ローカル・オペレーティング・システムのレジストリー実装により、 WebSphere Application Server の認証メカニズムは、 ローカル・オペレーティング・システムのユーザー・アカウント・データベースを使用できます。
ローカル・オペレーティング・システムのレジストリーを使用して、
WebSphere Application Server リソースにアクセスするプリンシパルを示す場合、
特別なユーザー・レジストリー・セットアップ・ステップを完了する必要はありません。
ローカル・オペレーティング・システムのレジストリーは、
WebSphere Application Server リソースにアクセスするユーザーの認証および許可に使用されますが、
オペレーティング・システムのリソースにアクセスする WebSphere Application Server ユーザーに対しては使用されません。
WebSphere Application
Server は、Application Server ユーザーのオペレーティング・システム・ユーザー・プロファイルの下では稼働しません。
その代わりに、WebSphere Application Server は、Application Server 管理者が構成するオペレーティング・システム・プロファイルの下で稼働します。
WebSphere Application
Server リソースのユーザーを許可する場合、そのユーザーのユーザー・プロファイルはオペレーティング・システムに
存在していなければなりません。Create User Profile (CRTUSRPRF) コマンドを使用して、
WebSphere Application Server が使用できる、新規ユーザー ID を作成します。
Lightweight Directory Access Protocol (LDAP) は、
集中レジストリーです。
ほとんどのローカル・オペレーティング・システムのレジストリーは、集中レジストリーではありません。
WebSphere Application Server は、
Windows のローカル・アカウント・レジストリーおよびドメイン・レジストリーのインプリメンテーションも、
Linux、Solaris、および AIX のユーザー・アカウント・レジストリーのインプリメンテーションに加えて提供しています。
Windows Active Directory は、
後述する LDAP ユーザー・レジストリーの実装によってサポートされます。
アプリケーション・サーバーが複数のマシン間で分散している WebSphere Application Server 環境では、
各マシンが独自のユーザー・レジストリーを持つため、
ローカル・オペレーティング・システムのレジストリーを使用しないでください。
Windows ドメイン・レジストリーおよび Network Information Services (NIS) は除外されます。
Windows ドメイン・レジストリーと Network Information Services (NIS) は、ともに集中レジストリーです。
Windows ドメイン・レジストリーは WebSphere Application Server によってサポートされていますが、
NIS はサポートされていません。
前述したように、
ユーザー・レジストリーから取り出したアクセス ID が、許可検査時に使用されます。これらの ID は、通常、固有の ID であるため、
まったく同じユーザーとパスワードが各マシン上に存在しても、マシンごとに異なります。
ローカル・オペレーティング・システム・ユーザー・レジストリーを使用している場合、
Web クライアント証明書認証は現在サポートされていません。
ただし、Java クライアント証明書認証は、
ローカル・オペレーティング・システム・ユーザー・レジストリーを使用して機能します。
Java クライアント証明書認証は、
証明書のドメイン・ネームの 1 番目の属性をユーザー・レジストリーのユーザー ID にマップします。
CWSCJ0337E: mapCertificate メソッドはサポートされていません
このエラーは、Web クライアント証明書に対するものですが、Java クライアント証明書の場合にも表示されます。 Java クライアント証明書の場合は、このエラーを無視してください。 ローカル・オペレーティング・システムのレジストリーは、
シスプレックス内の集中レジストリーです。
WebSphere Application Server は、System
Authorization Facility (SAF) インターフェースを使用します。SAF インターフェースは MVS によって定義されており、
アプリケーションがシステム許可サービスまたはレジストリーを使用して、
データ・セットおよび MVS コマンドなどのリソースへのアクセスを制御できるようになっています。
SAF により、
セキュリティー許可要求を、Resource Access Control Facility (RACF) またはサード・パーティーの
z/OS セキュリティー・プロバイダーを介して直接処理することができます。
ローカル・オペレーティング・システムがユーザー・レジストリーとして選択されている場合以外は、
ユーザー・レジストリー ID から SAF ユーザー ID へのマッピングを提供する必要があります。
詳しくは、カスタム System Authorization Facility マッピング・モジュール
を参照してください。
ローカル・オペレーティング・システム・ユーザー・レジストリーを
使用している場合、Web クライアント証明書認証はサポートされていません。ローカル OS を選択する場合、
Web および Java クライアントの両方によって、デジタル証明書を MVS ID にマップすることができます。
証明書名フィルターを使用して、マッピングを単純化することができます。RACF をセキュリティー・サーバーとして使用している場合、
RACDCERT MAP コマンドにより、
複数のユーザー ID をデジタル証明書にマップするリソース・プロファイルが作成され、
証明書管理の単純化、RACF データベースでのストレージ・スペースの節約、
責任能力の維持、またはアクセス制御細分性の維持が行われます。
