これらのステップを使用して、ローカル・オペレーティング・システムのレジストリーを構成します。
始める前に
ローカル・オペレーティング・システム・ユーザー・レジストリーの使用について、詳しくはローカル・オペレーティング・システムのレジストリー
を参照してください。インストール済みの状態では、WebSphere Application Server の
セキュリティーは使用不可となっています。以下のステップにより、WebSphere Application Server がインストールされている
ローカル・オペレーティング・システムのユーザー・レジストリーを基にして、セキュリティーをセットアップすることができます。
セキュリティーのために、WebSphere Application Server は、
Windows オペレーティング・システム・レジストリー、AIX、Solaris、および複数のバージョンの Linux オペレーティング・システムのインプリメンテーションを提供し、サポートしています。
それぞれのオペレーティング・システム・アプリケーション・プログラミング・インターフェース (API) は、
製品プロセス (サーバー) で呼び出されて、ユーザーおよびその他のセキュリティー関連タスク (例えばユーザーまたはグループ情報の取得など) の認証を行います。
これらの API にアクセスできるのは、特権のあるユーザーに限られています。
これらの特権は、以下で説明するように、オペレーティング・システムによって異なります。
WebSphere Application Server バージョン 6.1 では、
Security WebSphere Common Configuration Model (WCCM) モデルが新しいタグ (internalServerId) を含むので、
内部生成のサーバー ID を使用できます。
混在しているセル環境以外では、セキュリティー設定中にサーバーのユーザー ID およびパスワードを指定する必要はありません。
新しい内部サーバー ID の詳細については、管理役割およびネーミング・サービスの許可
を参照してください。
ローカル・オペレーティング・システム・レジストリーが選択されている場合、開始済みタスク ID がサーバー ID として選択されます。サーバーを構成するためにユーザー ID および
パスワードは必要ありません。
重要: 各開始済みタスク、例えば、コントローラー、サーバント、またはノード・エージェントなどは、
別の ID を持つ場合があります。z/OS のカスタマイズ・ダイアログによりこれらの ID がセットアップされます。
詳しくは、z/OS カスタマイズ・ダイアログを参照してください。
![[AIX HP-UX Linux Solaris Windows]](../../dist.gif)
以下の問題を考慮してください。
- サーバー ID は、製品のインストール先である Windows マシンの名前とは異なる名前にする必要があります。
例えば、Windows マシン名が vicky であり、セキュリティー・サーバー ID も vicky である場合、
Windows システムは、ユーザー vicky の情報 (グループ情報など) を取得する際に障害が起こります。
- WebSphere Application Server は、そのマシンが Windows システム・ドメインのメンバーであるかどうかを動的に判別します。
- WebSphere Application Server は、Windows のトラステッド・ドメインをサポートしません。
- マシンが Windows ドメインのメンバーであれば、
ドメイン・ユーザー・レジストリーとそのマシンのローカル・ユーザー・レジストリーの両方が、認証およびセキュリティー役割のマッピングに使用されます。
- 同じパスワードを持つユーザーが両方のユーザー・レジストリーに存在すると、ドメイン・ユーザー・レジストリーがマシンのローカル・ユーザー・レジストリーよりも優先されるため、ドメイン・ユーザー・レジストリーに望ましくない影響が及ぶ場合があります。
- 製品プロセスの実行に使用されるユーザーには、ユーザーおよびグループ情報の認証または収集を行う Windows オペレーティング・システム API を呼び出す、管理特権とオペレーティング・システムの一部としてアクションを行う特権が必要です。
このプロセスには特殊権限が必要で、その権限はこれらの特権によって与えられます。
この例でのユーザーは、セキュリティー・サーバー ID と同じではない可能性があります (セキュリティー・サーバー ID の要件は、レジストリー内で有効なユーザーであるということです)。
このユーザーは、マシンにログインする (コマンド行を使用して製品プロセスを始動する場合) か、サービス・パネルの「ログオン・ユーザー」設定 (サービスを使用して製品プロセスを始動した場合) にログインします。
マシンがドメインの一部でもある場合は、このユーザーは、ドメイン内のオペレーティング・システム API を呼び出すドメイン管理グループの一部であり、さらに、ローカル・マシン内でオペレーティング・システムの一部としてアクションを行う特権を持っています。
このタスクについて
WebSphere Application Server のユーザー・レジストリーをセットアップする場合には、
System Authorization Facility (SAF) がユーザー・レジストリーとの組み合わせで作動して、アプリケーションがサーバー上で
稼働するのを許可します。SAF の機能の詳細については System Authorization Facility のユーザー・レジストリー
を参照してください。
ローカル OS ユーザー・レジストリーおよび SAF 構成に関連する追加プロパティーを構成するには、以下のステップを実行します。
