authentication (LTPA) を構成します。 LTPA はデフォルトの認証メカニズムです。 LTPA クレデンシャルは、他のマシンに転送できます。 セキュリティー上の理由で、クレデンシャルには有効期限がありますが、期限日付はコンソールで構成することができます。 LTPA クレデンシャルにより、ブラウザーでさまざまな製品サーバーにアクセスできます。 これは、何度も認証を行う必要がないことを意味します。 詳しくは、Lightweight Third Party Authentication メカニズムの構成 を参照してください。

    シングル・サインオン (SSO) のサポートが必要な場合には、 Web ユーザー認証を最小化するためのシングル・サインオンのインプリメント の項目を参照してください。 シングル・サインオン (SSO) がサポートされていると、認証を複数回行わなくても、 ブラウザーでさまざまな製品サーバーにアクセスすることができます。 フォーム・ベースのログインの場合は、LTPA の使用時に SSO を構成する必要があります。

  6. オプション: セル間のシングル・サインオン (SSO) 用に LTPA 鍵をインポートしてエクスポートします。 詳しくは、以下の項目を参照してください。
  7. 必要な場合は、 Java クライアントからの特別なセキュリティー要件の認証プロトコルを構成します。
    「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルのリンクを使用して、 Common Secure Interoperability バージョン 2 (CSIv2) を構成することができます。 Security Authentication Service (SAS) プロトコルは、 前の製品リリースとの後方互換性が提供されますが、推奨されません。 ご使用の環境に WebSphere Application Server の旧バージョンを使用するサーバーが含まれていて、 SAS をサポートする場合は、「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルに「Links to the SAS protocol」パネルが 表示されます。 CSIv2 または SAS の構成について詳しくは、 Common Secure Interoperability バージョン 2 (CSIV2) および Security Authentication Service (SAS) の構成 の項目を参照してください。
    重要: SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
    [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] 重要: IBM は Secure Authentication Service (SAS) IIOP セキュリティー・プロトコルの出荷やサポートを既に終了しています。 Common Secure Interoperability バージョン 2 (CSIv2) プロトコルを使用することをお勧めします。
  8. デフォルトの Secure Sockets Layer (SSL) 構成を変更または作成します。 この操作により、インターネットを介して送信されるメッセージの保全性が保護されます。 この製品では、SSL を使用する WebSphere Application Server の各機能が利用できる SSL 構成を 1 か所で指定できます。 指定できる SSL 構成には、LDAP レジストリー、Web コンテナー、および認証プロトコル (CSIv2 および SAS) があります。 詳しくは、Secure Sockets Layer 構成の作成 を参照してください。構成を変更、または新規構成を作成した後、「SSL configurations」パネルでその構成を指定します。 「SSL configurations」パネルを表示するには、以下のステップを実行します。
    1. セキュリティー」>「SSL 証明書および鍵管理」とクリックします。
    2. 「構成設定」の下の「エンドポイントのセキュリティー構成の管理」 >「configuration_name」をクリックします。
    3. 「関連項目」の下の「SSL 構成」をクリックします。

    DefaultSSLConfig ファイルを編集するか、または新規のエイリアス名で新規の SSL 構成を作成することができます。 新規の鍵ストア・ファイルとトラストストア・ファイルに新規のエイリアス名を作成する場合は 、SSL 構成エイリアス DefaultSSLConfig を参照するロケーションをすべて変更します。 以下のリストは、WebSphere Application Server 構成における SSL 構成レパートリー・エイリアスの使用場所を明示しています。

    HTTP および Java Message Service (JMS) を含む、新規ネットワーク入出力チャネル・チェーンを使用するトランスポートの場合は、各サーバーの以下のロケーションで、SSL 構成レパートリー・エイリアスを変更することができます。
    • サーバー」>「アプリケーション・サーバー」>「server_name 」とクリックします。 「通信」の下の「ポート」をクリックします。SSL が使用可能になっているトランスポート・チェーンを位置指定し、「View associated transports」をクリックします。「transport_channel_name」をクリックします。「トランスポート・チャネル」の下の「SSL インバウンド・チャネル (SSL_2)」をクリックします。
    • システム管理」>「デプロイメント・マネージャー」とクリックします。 「追加プロパティー」の下の「ポート」をクリックします。 SSL が使用可能になっているトランスポート・チェーンを位置指定し、「View associated transports」をクリックします。「transport_channel_name」をクリックします。「トランスポート・チャネル」の下の「SSL インバウンド・チャネル (SSL_2)」をクリックします。
    • システム管理」>「ノード・エージェント」> 「node_agent_name」と選択します。 「追加プロパティー」の下の「ポート」をクリックします。 SSL が使用可能になっているトランスポート・チェーンを位置指定し、「View associated transports」をクリックします。「transport_channel_name」をクリックします。「トランスポート・チャネル」の下の「SSL インバウンド・チャネル (SSL_2)」をクリックします。
    オブジェクト・リクエスト・ブローカー (ORB) SSL トランスポートの場合は、以下のロケーションにある SSL 構成レパートリー・エイリアスを変更することができます。 これらは、WebSphere Application Server および WebSphere Application Server Express のサーバー・レベル、および WebSphere Application Server Network Deployment のセル・レベルの構成です。
    • セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。「RMI/IIOP security」の下の「CSIv2 インバウンド・トランスポート」をクリックします。
    • セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。「RMI/IIOP security」の下の「CSIv2 アウトバウンド・トランスポート」をクリックします。
    • [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。「RMI/IIOP security」の下の「SAS インバウンド・トランスポート」をクリックします。
    • [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。「RMI/IIOP security」の下の「SAS アウトバウンド・トランスポート」をクリックします。
    WebSphere Application Server Network Deployment のサーバー・レベルにある ORB SSL トランスポートの場合は、以下のロケーションにある SSL 構成レパートリー・エイリアスを変更することができます。
    • サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。「セキュリティー」の下で「サーバー・セキュリティー」>「CSIv2 インバウンド・トランスポート」とクリックします。
    • サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。「セキュリティー」の下で「サーバー・セキュリティー」>「CSIv2 アウトバウンド・トランスポート」とクリックします。
    • [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。「セキュリティー」の下で「サーバー・セキュリティー」>「SAS インバウンド・トランスポート」とクリックします。
    • [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。「セキュリティー」の下で「サーバー・セキュリティー」>「SAS アウトバウンド・トランスポート」とクリックします。