WebSphere Application Server プロセスを実行するユーザーは、 Windows オペレーティング・システムからユーザーおよびグループ情報を認証したり、取得したりするために、 Windows システムのアプリケーション・プログラミング・インターフェース (API) を呼び出すことができる十分なオペレーティング・システム特権を持っている必要があります。 このユーザーがマシンにログインするか、 またはサービスとして稼働中の場合は、「Log On As」ユーザーがログオンします。 マシンによって、およびマシンがスタンドアロン・マシンであるか、 ドメインの一部またはドメイン・コントローラーとなっているマシンであるかによって、 アクセス要件は異なります。
ユーザーは、ドメイン・ユーザーであり、ローカル・ユーザーではありません。 これは、マシンがドメインの一部であるときに、 ドメイン・ユーザーしかサーバーを開始できないことを意味しています。
WebSphere Application Server の始動時に、セキュリティー・ランタイム初期化プロセスは、 ローカル・マシンが Windows ドメインのメンバーであるかどうかを動的に判別します。 マシンがドメインの一部である場合は、優先するドメイン・レジストリーの認証および許可を目的として、 デフォルトで、ローカル・レジストリー・ユーザーまたはグループならびにドメイン・レジストリー・ユーザーまたはグループの両方を使用できます。 セキュリティー役割マッピング中に示されたユーザーおよびグループのリストには、 ローカル・ユーザー・レジストリーおよびドメイン・ユーザー・レジストリーの両方からのユーザーおよびグループが含まれています。 ユーザーとグループは、関連付けられたホスト名により区別できます。
WebSphere Application Server は、 トラステッド・ドメインをサポートしていません。
マシンが Windows システム・ドメインのメンバーでない場合は、 そのマシンのローカルなユーザー・レジストリーが使用されます。
通常、 ローカル・レジストリーおよびドメイン・レジストリーに共通のユーザーまたはグループが含まれていない場合は、 管理が簡単になり、好ましくない副次作用の発生を避けられます。 可能であれば、ユーザーおよびグループには、サーバー ID や管理役割などの、 固有のセキュリティー役割へのアクセスを提供してください。 この状況では、 ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーのいずれかから、 ユーザーおよびグループを選択し、役割へのマッピングを行ないます。
同じユーザーまたはグループがローカル・ユーザー・レジストリーとドメイン・ユーザー・レジストリーの両方に存在する場合、 少なくとも、サーバー ID、および管理役割へマップされるユーザーおよびグループが、 レジストリー内で固有であり、ドメイン上にのみ存在することが推奨されます。
ユーザーの共通セットが存在する場合は、 該当するユーザーが確実に認証を受けられるように異なるパスワードを設定してください。
マシンがドメインに含まれる場合、 ローカル・ユーザー・レジストリーよりもドメイン・ユーザー・レジストリーが優先します。 例えば、ユーザーがシステムにログインする場合、 まずドメイン・ユーザー・レジストリーがユーザーを認証しようとします。 認証が失敗すると、ローカル・ユーザー・レジストリーが使用されます。 ユーザーまたはグループが役割にマップされる際に、 ユーザーおよびグループの情報は、まずドメイン・ユーザー・レジストリーから取得されます。 これが失敗すると、ローカル・ユーザー・レジストリーから情報を取得しようとします。
同じパスワードを持つユーザーが、 ドメイン・ユーザー・レジストリーおよびローカル・ユーザー・レジストリーの両方に存在する場合、 ドメイン・ユーザー・レジストリーを最初に許可すると、問題が発生する可能性があります。 ユーザーは最初にドメイン・ユーザー・レジストリー内で認証されるため、この状態では役割ベースの許可が失敗する可能性があります。 この認証によって、WebSphere Application Server で使用される固有のドメイン・セキュリティー ID が許可検査中に生成されます。 しかし、役割の割り当てには、ローカル・ユーザー・レジストリーが使用されます。 ドメイン・セキュリティー ID は、役割に関連付けられた固有のセキュリティー ID とは一致しません。 この問題を避けるためには、セキュリティー役割をローカル・ユーザーではなく、ドメイン・ユーザーにマップしてください。
複数のノードが関係している場合は、 集中リポジトリーのみを使用できます。 この使用法は、ドメイン・ユーザー・レジストリーのみが使用できることを意味します。 これは前述のように、ノードによって、ユーザーおよびグループの固有 ID (SID) が異なるためです。
. ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーの両方ではなく、 そのいずれかからユーザーおよびグループにアクセスする場合は、com.ibm.websphere.registry.UseRegistry プロパティーを設定します。 このプロパティーは、local または domain のいずれかに設定できます。 このプロパティーが local (大/小文字は区別しません) に設定されている場合は、ローカル・ユーザー・レジストリー のみが使用されます。このプロパティーが domain (大/小文字は区別しません) に設定されている場合は、 ドメイン・ユーザー・レジストリーのみが使用されます。
WebSphere Application Server ローカル・オペレーティング・システムのレジストリーが Linux および Solaris プラットフォーム上で実行する場合には、シャドー・パスワード・ファイルが必要です。 シャドー・パスワード・ファイルは shadow という名前で、 /etc ディレクトリーにあります。シャドー・パスワード・ファイルが存在しない場合には、 管理セキュリティーを使用可能にして、ローカル・オペレーティング・システムとしてレジストリーを構成した後に、エラーが発生します。
シャドー・ファイルを作成するには、 pwconv コマンドを (パラメーターなしで) 実行してください。 このコマンドにより、/etc/passwd ファイルから /etc/shadow ファイルが作成されます。 シャドー・ファイルの作成後は、 ローカル・オペレーティング・システム・セキュリティーを正常に使用可能にできます。