ユーザー・レジストリーにはユーザーおよびグループに関する情報が入っています。 WebSphere Application Server のユーザー・レジストリーは、 ユーザーの認証を行い、 ユーザーおよびグループに関する情報を取得して、 セキュリティー関連の機能 (認証および許可など) を実行します。
ユーザー・レジストリー (またはリポジトリー) を構成する前に、どのユーザー・レジストリー (またはリポジトリー) を使用するかを 決めてください。さまざまなタイプのレジストリーとリポジトリーがサポートされていますが、 WebSphere Application Server のすべての プロセスでは、1 つのアクティブ・レジストリーしか使用できません。
WebSphere Application Server は、複数のオペレーティング・システムまたはオペレーティング環境ベースのユーザー・レジストリー (z/OS SAF レジストリーなど)、および主要な Lightweight Directory Access Protocol (LDAP) ベースのレジストリーの大半をサポートできるように設計されています。 カスタム LDAP フィーチャーを使用すると、 ユーザーおよびグループのフィルターなどの正しい構成情報を設定することにより、 任意の LDAP サーバーをサポートできます。ただし、 これらのカスタム LDAP サーバーはサポートの対象にはなりません。 テストできない可能性が多くあるためです。
正しいレジストリーまたはリポジトリーを構成することは、 ユーザーとグループをアプリケーションの役割に割り当てるための前提条件です。 デフォルトでは、ユーザー・レジストリーまたはリポジトリーが構成されていない場合、 ローカル・オペレーティング・システムの SAF ベース・ユーザー・レジストリーが使用されます (PQ81586)。 選択したユーザー・レジストリーまたはリポジトリーがローカル・オペレーティング・システムでない場合は、 最初にユーザー・レジストリーまたはリポジトリーを構成する必要があります。 ユーザー・レジストリーまたはリポジトリーの構成は、通常管理セキュリティーの使用可能化の一環として行われます。 その後サーバーを再始動してから、ユーザーとグループをすべてのアプリケーションの役割に割り当てます。
WebSphere Application Server には、ローカル・オペレーティング・システム・レジストリーと LDAP レジストリーのほかにも、カスタム・レジストリー機能を使用してあらゆるレジストリーをサポートするプラグインも用意されています。 カスタム・レジストリー機能を使用すると、WebSphere Application Server のセキュリティー構成パネルからは使用可能にできないすべてのユーザー・レジストリーを構成できます。
UserRegistry インターフェースは、カスタム・レジストリーおよびユーザー・アカウント・リポジトリーのフェデレーテッド・リポジトリー・オプションの両方のインプリメントに使用されます。 このインターフェースは、ユーザーおよびグループの現在の情報がデータベースなどの他のフォーマットで存在し、ローカル・オペレーティング・システムまたは LDAP レジストリーに移動できない場合にも非常に役に立ちます。 そのような場合は、あらゆるセキュリティー関連のオペレーションに対して WebSphere Application Server が既存のレジストリーを使用できるように UserRegistry インターフェースをインプリメントできます。 カスタム・レジストリーのインプリメンテーション・プロセスは、ソフトウェアによるものであり、 インプリメンテーションは、その運用に対して WebSphere Application Server リソース管理には依存しないものとされています。 例えば、Application Server のデータ・ソース構成を使用することはできません。 一般に、データベース接続を呼び出し、それらの動作をコード内に直接記述する必要があります。
$AdminApp deleteUserAndGroupEntries yourAppNameここで、yourAppName はアプリケーション名です。 この操作を行う前に、これまでのアプリケーションをバックアップすることをお勧めします。 ただし、以下の条件の両方があてはまる場合は、ユーザーとグループの情報を削除しないで、 レジストリーを切り替えることができます。
デフォルトでは、アプリケーションのバインディング・ファイル にアクセス ID は含まれていません。これらの ID は、アプリケーションの開始時に生成されます。ただし、以前のリリースから既存のアプリケーションをマイグレーションした場合、 またはパフォーマンスを向上させるために wsadmin スクリプトを使用して、 アプリケーションのアクセス ID を追加した場合は、既存のユーザー情報とグループ情報を除去し、 新規ユーザー・レジストリーを構成した後で、それらを追加する必要があります。
アクセス ID の更新について詳しくは、 スクリプトによる管理のための AdminApp オブジェクトの updateAccess IDs を参照してください。
以下のステップのいずれかを完了し、 ユーザー・レジストリーを構成します。
サーバーが問題なく始動したら、セットアップは正しく行われたことになります。