WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化

管理、アプリケーション、およびインフラストラクチャー保護の設定

ご使用のアプリケーションのパフォーマンスに対して、 セキュリティーによる影響がある程度生じます。 パフォーマンスへの影響は、アプリケーション・ワークロードの特性により異なることがあります。 管理、アプリケーション、インフラストラクチャーのセキュリティーを、 グローバル・レベルで構成することにより、 ワークロードへのセキュリティーの影響を管理します。

この管理コンソール・ページを表示するには、「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」をクリックします。

[AIX HP-UX Linux Solaris Windows] [i5/OS] セキュリティーは、ご使用のアプリケーションに対してパフォーマンス上多少の影響を与えます。 パフォーマンスへの影響は、アプリケーション・ワークロードの特性により異なることがあります。 まず、ご使用のアプリケーションに対して必要なレベルのセキュリティーを使用可能にし、次にアプリケーションのパフォーマンスに与えるセキュリティーの影響を測定する必要があります。

セキュリティーを構成する際、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みるか、管理 ID (internalServerID を使用する場合) の妥当性検査を試みます。 管理セキュリティーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、初めてサーバーを再始動するときに問題を回避することができます。

「構成」タブ

セキュリティー構成ウィザード

基本管理およびアプリケーション・セキュリティー設定を構成できるウィザードを起動します。このプロセスは、許可ユーザーに対する管理用タスクおよびアプリケーションを制限します。

このウィザードを使用すると、アプリケーション・セキュリティー、リソースまたは Java 2 コネクター (J2C) セキュリティー、およびユーザー・レジストリーを構成できます。既存のレジストリーを構成し、管理セキュリティー、アプリケーション・セキュリティー、およびリソース・セキュリティーを使用可能にします。

セキュリティー構成ウィザードを使用して行った変更を適用する場合、管理セキュリティーは、デフォルトでオンになります。

セキュリティー構成報告書

アプリケーション・サーバーのコア・セキュリティー設定を表示するセキュリティー構成報告書を起動します。 この報告書は、管理ユーザーおよびグループ、および CORBA ネーミング役割も表示します。

報告書への現在の制限により、アプリケーション・レベルのセキュリティー情報は表示されません。 この報告書はまた、Java Message Service (JMS) セキュリティー、バス・セキュリティー、または Web Services セキュリティーに関する情報も表示しません。

管理セキュリティーを使用可能にする

このアプリケーション・サーバー・ドメインの管理セキュリティーを使用可能にするかどうかを指定します。 管理セキュリティーでは、アプリケーション・サーバーの管理制御を得る前に、ユーザーが認証される必要があります。

詳しくは、管理の役割に関するリンクを参照してください。

セキュリティーを使用可能にするときには、認証メカニズムの構成を設定し、 選択されたレジストリー構成で有効なユーザー ID とパスワード (または、internalServerID 機能を使用している場合は、有効な管理 ID) を指定してください。

注: 環境を管理する管理者を識別するユーザー ID (通常は管理 ID と呼ばれる) とサーバーとサーバーの間での通信に使用するサーバー ID は異なります。 内部サーバー ID 機能を使用する場合には、サーバー ID およびパスワードの入力は必要ありません。ただし、 オプションで、サーバー ID およびパスワードを指定することができます。サーバー ID およびパスワードを指定するには、以下のステップを実行します。
  1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックします。
  2. 「User accounts repository」の下で、リポジトリーを選択し、「構成」をクリックします。
  3. [AIX HP-UX Linux Solaris Windows] [i5/OS] 「Server user identity」セクションでサーバー ID およびパスワードを指定します。

[z/OS]Automatically generated server identity」オプションまたは「User identity for the z/OS started task」オプションを指定できます。

[z/OS] セキュリティー・ドメイン内でセキュリティーを使用可能にした後にサーバーが開始されないなどの問題が生じた場合には、そのセルのすべてのファイルをこのノードに再同期してください。 ファイルを再同期させるには、ノードから syncNode -username your_userid -password your_password というコマンドを実行してください。このコマンドによりデプロイメント・マネージャーに接続され、すべてのファイルが再同期されます。