重要: z/OS プラットフォーム
および非 z/OS プラットフォームの両方のノードが含まれた混合セル環境がある場合、
ローカル・オペレーティング・システムには有効なユーザー・アカウント・リポジトリーが
ありません。
セキュリティーを初めてセットアップした場合は、最初にこのタスクを実行するのに、以下のステップが必要です。
プロシージャー
- 「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
- 「ユーザー・アカウント・リポジトリー」の下で、「ローカル・オペレーティング・システム」を選択し、「構成 」をクリックします。
- 「Primary administrative user name」フィールドに、有効なユーザー名を入力します。 この値は、レジストリーで定義された管理特権があるユーザーの名前です。
このユーザー名は、管理コンソールにアクセスする場合、または wsadmin により使用されます。
オプション:
デフォルトの許可を使用する際に WebSphere Application Server が大/小文字を区別しないで許可の検査を行えるようにする場合は、
「許可検査で大/小文字を区別しない」オプションを選択します。
- 「適用」をクリックします。
- 「Automatically generated server identity」または「Server identity that is stored in the repository」のいずれかのオプションを選択します。
「Server identity that is stored in the repository」オプションを選択した場合は、以下の情報を入力します。
- バージョン 6.0.x ノードのサーバー・ユーザー ID または管理ユーザー。
- ステップ 2 で選択したアカウントのショート・ネームを指定します。
- サーバー・ユーザー・パスワード
- ステップ 2 で選択したアカウントのパスワードを指定します。
「基本管理ユーザー名」フィールドに、有効なユーザー・プロファイル名を入力します。
「Primary administrative user name」は、
サーバーが基盤となるオペレーティング・システムに対して認証を行う際に使用するユーザー・プロファイルを指定します。
この ID は、管理コンソールを使用して管理アプリケーションにアクセスする初期権限を持つユーザーでもあります。
管理ユーザー ID はすべてのユーザー・レジストリーに共通です。
管理 ID は選択されたレジストリーの 1 メンバーであり、WebSphere Application Server で特別な権限を持っています。
しかし、それが表すレジストリーの中では、特別な権限を持ちません。
つまり、管理ユーザー ID またはサーバー・ユーザー ID として使用するレジストリーの中では、
有効な任意のユーザー ID を選択することができます。
「
基本管理ユーザー名」フィールドでは、
次の基準を満たす任意のユーザー・プロファイルを指定できます。
オプション:
SAF の許可を使用可能に設定して構成します。
- 「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」>「External authorization provider」とクリックします。
- 「System Authorization Facility (SAF) authorization」オプションを選択し、許可プロバイダーとして SAF を使用可能に設定します。
- 「関連項目」で「z/OS SAF authorization」をクリックし、SAF 許可を構成します。
SAF 許可の説明を確認するには、z/OS System Authorization Facility 許可
を参照してください。
- 「OK」をクリックします。
「OK」をクリックした場合は、管理コンソールはユーザー ID とパスワードを検証しません。
検証が行われるのは、
「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルで「OK」または「適用」をクリックしたときに限られます。
はじめに、「Local operating
system」を「ユーザー・アカウント・リポジトリー」セクションの使用可能なレルム定義として選択したことを確認し、
「Set as current」をクリックします。
セキュリティーが既に使用可能になっていて、このパネルでユーザー情報またはパスワード情報のいずれかを変更した場合は、
その変更を有効にするために、必ず「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルに戻って、
「OK」または「適用」をクリックしてください。
変更が有効になっていないと、サーバーは始動しません。
重要: 他のユーザーに管理機能の実行を許可するまでは、
あなただけが指定したサーバー・ユーザー ID とパスワードを使って管理コンソールにアクセスすることができます。詳しくは
、
管理の役割へのアクセスの許可
を参照してください。
結果
このパネルでの変更を有効にするには、デプロイメント・マネージャー、
ノード、およびアプリケーション・サーバーなどの製品のすべてのサーバーを保管し、停止してから始動する必要があります。サーバーが問題なく始動したら、セットアップは正しく行われたことになります。
これらのステップを実行すると、ローカル・オペレーティング・システム・レジストリーを使用して
許可ユーザーを識別する WebSphere Application Server を構成したことになります。
次の作業
セキュリティーを使用可能にするための残りのステップを完了します。
詳しくは、セキュリティーの使用可能化
を参照してください。