WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化

レルムのセキュリティーの使用可能化

このトピックを使用して、IBM WebSphere Application Server セキュリティーを使用可能にします。 セキュリティー設定を有効にするには、管理セキュリティーを使用可能にする必要があります。

このタスクについて

WebSphere Application Server は、暗号化を使用して機密データを保護し、WebSphere Application Server とネットワーク内の他のコンポーネントの間の通信の機密性と保全性を確保します。 暗号化は、Web サービス・アプリケーション用に特定のセキュリティーの制約が構成されている場合には、Web サービスによっても使用されます。

[AIX HP-UX Linux Solaris Windows] [z/OS] WebSphere Application Server は Software Development Kit (SDK) の Java Secure Sockets Extension (JSSE) および Java Cryptography Extension (JCE) ライブラリーを使用して、この暗号化を実行します。SDK は、強力で限定された管轄権ポリシー・ファイルを提供します。 制限されていないポリシー・ファイルは、最大の強度の暗号化を実行する機能を提供して、パフォーマンスを向上させます。

[AIX HP-UX Linux Solaris Windows] [z/OS] WebSphere Application Server では、強力ではあるが限定された管轄権ポリシー・ファイルを含む SDK 5 を提供しています。 制限されていないポリシー・ファイルは、Web サイト IBM developer kit: Security information からダウンロードできます。 以下のステップを実行し、新規ポリシー・ファイルをダウンロードして、インストールしてください。
  1. J2SE 5.0」をクリックします。
  2. ページをスクロールダウンしてから、「IBM SDK Policy files」をクリックします。

    SDK 5 Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。

  3. Sign in」をクリックして、IBM.com ID とパスワードを入力します。
  4. Unrestricted JCE Policy files for SDK 5」を選択して「継続」をクリックします。
  5. 使用許諾書を読み、「I Agree」をクリックして先へ進みます。
  6. Download Now」をクリックします。
  7. ZIP ファイルに圧縮された、制限されていない管轄権ポリシー・ファイルを解凍します。ZIP ファイルには、 US_export_policy.jar ファイルと local_policy.jar ファイルが含まれています。
  8. WebSphere Application Server のインストール・システムで、 $JAVA_HOME/jre/lib/security ディレクトリーへ進み、 ご使用の US_export_policy.jar および local_policy.jar ファイルをバックアップします。
  9. US_export_policy.jar および local_policy.jar フ ァイルを IBM.com Web サイトからダウンロードした 2 つのファイルと置き換えます。

プロシージャー

  1. WebSphere Application Server で管理セキュリティーを使用可能にします。

    詳しくは、セキュリティーの使用可能化 を参照してください。 「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」をクリックすることが重要です。 リストから使用可能なレルムの定義を選択し、次に、「Set as current」をクリックします。 構成をリポジトリーに保管します。作業を続行する前に、「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー 」パネルで「OK」をクリックすると実行される妥当性検査が正常に完了することを確認してください。 妥当性検査が正常に行われていないのに作業を続行すると、サーバーが始動しない恐れがあります。 検証が正常に完了するまで、セキュリティー設定を再構成してください。

  2. 管理コンソールを使用して、稼働中のすべてのノード・エージェントに、 新規構成のコピーを送信します。 ノード・エージェントが、セキュリティー対応の構成の取得に失敗すると、アクセスできないことが原因でデプロイメント・マネージャーとの通信が失敗します。ノード・エージェントはセキュリティーを使用可能にしません。 特定のノードの同期化を強制的に行うには、 管理コンソールから以下のステップを実行します。
    1. System administration」>「ノード」とクリックし、 すべてのノードの横にあるオプションを選択します。デプロイメント・マネージャー・ノードを選択する必要はありません。
    2. 完全な再同期」をクリックして、 ファイルの同期が行われていることを確認します。 「ノードは既に同期化されています」といったメッセージが表示される場合があります。 このメッセージが表示された場合は、問題ありません。同期化が開始したら、 すべてのノードに対して Synchronized 状況が表示されることを確認してください。
  3. デプロイメント・マネージャーを停止します。コマンド行またはサービスから、 デプロイメント・マネージャーを手動で再始動します。 デプロイメント・マネージャーを停止するには、「システム管理」>「デプロイメント・マネージャー」とクリックし、「停止」をクリックします。 このアクションによってユーザーは管理コンソールからログアウトし、デプロイメント・マネージャー・プロセスが停止します。
  4. デプロイメント・マネージャー・プロセスを再始動します。

    [AIX HP-UX Linux Solaris Windows] デプロイメント・マネージャー・プロセスを再始動するには、 app_server_root/bin ディレクトリーで、startManager.bat または startManager.sh を入力します。 デプロイメント・マネージャーの初期化が完了した後、管理コンソールに戻り、このタスクを完了します。 セキュリティーは、この時点ではデプロイメント・マネージャー内でしか使用可能になっていないことに注意してください。 シングル・サインオン (SSO) を使用可能にしている場合は、お客様の Web アドレスの完全修飾ドメイン・ネーム (例えば http://myhost.domain:port_number/ibm/console) を指定します。 ユーザー ID とパスワードを求めるプロンプトが示されたら、構成済みユーザー・レジストリーの管理者 ID として定義したユーザー ID とパスワードを入力してください。

