初期セル・カスタマイズ中に管理セキュリティーを使用可能にする
オプションがあるインストール時には、この手順は
「すぐに使用可能なセキュリティー」と呼ばれます。これは、セキュリティーが有効になっていない場合に
発生する可能性がある無許可の変更からセルを保護します。
新規スタンドアロン・アプリケーション・サーバーまたは Network Deployment セルが作成される場合、
WebSphere Application Server for z/OS バージョン 6.1 には初期セキュリティーの選択項目が 3 つあります。
- z/OS セキュリティー製品を使用してユーザー ID および許可ポリシーを管理
- WebSphere Application Server を使用してユーザー ID および許可ポリシーを管理
- セキュリティーを有効にしない
この項では、3 つの初期セキュリティー・オプションおよびそれぞれの構成の影響について
説明します。
WebSphere Application Server for z/OS では、オペレーティング・システム・セキュリティーを提供するために、
常に SAF 準拠のセキュリティー・システムを必要とします。
以下は、選択するセキュリティー・オプションに関係なく行われます。
- WebSphere Application Server 開始タスクの SAF ユーザー ID は常にカスタマイズ中に作成されます。
- SAF グループは、構成、サーバント、およびローカル・ユーザー・グループ用に作成され、
カスタマイズ中に作成され、必要な許可が付与されます。
- SAF SERVER プロファイルは、コントローラー領域へのサーバント・アクセスを制御するために使用されます。
- カスタマイズ中にデーモン SSL が選択される場合、デーモンの鍵リングおよびデジタル証明書
が SAF に作成されます。
注: 各初期セキュリティー構成は基本的なものであり、カスタマイズ中にいくつかの選択が必要です。
構成が完了した後、セルのセキュリティー・ポリシーをエンタープライズのニーズに一致させる
には、通常、追加の作業が必要です。
詳しくは、インフォメーション・センターのセキュリティー・セクションを参照してください。
オプション 1: z/OS セキュリティー製品を使用してユーザー ID および許可ポリシーを
管理
このオプションがカスタマイズ中に選択されている場合は、以下のようになります。
- WebSphere Application Server の各ユーザーおよびグループ ID は、
z/OS システムの SAF 準拠のセキュリティー・システム (IBM の
RACF、または同等の製品) 内のユーザー ID またはグループに対応しています。
- WebSphere Application Server 役割へのアクセスは、SAF EJBROLE プロファイルを使用して制御されます。
- SSL 通信のデジタル証明書は、z/OS セキュリティー製品に保管されます。
z/OS システムのセキュリティー製品は常に、WebSphere
Application Server for z/OS の開始タスク ID、およびロケーション・サービス・デーモンの
デジタル証明書 (デーモン SSL が選択される場合) を制御するために使用されます。ただし、
このセキュリティー・オプションが選択されている場合、WebSphere Application Server のすべての管理者
および管理グループも SAF に定義されなければなりません。後に、アプリケーション・セキュリティーが
有効になった場合、SAF セキュリティー・データベースはそれらのユーザー ID も同様に保持します。
このオプションは、サーバーまたはセルが完全に z/OS システム上に常駐し、
ユーザー・レジストリーとして SAF を持つ場合に適しています。LDAP やカスタム・ユーザー・レジストリーの実装を計画しており、
WebSphere Application Server ID を SAF ID にマップして許可に EJBROLE プロファイルを使用する予定のお客様は、
初期 SAF EJBROLE セットアップが実行されるように、このオプションも選択する必要があります。
このオプションがカスタマイズ中に選択されている場合、以下の SAF ユーザー ID が作成されます。
- 管理者ユーザー ID
- 認証されていない WebSphere Application Server ID を表す「無許可ユーザー」ID
管理役割 (管理者、構成、デプロイヤー、モニター、およびオペレーター) の SAF EJBROLE プロファイルが
作成され、管理ユーザー ID に管理役割が付与されます。
