この構成を使用して、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。
始める前に
インバウンド・トランスポート は、このサーバー向けの要求を受信するために開かれる
リスナー・ポートのタイプと、その属性とを参照します。Common Secure Interoperability Specification,
Version 2 (CSIv2) および z/OS Secure Authentication Service (z/SAS) の両方に、
トランスポートを構成する機能があります。
重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
CSIv2 および z/SAS は、ほとんどの同じ機能をサポートします。
CSIv2 には、他の WebSphere Application Server 製品、および CSIv2 プロトコルをサポートする任意の他のプラットフォームとの
インターオペラビリティーがあるという利点があります。
このタスクについて
以下のステップを完了して、管理コンソールの「インバウンド・トランスポート」パネルを構成します。
プロシージャー
- 「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
- 「RMI/IIOP security」の下の「CSIv2 inbound transport」をクリックして、トランスポートの
タイプおよび SSL 設定を選択します。
前述のように、トランスポートのタイプを選択することにより、開くリスナー・ポートを選択します。また、
トランスポートとして TCP/IP を選択すると、SSL クライアント証明書認証機能は使用不可になります。
- SSL トランスポートに対応する SSL の設定値を選択します。
これらの設定値は「SSL 構成」パネルにアクセスすることによって定義できます。詳しくは、Secure Sockets Layer 構成の作成
を参照してください。
- 「CSIv2 インバウンド・トランスポート」パネルの「適用」をクリックします。
- 構成したリスナー・ポートの修正を検討してください。
このアクションは別のパネルで行いますが、ここで取り上げるのが妥当です。
ほとんどのエンドポイントは、単一のロケーションで管理されているため、「インバウンド・トランスポート」パネルでは表示されません。単一のロケーションでエンドポイントを管理すると、エンドポイントを割り当てる際に、構成内での競合数を減らすことができます。SSL エンドポイントのロケーションは、個々のサーバーにあります。
以下のポート名は、「エンドポイント」パネルで定義され、オブジェクト・リクエスト・ブローカー (ORB) のセキュリティーに使用されます。
- ORB_SSL_LISTENER_ADDRESS - SSL ポート
- ORB_LISTENER_ADDRESS - IIOP ポート
アプリケーション・サーバーでは、
「サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。「通信」の下の「ポート」をクリックします。指定されたサーバーの「ポート」パネルが表示されます。
WebSphere Application Server の Object Request Broker (ORB) は、
Internet Inter-ORB Protocol (RMI/IIOP) 通信上のリモート・メソッド呼び出しにリスナー・ポートを使用します。
これは、構成ダイアログを使用して静的に指定されるか、またはマイグレーションの間に静的に指定されます。
ORB_LISTENER_ADDRESS と BOOTSTRAP_ADDRESS は、同一のポートを指定する必要があります。ファイアウォールで作業する場合には、ORB リスナーに静的ポートを指定し、ファイアウォール上でそのポートを開き、この指定されたポートを介して通信が渡されるようにします。ORB リスナー・ポートを設定する際のエンドポイント・プロパティーは、ORB_LISTENER_ADDRESS です。
管理コンソールを使用して以下のステップを行い、ORB_LISTENER_ADDRESS ポート (複数可) を指定します。
- 「サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。「通信」の下の「ポート」>「新規」とクリックします。
- 「構成」パネルの「ポート名」フィールドから ORB_LISTENER_ADDRESS を選択します。
- IP アドレス、完全修飾ドメイン・ネーム・システム (DNS) ホスト名、または DNS ホスト名だけを「ホスト」フィールドに入力します。
例えば、ホスト名が myhost である場合、DNS の
完全修飾名は myhost.myco.com、IP アドレスは
155.123.88.201 などになります。
- 「ポート」フィールドに、ポート番号を入力します。 ポート番号は、クライアント要求を受け入れるようにサービスが構成されているポートを指定します。
ポート値は、ホスト名とともに使用します。前の例を使用すると、ポート番号は 9000 になります。
「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。z/SAS クライアントからのインバウンド要求に使用する SSL 設定を選択するには、「RMI/IIOP security」の下の「z/SAS authentication」をクリックします。
結果
インバウンド・トランスポート構成が完了しました。この構成により、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。
例えば、ユーザーが最初に使用するサーバーがアプリケーション・サーバーである場合は、セキュリティー構成はさらにセキュアになります。
バックエンドのエンタープライズ Bean サーバーに要求が出される場合は、
パフォーマンス上の理由で、アウトバウンドへの送出時のセキュリティーを
軽減することがあります。この柔軟性により、それぞれのニーズに適したトランスポート・インフラストラクチャーを設計することができます。
次の作業
セキュリティーの構成を終えたら、以下のステップを実行して、サーバーを保管し、同期を取ってから、サーバーを再始動します。
- 管理コンソールで「保管」をクリックして、構成に対する変更を保管します。
- 同期が取れたら、すべてのサーバーを停止してから再始動します。