[i5/OS] [z/OS] 管理セキュリティーを使用可能にしたあとにサーバーが再始動しなくなった場合は、セキュリティーを使用不可にできます。 app_server_root/bin ディレクトリーに 移動して、wsadmin -conntype NONE コマンドを実行します。 wsadmin> プロンプトで securityoff と入力し、次に exit と入力してコマンド・プロンプトに戻ります。 セキュリティーを使用不可にしてサーバーを再始動し、管理コンソールを介して誤っている設定を検査します。

[z/OS] ローカル OS ユーザー・レジストリー・ユーザー: アクティブ・ユーザー・レジストリーとして、「ローカル OS」を選択した場合、 ユーザー・レジストリー構成でパスワードを入力する必要はありません。

デフォルト: 使用可能
アプリケーション・セキュリティーを使用可能にする

ご使用の環境内のアプリケーションのセキュリティーを使用可能にします。 このタイプのセキュリティーは、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供します。

WebSphere Application Server の以前のリリースでは、ユーザーがグローバル・セキュリティーを使用可能にすると、 管理とアプリケーションの両方のセキュリティーが使用可能になりました。 WebSphere Application Server バージョン 6.1 では、 これまでのグローバル・セキュリティーの概念が管理セキュリティーとアプリケーション・セキュリティーに分割され、 そのそれぞれを別々に使用可能にすることができます。

この分割の結果、WebSphere Application Server クライアントは、 ターゲット・サーバーでアプリケーション・セキュリティーが使用不可になっているかどうかを認識する必要があります。 管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーを使用可能にするには、管理セキュリティーを使用可能にする必要があります。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。

デフォルト: 使用不可
Java 2 セキュリティーを使用してローカル・リソースへのアプリケーションのアクセスを制限する

Java 2 セキュリティーによる許可検査を使用可能にするのか、使用不可にするのかを指定します。 デフォルトでは、ローカル・リソースへのアクセスは制限されません。アプリケーション・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。

Use Java 2 security to restrict application access to local resources」オプションが使用可能になっていて、アプリケーションがデフォルト・ポリシーで付与されるよりも高い Java 2 セキュリティー許可を要求する場合、そのアプリケーションは、アプリケーションの app.policy ファイルまたは was.policy ファイル内で必要な許可が付与されるまで、正しく実行できない可能性があります。必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。 Java 2 セキュリティーについて詳しくは、関連リンクを参照してください。

デフォルト: 使用不可
アプリケーションがカスタム許可を認可されたときに警告する

アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 Java API 許可は、java.* および javax.* パッケージで定義されている許可です。

アプリケーション・サーバーは、ポリシー・ファイル管理をサポートします。この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。 filter.policy ファイルには、J2EE 1.4 仕様に従って、アプリケーションに与えたくない許可のリストが入っています。 アクセス権の詳細については、Java 2 セキュリティー・ポリシー・ファイルに関するリンクを参照してください。

重要:Use Java 2 security to restrict application access to local resources」オプションを使用可能にしない場合には、このオプションを使用可能にすることはできません。
デフォルト: 使用不可
リソース認証データへのアクセスを制限する

このオプションを使用可能にすると、 重要な Java Connector Architecture (JCA) マッピング認証データへのアプリケーションのアクセスが制限されます。

次の両方の条件が満たされる場合は、このオプションを使用可能にすることを検討してください。
  • Java 2 セキュリティーが実行される場合。
  • アプリケーション・エンタープライズ・アーカイブ (EAR) ファイル内にある was.policy ファイルで、アプリケーション・コードに accessRuntimeClasses WebSphereRuntimePermission 認可が付与されている場合。例えば、was.policy ファイルに次のような行があれば、 アプリケーション・コードにこの許可が付与されています。
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

リソース認証データへのアクセスを制限する」オプションによって、WSPrincipalMappingLoginModule インプリメンテーションのデフォルト・プリンシパル・マッピングに、きめ細かな Java 2 セキュリティー許可検査が追加されます。「Use Java 2 security to restrict application access to local resources」オプションと「リソース認証データへのアクセスを制限する」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接 WSPrincipalMappingLoginModule インプリメンテーションを使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的な許可を付与する必要があります。

デフォルト: 使用不可
現在のレルムの定義

アクティブ・ユーザー・リポジトリーの現在の設定を指定します。

このフィールドは読み取り専用です。

使用可能なレルムの定義

使用可能なユーザー・アカウントのリポジトリーを指定します。

現在値として設定 [AIX HP-UX Linux Solaris Windows] [z/OS]