    [z/OS] デプロイメント・マネージャー・プロセスを再始動するには、以下のコマンドを発行します。
    START dmgr_proc_name,JOBNAME=server_short_name,
    ENV=cell_short_name.node_short_name.server_short_name
    このコマンドは、1 行で入力する必要があります。説明のためにここでは分割して表示されます (z/OS MVS システム・コマンドの使用について詳しくは、以下の関連リンクを参照してください。) デプロイメント・マネージャーの初期化が完了したら、 管理コンソールに戻って、このタスクを完了します。 セキュリティーがデプロイメント・マネージャーでのみ使用可能であることを覚えておいてください。 シングル・サインオン (SSO) を使用可能にしている場合は、お客様の Web アドレスの完全修飾ドメイン・ネーム (例えば http://myhost.domain:port_number/ibm/console) を指定します。 ユーザー ID とパスワードを求めるプロンプトが示されたら、構成済みユーザー・レジストリーの管理者 ID として入力したユーザー ID とパスワードを入力してください。
  5. [i5/OS] デプロイメント・マネージャー・プロセスを再始動します。 デプロイメント・マネージャー・プロセスを再始動するには、Qshell 環境を開いて、app_server_root/bin ディレクトリーを見つけます。 app_server_root 変数は、 app_server_root/bin/ デフォルト・ディレクトリーを参照します。 Qshell コマンド行で startManager を入力します。

    デプロイメント・マネージャーの初期化が完了したら、 管理コンソールに戻って、このタスクを完了します。 セキュリティーは、この時点ではデプロイメント・マネージャー内でしか使用可能になっていないことに注意してください。 シングル・サインオン (SSO) を使用可能にしている場合は、お客様の Web アドレスの完全修飾ドメイン・ネーム (例えば http://myhost.domain:port_number/ibm/console) を指定します。 ユーザー ID とパスワードを求めるプロンプトが示されたら、構成済みユーザー・レジストリーの管理者 ID として定義したユーザー ID とパスワードを入力してください。

  6. セキュリティーを使用可能にした後もデプロイメント・マネージャーが始動しない場合は、 スクリプトを使用してセキュリティーを使用不可にしてから再始動してください。 DeploymentManager/bin ディレクトリーから以下のコマンドを実行して、セキュリティーを使用不可にします。
    ./wsadmin.sh -conntype NONE
    プロンプトが出されたら、securityoff と入力します。
  7. すべてのノード・エージェントを再始動して、セキュリティーを使用可能にします。 このステップを完了する前に、直前のステップでデプロイメント・マネージャーを再始動している必要があります。ノード・エージェントの セキュリティーが、デプロイメント・マネージャーのセキュリティーより先に使用可能になっていると、 デプロイメント・マネージャーは、そのノード・エージェントに状況を照会することもコマンドを指定することもできません。 すべてのノード・エージェントを停止するには、以下のステップを実行します。
    1. システム管理」>「ノード・エージェント」と移動し、 すべてのノード・エージェントの横にあるオプションを選択します。 「再始動」をクリックします。パネルの最上部に、 「The node agent on node NODE NAME was restarted successfully」のようなメッセージが表示されます。
    2. あるいは、アプリケーション・サーバーを事前に停止していなかった場合には、「システム管理」>「ノード・エージェント」とクリックし、 すべてのサーバーを再始動するノード・エージェントをクリックして、 指定のノード内のすべてのサーバーを再始動してください。 「ノード上のすべてのサーバーを再始動」をクリックします。 このアクションで、ノード・エージェントおよび始動済みのアプリケーション・サーバーが再始動します。
  8. いずれかのノード・エージェントが再始動に失敗した場合は、 構成の再同期を手動で実行します。 このステップでは、物理ノードへ移動し、クライアントの syncNode を実行します。 このクライアントは、デプロイメント・マネージャーにログインし、すべての構成ファイルをノード・エージェントに コピーします。 この操作により、構成のセキュリティーが確実に使用可能になります。 ノード・エージェントが始動しているのに、デプロイメント・マネージャーと通信していない場合は、 stopServer コマンドを実行して、ノード・エージェントを停止します。



サブトピック
管理、アプリケーション、およびインフラストラクチャー保護の設定
保護範囲指定ウィザードの設定
[z/OS] z/OS セキュリティー・オプション
セキュリティー・カスタム・プロパティー
セキュリティー・カスタム・プロパティー・コレクション
セキュリティー・カスタム・プロパティー設定
関連概念
サーバーおよび管理セキュリティー
Java 2 セキュリティー
関連タスク
レジストリーまたはリポジトリーの選択
Lightweight Third Party Authentication メカニズムの構成
セキュリティーの使用可能化
関連資料
Java 2 セキュリティー・ポリシー・ファイル
関連情報
[z/OS] z/OS MVS システム・コマンド (SA88-8593)
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/tsec_egs.html