    SOAP Java Management Extensions (JMX) 管理トランスポートの場合は、 「サーバー」>「アプリケーション・サーバー」>「server_name」をクリックして、 SSL 構成レパートリー・エイリアスを変更することができます。 「サーバー・インフラストラクチャー」の下の「管理」>「管理サービス」とクリックします。 「追加プロパティー」の下の「JMX コネクター」>「SOAPConnector」とクリックします。「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。 sslConfig プロパティーで新規エイリアスを指し示す場合は、「新規」をクリックしてから、「名前」フィールドに sslConfig を入力し、「値」フィールドにその値を入力します。

    WebSphere Application Server Network Deployment の追加 SOAP JMX 管理トランスポートの場合は、以下のロケーションにある SSL 構成レパートリー・エイリアスを変更することができます。
    • システム管理」>「デプロイメント・マネージャー」とクリックします。 「追加プロパティー」の下の「管理サービス」をクリックします。 「追加プロパティー」の下の「JMX コネクター」>「SOAPConnector」とクリックします。「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。 sslConfig プロパティーで新規エイリアスを指し示す場合は、「sslConfig」をクリックしてから、「値」フィールドでエイリアスを選択します。
    • システム管理」>「ノード・エージェント」> 「node_agent_name」と選択します。 「追加プロパティー」の下の「管理サービス」をクリックします。 「追加プロパティー」の下の「JMX コネクター」>「SOAPConnector」とクリックします。「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。 sslConfig プロパティーで新規エイリアスを指し示す場合は、「新規」をクリックしてから、「名前」フィールドに sslConfig を入力し、「値」フィールドにその値を入力します。

    Lightweight Directory Access Protocol (LDAP) SSL トランスポートの場合は、 「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックして、 SSL 構成レパートリー・エイリアスを変更することができます。「ユーザー・アカウント・リポジトリー」の下で、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択します。

  9. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックし、 残りのセキュリティー設定を構成して、セキュリティーを使用可能にします。 これらの設定について詳しくは、 管理、アプリケーション、およびインフラストラクチャー保護の設定 を参照してください。

    詳細については、サーバーおよび管理セキュリティー を参照してください。

  10. OK」または「適用」をクリックして完了したセキュリティー構成を検証します。 問題が発生すると、コンソール・ページの上部に赤字で表示されます。
  11. 妥当性検査上の問題がなければ、「保管」をクリックして、 サーバーが再始動するときに使用するファイルに設定値を保管します。 保管することによって、設定値は構成リポジトリーに書き込まれます。
    重要:保管」をクリックする前に 「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルで 「適用」または「OK」をクリックしない場合には、変更内容はリポジトリーに書き込まれません。 管理コンソールを開始する場合は、サーバーを再始動してすべての変更内容を有効にする必要があります。

    保管アクションにより、 デプロイメント・マネージャーは、WebSphere Application Server が再始動した後、 変更された設定を使用することができます。詳しくは、レルムのセキュリティーの使用可能化 を参照してください。デプロイメント・マネージャーの構成は、 スタンドアロンの Base アプリケーション・サーバーとは異なります。構成は、すべてのノード・エージェントと同期されるまでは、一時的にデプロイメント・マネージャーに保管されます。

    また、ドメイン内ですべてのノード・エージェントが稼働中であることを確認してください。 このプロセスの間、すべてのアプリケーション・サーバーを停止します。 ダウンしているノード・エージェントが ある場合は、デプロイメント・マネージャーからセキュリティー構成の同期を取るために、 ノード・エージェント・マシンから手動のファイル同期ユーティリティーを実行する必要があります。 これを行わないと、デプロイメント・マネージャーでセキュリティーが使用可能になった後で、 誤動作しているノード・エージェントはそのデプロイメント・マネージャーと通信しません。

  12. WebSphere Application Server の管理コンソールを始動します。

    デプロイメント・マネージャーを開始して、ブラウザーに WebSphere Application Server Network Deployment サーバーのアドレスを入力します。 デフォルトでは、コンソールは http://your_host.your_domain:9060/ibm/console にあります。

    現在セキュリティーが使用不可になっている場合は、いずれかのユーザー ID でログインします。 現在セキュリティーが使用可能になっている場合は、定義済みの管理 ID とパスワードでログインします。この ID は、 通常ユーザー・レジストリーの構成時に指定するサーバー・ユーザー ID です。




サブトピック
管理セキュリティー
アプリケーション・セキュリティー
Java 2 セキュリティー
レルムのセキュリティーの使用可能化
使用可能にしたセキュリティーのテスト
セキュリティー構成ウィザード
関連概念
Java 2 セキュリティー
関連タスク
レジストリーまたはリポジトリーの選択
Lightweight Third Party Authentication メカニズムの構成
関連資料
Java 2 セキュリティー・ポリシー・ファイル
管理、アプリケーション、およびインフラストラクチャー保護の設定
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 8:28:52 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.iseries.doc/info/iseriesnd/ae/tsec_csec2.html