WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

Common Secure Interoperability バージョン 2 アウトバウンド認証設定

このページを使用して、サーバーが、別のダウンストリーム・サーバーに対してクライアントとして動作するときに サポートする機能を指定します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックします。
  2. 「認証」の下の「RMI/IIOP security」>「CSIv2 アウトバウンド認証」をクリックします。
この管理コンソール・ページは、以下のステップを完了しても表示できます。
  1. サーバー」>「アプリケーション・サーバー」>「サーバー名 (server_name)」とクリックします。
  2. 「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。
  3. CSIv2 アウトバウンド認証」をクリックします。
認証フィーチャーには、以下の層の認証が含まれていて、 これらは同時に使用することができます。
トランスポート層
トランスポート層 (一番下の層) には、識別情報として Secure Sockets Layer (SSL) クライアント 証明書を含む場合があります。
属性層
属性層には、アップストリーム・サーバーからの識別情報で、既に認証済みの識別トークンが含まれている 場合があります。 優先順位は属性層が最も高く、次にメッセージ層、トランスポート層の順になります。 このサーバーが 3 層すべて (属性層、メッセージ層、およびトランスポート層) を送信する場合、ダウンストリーム・サーバーが使用するのは属性層のみです。 SSL クライアント証明書は、それがアウトバウンド要求中に提示された唯一の情報である場合にのみ、 識別情報として使用されます。

「構成」タブ

クライアント証明書認証

サーバーとダウンストリーム・サーバー間で SSL 接続を行う場合に、ダウンストリーム・サーバーがクライアント証明書認証をサポートするとき、このサーバーに対する認証を、構成されている鍵ストアにあるクライアント証明書を使用して行うかどうかを指定します。

通常、クライアント証明書認証はメッセージ層認証よりもパフォーマンスの面で優れていますが、 追加のセットアップをいくつか行う必要があります。この追加ステップには、このサーバーが個人証明書を保有すること、およびダウンストリーム・サーバーがこのサーバーの署名者証明書を保有することについての検証も含まれます。

「クライアント証明書認証」を選択すると、以下のオプションが選択可能になります。
常になし
このオプションを選択すると、このサーバーは、 ダウンストリーム・サーバーとの Secure Sockets Layer (SSL) クライアント証明書認証を試行しません。
サポートされる
このオプションを選択すると、このサーバーでは、 SSL クライアント証明書を使用して、ダウンストリーム・サーバーの認証を行うことができます。ただし、 このような認証なしでメソッドを呼び出すこともできます。例えば、サーバーでは、 代わりに匿名の認証や基本認証を使用することができます。
必須
このオプションを選択すると、このサーバーでは、 SSL クライアント証明書を使用して、ダウンストリーム・サーバーの認証を行う必要があります。
ID アサーション

ダウンストリーム・エンタープライズ Bean の起動中に、 サーバーから別のサーバーへの ID アサーションを行うかどうかを指定します。

表明されたこの ID は、クライアント ID です。表明する ID タイプが複数ある場合、 ID は、クライアント証明書、識別名 (DN)、System Authorization Facility (SAF) ユーザー ID の順番で表明されます。受信サーバーは、空のクライアント認証トークンとともに、識別トークン内に ID を受信します。 サーバーの Secure Sockets Layer (SSL) 証明書は、受信サーバーに対してサーバー ID としての役割をします。

サーバー・トラステッド ID の使用
アプリケーション・サーバーがターゲット・サーバーとのトラストの確立に使用するサーバー ID を指定します。サーバー ID は、次のメソッドのいずれかを使用して送信できます。
  • レジストリー構成でサーバー・パスワードが指定されている場合、サーバー ID およびパスワード。
  • 内部サーバー ID が使用されている場合、Lightweight Third Party Authentication (LTPA) トークン内のサーバー ID。
WebSphere Application Server 以外の アプリケーション・サーバーとの インターオペラビリティーを実現するには、 以下のいずれかの方法で行ってください。
  • レジストリー内でサーバー ID およびパスワードを構成します。
  • Specify an alternative trusted identity」オプションを選択し、LTPA トークンではなく、 相互運用が可能な Generic Security Services Username Password (GSSUP) トークンが送信されるように、 トラステッド ID およびパスワードを指定します。
代替的トラステッド ID の指定