ユーザー・リポジトリーが構成されたあとに、それを使用可能にします。

以下のユーザー・リポジトリーのうちの 1 つについて、設定を構成することができます。
統合リポジトリー
この設定を指定して、単一レルムの下の複数のリポジトリーでプロファイルを管理します。 レルムは、以下の場所にある ID で構成できます。
  • システムに組み込まれたファイル・ベースのリポジトリー
  • 1 つ以上の外部リポジトリー
  • 組み込みファイル・ベース・リポジトリーと 1 つ以上の外部リポジトリーの両方
注: 管理者特権を持つユーザーのみが統合リポジトリーの構成を表示できます。
ローカル・オペレーティング・システム

[z/OS] この設定は、構成済みの Resource Access Control Facility (RACF) あるいは Security Authorization Facility (SAF) 準拠のセキュリティー・サーバーを、アプリケーション・サーバー・ユーザー・レジストリーとして使用する場合に指定します。

[AIX HP-UX Linux Solaris Windows] [i5/OS] マルチノード、または UNIX プラットフォーム上で非ルートとして実行中の場合、ローカル OS を使用できません。

[AIX HP-UX Linux Solaris Windows] ローカル・オペレーティング・システム・レジストリーが有効なのは、ドメイン・コントローラーを使用している場合、または Network Deployment セルが単一マシン上にある場合に限られます。後者の場合、ローカル OS ユーザー・レジストリーを使用するこの構成が無効なので、 セル内の複数のノードを複数のマシンにわたって広げることはできません。

スタンドアロン LDAP レジストリー

この設定を指定して、ユーザーおよびグループが外部の LDAP ディレクトリーに常駐している場合に、スタンドアロン LDAP レジストリー設定を使用します。セキュリティーが使用可能になっており、これらのプロパティーのいずれかが変更された場合は、「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー 」パネルに移動して、「適用」または「OK」をクリックし、変更の妥当性検査を行います。

注: 複数の LDAP サーバーがサポートされているので、この設定は 1 つの LDAP レジストリーを意味するものではありません。
スタンドアロン・ カスタム・ レジストリー
この設定を指定して、com.ibm.websphere.security.UserRegistry インターフェースをインプリメントしたスタンドアロン・カスタム・レジストリー (standalone custom registry) をインプリメントします。セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルに進み、「適用」または「OK」をクリックして変更内容を有効にしてください。
デフォルト: 使用不可
ドメイン修飾ユーザー名を使用する

メソッドで戻されるユーザー名を、そのユーザー名が配置されているセキュリティー・ドメインで 修飾するように指定します。

[z/OS] このフィールドで、 ユーザー名のセキュリティー・ドメイン ID による修飾を使用可能にしたり使用不可にしたりします。

デフォルト: 使用不可
アクティブなプロトコル

セキュリティーが使用可能になっている場合の、Remote Method Invocation over the Internet Inter-ORB Protocol (RMI IIOP) 要求のためのアクティブな認証プロトコルを指定します。

Common Secure Interoperability Version 2 (CSIv2) と呼ばれるオブジェクト管理グループ (OMG) はさらなる ベンダー・インターオペラビリティーおよび追加機能をサポートします。セキュリティー・ドメインに含まれるすべてのサーバーがバージョン 5.x 以降のサーバーである場合、プロトコルとして CSI を指定します。

[AIX HP-UX Linux Solaris Windows] [i5/OS] [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] バージョン 3.x またはバージョン 4.x のサーバーが存在する場合には、「CSI および SAS」を指定してください。
重要: SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
[z/OS] [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] バージョン 4.x サーバーが存在する場合には、「CSI および zSAS」を指定してください。
重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
[この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] 注: このフィールドは、ご使用の環境でバージョン 6.0.x 以前のサーバーが検出された場合に表示されます。
デフォルト: BOTH
範囲: CSI および SAS、CSI
範囲: CSI および zSAS、CSI
カスタム・プロパティー [z/OS]

既存の構成の場合、変更する必要のあるプロファイルがいくつかあります。 プロファイルを変更するには、「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」>「カスタム・プロパティー」をクリックします。