SAF CBIND プロファイルが作成され、構成グループに付与されます。
デジタル証明書が、各サーバー・コントローラー (デプロイメント・マネージャーまたはアプリケーション・サーバー・コントローラー) の SAF セキュリティー・システムに作成されます。
デジタル鍵リングは、
管理者、コントローラー、コントローラー領域付加属性、およびサーバー・ユーザーの SAF セキュリティー・システム
で作成され、これらの鍵リングに適切な証明書が付加されます。
セキュリティー・ドメイン名は、このオプションが選択されているときに
指定される場合があります。セキュリティー・ドメイン名は、許可検査に使用
される APPL、CBIND および EJBROLE プロファイル名の一部になります。
オプション 2: WebSphere Application Server を使用してユーザー ID および
許可ポリシーを管理
このオプションがカスタマイズ中に選択されている場合は、以下のようになります。
- WebSphere Application Server の各ユーザーおよびグループ ID は、
WebSphere Application Server ユーザー・レジストリーのエントリーに対応しています。
初期ユーザー・レジストリーは単純なファイル・ベースのユーザー・レジストリーで、
カスタマイズ中に作成され、構成ファイル・システムに常駐します。
- WebSphere Application Server 役割へのアクセスは、WebSphere
Application Server 役割バインディングを使用して制御されます。特に、管理役割は
管理コンソールの「Console users and groups」設定を使用して制御されます。
- SSL 通信のデジタル証明書は、構成ファイル・システムに保管されます。
z/OS システムのセキュリティー製品は常に、WebSphere
Application Server for z/OS の開始タスク ID、およびロケーション・サービス・デーモンの
デジタル証明書 (デーモン SSL が選択される場合) を制御するために使用されます。ただし、
このセキュリティー・オプションが選択されている場合、管理アクセス用のすべての WebSphere Application Server
ユーザーおよびグループは、SAD ではなく WebSphere ユーザー・レジストリーで定義されます。
後に、アプリケーション・セキュリティーが有効になった場合、WebSphere Application Server の
ユーザー・レジストリーはそれらのユーザー ID も保持します。
このオプションは、
サーバーやセルが z/OS と z/OS 以外が混在するシステムに常駐する場合のほか、
LDAP またはカスタム・ユーザー・レジストリーを実装して初期レジストリーを置き換えることを計画しているお客様にも適しています。
(LDAP またはカスタム・ユーザー・レジストリーを SAF へマッピングする ID と共に実装することを計画しているお客様は、
カスタマイズ中に z/OS 管理のセキュリティーを選択する必要があります。上記を参照してください。)
このオプションが
カスタマイズ中に選択されている場合、ファイル・ベースのユーザー・レジストリーが
構成ファイル・システムに作成されます。
管理者ユーザー ID (およびオプションのサンプル・ユーザー ID およびグループ) は、ファイル・ベースのユーザー・レジストリーに追加されます。
管理者ユーザー ID は、許可されたコンソール・ユーザーのリストに追加されます。
サーバーの自己署名デジタル証明書は、WebSphere Application Server によって
構成ファイル・システムで自動的に作成されます。
オプション 3: セキュリティーを有効にしない
このオプションが
選択されている場合、管理セキュリティーは構成されません。管理コンソール・ポートへの
アクセス権を持つすべてのユーザーは、サーバーまたはセル構成を変更することができます。
カスタマイズ後のセキュリティー・セットアップをお勧めします。
WebSphere Application Server の
初期セキュリティー・セットアップ・オプションは非常に基本的で、初期管理セキュリティーの提供のみを目的としています。
ご使用のサーバーまたはセルが稼働した後、次のことを行えます。
- 別のユーザー・レジストリーに切り換えます。SAF セキュリティー・データベースまたはファイル・ベースのレジストリーの代わりに、
LDAP またはカスタム・ユーザー・レジストリーを使用できます。
- 追加の管理者を定義するか、管理役割を配布します。
- アプリケーション・セキュリティーを実装します。