サーバー ID を送信する代わりにターゲット・サーバーに送信されるトラステッド ID として、代替ユーザーを指定します。 ID アサーションには、このオプションが推奨されます。 ID は、同じセル内で送信されて同じセル内のトラステッド ID リストに入れる必要がない場合には、自動的に信頼されます。ただし、この ID は 外部セルのターゲット・サーバーのレジストリーに入っている必要があり、 ユーザー ID はトラステッド ID リストに入っている必要があります。 そのようになっていない場合、ID はトラスト評価中に拒否されます。

Trusted identity
送信サーバーから受信サーバーへ送信されるトラステッド ID を指定します。

このフィールドで ID を指定すると、 構成済みユーザー・アカウント・リポジトリーのパネルで選択できます。ID を指定しない場合、 サーバー間で Lightweight Third Party Authentication (LTPA) トークンが送信されます。

パスワード
トラステッド ID に関連付けられているパスワードを指定します。
確認パスワード
トラステッド ID に関連付けられているパスワードを確認します。
ステートフル・セッション

認証中にセキュリティー情報を再利用するかどうかを指定します。 このオプションは、通常パフォーマンスを高めるために使用されます。

z/OS システムでは、このオプションは無視されます。送信サーバーは、 受信サーバーがこのオプションをサポートしていれば、ステートフル・セッションを 優先して使用します。

ログイン構成

アウトバウンド認証に使用されるシステム・ログイン構成のタイプを指定します。

カスタム・ログイン・モジュールは 、以下のステップを実行することによって、このログイン・モジュールの前または後に追加することができます。
  1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックします。
  2. 「認証」の下の、「Java Authentication and Authorization Service」>「システム・ログイン」>「新規」をクリックします。
カスタム・アウトバウンド・マッピング

カスタム Remote Method Invocation (RMI) アウトバウンド・ログイン・モジュールを使用可能にします。

カスタム・ログイン・モジュールは、事前定義された RMI アウトバウンド呼び出しの前に、 他の関数をマップまたは実行します。

カスタム・アウトバウンド・マッピングを宣言するには、以下のステップを実行します。
  1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックします。
  2. 「認証」の下の、「Java Authentication and Authorization Service」>「システム・ログイン」>「新規」をクリックします。
セキュリティー属性の伝搬

アプリケーション・サーバーを使用可能にし、Remote Method Invocation (RMI) プロトコルを使用して、サブジェクトおよびセキュリティー・コンテンツ・トークンを 他のアプリケーション・サーバーに伝搬します。

認証メカニズムとして、Lightweight Third Party Authentication (LTPA) を使用している ことを確認します。セキュリティー属性の伝搬フィーチャーを使用可能にする場合、サポートされる 認証メカニズムは LTPA だけです。LTPA を構成するには、以下のステップを実行します。
  1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックします。
  2. 「認証」の下で「認証メカニズムおよび有効期限」をクリックします。
デフォルトでは、「セキュリティー属性の伝搬」オプションは使用可能であり、 アウトバウンド・ログイン構成が呼び出されます。このオプションをクリアすると、アプリケーション・サーバーは、 ダウンストリーム・サーバーに追加ログイン情報を伝搬しません。「認証メカニズムおよび有効期限」パネルで「Use SWAM-no authenticated communication between servers」オプションを選択すると、セキュリティー属性の伝搬機能はサポートされません。
注: SWAM は、アプリケーション・サーバー バージョン 6.1 では推奨されておらず、将来のリリースでは除去される予定です。
トラステッド・ターゲット・レルム

現行のレルムとは異なる、 トラステッド・ターゲット・レルムのリスト (パイプ文字 (|) で区切ったもの) を指定します。

WebSphere Application Server バージョン 5.1.1 に先立って、現行のレルムがターゲット・レルムと一致しない場合、認証要求は他のアプリケーション・サーバーにアウトバウンド送信されません。




関連タスク
Common Secure Interoperability バージョン 2 アウトバウンド認証の構成
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/usec_outbound.html