"security.zOS.domainName" value="TESTSYS"
以下のドメイン関連のセキュリティーのカスタム・プロパティーを変更できます。
  • security.zOS.domainType プロパティーは、セキュリティー定義を修飾するためにセキュリティー・ドメイン を使用するかどうかを指定します。Application Server for z/OS では、値を none に指定できます。これは、Service Access Facility (SAF) セキュリティー定義がグローバル・シスプレックス有効範囲または cellQualified に属することを意味します。この値は、 アプリケーション・サーバーのランタイムが、security.zOS.domainName プロパティーに指定されているドメイン・ネームを使用して SAF セキュリティー定義を修飾することを示します。 プロパティーが定義されていない、または値が設定されていない場合は、none が想定されます。 例えば、"security.zOS.domainType" value="cellQualified" です。
  • security.zOS.domainName は、"security.zOS.domainType" value="cellQualified" の場合に指定されます。security.zOS.domainName の値は、 サーバーの許可に検査される SAF プロファイルを修飾するために 使用し、1 から 8 文字の長さの大文字ストリングでなければなりません。ここで値が指定され、cellQualified が選択されている場合、その名前は、APPL およびパスチケットの各プロファイルで使用するアプリケーション名の識別にも使用されます。security.zOS.domainName の値が指定されていない場合、 デフォルト値は CBS390 です。
この定義によって影響を受けるプロファイルは、以下のとおりです。
  • EJBROLE (SAF 許可の場合)
  • CBIND
  • APPL
カスタマイズ・ダイアログは、セキュリティー・ドメインが定義されている場合、カスタマイズ中に適切な SAF プロファイルをセットアップします。 domainNamedomainType の値を変更すると、 カスタマーは SAF プロファイル・セットアップで適切な変更を行う必要があり、 変更しない場合はランタイム・エラーが生じます。 セキュリティーの domainName に関する カスタマイズに必要な、特定のプロファイルの更新、 およびセキュリティー・ドメインの カスタマイズ・パネルについての詳細は、 インフォメーション・センターの「制御の制約」に 関するリンクを参照してください。

カスタム・プロパティー: デフォルト TSO セッション・タイプのオーバーライド

アプリケーションがエンタープライズ情報システム (EIS) に接続し、スレッド識別サポートを使用する場合があります。 スレッド識別サポートは、Application Server for z/OS の接続管理コンポーネントによって提供されます。 この状態では、現行のスレッド識別を基にしたセキュリティー・クレデンシャルによって、その接続に関連した ユーザーのセキュリティー情報がカプセル化されます。 デフォルトでは、ユーザーに関連したセッション・タイプは TSO です。 スレッド識別サポートを使用する Application Server for z/OS のユーザーがある場合は、そのユーザーを TSO ユーザーとして定義する必要があります。 ユーザーを TSO ユーザーとして定義したくない場合は、security.zOS.session.OMVSSRV カスタム・プロパティーを使用できます。このカスタム・プロパティーは、セキュリティー・クレデンシャルのユーザー ID のセッション・タイプを TSO から OMVSSRV に変更します。ただし、IMS など、ターゲット EIS での認証にこのユーザー情報を使用する場合は、 そのユーザーは許可済みの OMVSSRV ユーザーでなければなりません。 このカスタム・プロパティーを指定するには、以下のステップを実行します。
  1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」>「カスタム・プロパティー」をクリックします。
  2. 新規」をクリックします。
  3. 「名前」フィールドに、security.zOS.session.OMVSSRV と入力します。
    重要: このカスタム・プロパティーでは、大/小文字を区別します。
  4. 「値」フィールドに true と入力します。
  5. 適用」と「保管」をクリックします。



関連概念
Java 2 セキュリティー
関連タスク
特定のアプリケーション・サーバーの保護
セキュリティーの使用可能化
[AIX HP-UX Linux Solaris Windows] [i5/OS] 連邦情報処理標準 (FIPS) Java セキュア・ソケット拡張機能ファイルの構成
関連資料
認証メカニズムおよび有効期限
ローカル・オペレーティング・システムの設定
スタンドアロン LDAP レジストリー設定
[z/OS] 制御の要約
スタンドアロン・カスタム・レジストリー設定
管理の役割
[i5/OS] [z/OS] [AIX HP-UX Linux Solaris Windows] ディレクトリー規則
Java 2 セキュリティー・ポリシー・ファイル
[z/OS] 制御の要約
関連情報
[AIX HP-UX Linux Solaris Windows] [i5/OS] Cryptographic Module Validation Program FIPS 140-1 and FIPS 140-2 Pre-validation List
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/usec_secureadminappinfra.html