WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

セキュリティーの使用可能化

セキュリティーを使用可能にすることで、ご使用のサーバーを許可されていないユーザーから保護し、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供することができます。

始める前に

インフラストラクチャーの観点からセキュリティーを理解しておくと、 さまざまな認証メカニズム、ユーザー・レジストリー、認証プロトコルなどの利点を知ることができて有益です。 ユーザーの要件に合った正しいセキュリティー・コンポーネントを選出することも、 セキュリティーの構成の一環です。以下のセクションは、これらの判断を下す際の一助となるものです。

セキュリティー構成を続行する前に、以下の項目を読んでください。 セキュリティー・コンポーネントについて理解すると、 WebSphere Application Server でのセキュリティーの構成に進むことができます。
重要: セキュリティーを使用可能にするのに必要な幾つかのセキュリティー・カスタマイズ・タスクがあります。 これらのタスクは、リソース・アクセス制御機能 (RACF) などのセキュリティー・サーバーへの更新を必要とします。このプロセスに、 セキュリティー・アドミニストレーターを含める必要がある場合もあります。
注: WebSphere Application Server バージョン 6.1 では、新規プロファイルを作成する際の初期インストール処理中、または、プロファイル作成ツールを使用する際のポストインストール処理中、新規のプロファイルが作成されるときは常に、管理セキュリティーはデフォルトで使用可能です。 管理コンソールを使用してセキュリティー・ポスト・プロファイル作成を可能にする代わりに、プロファイル作成時中、管理セキュリティーを可能にしないよう決定できます。

プロシージャー

  1. WebSphere Application Server の管理コンソールを始動します。

    デプロイメント・マネージャーを開始して、ブラウザーに WebSphere Application Server Network Deployment サーバーのアドレスを入力します。 デフォルトでは、コンソールは http://your_host.your_domain:9060/ibm/console にあります。

    現在セキュリティーが使用不可になっている場合は、 ユーザー ID を要求するプロンプトが出されます。任意のユーザー ID を使用してログインします。 ただし、セキュリティーが現在有効になっている場合は、 ユーザー ID とパスワードの両方を要求するプロンプトが出されます。 定義済みの管理ユーザー ID とパスワードを使用してログインします。

  2. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。 バージョン 6.1 で使用できるセキュリティー 構成ウィザードでセキュリティーを構成するか、手動で 構成してください。構成の順序は重要ではありません。 手動構成について詳しくは、 ユーザーの認証 を参照してください。
  3. ユーザー・アカウント・リポジトリーを構成します。 詳しくは、レジストリーまたはリポジトリーの選択 を参照してください。 「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルで、 統合リポジトリー、ローカル・オペレーティング・システム、 スタンドアロンの Lightweight Directory Access Protocol (LDAP) レジストリー、 スタンドアロンのカスタム・レジストリーなどの、 ユーザー・アカウント・リポジトリーを構成することができます。
    注: インターオペラビリティー用のサーバー ID およびパスワードを指定するか、または WebSphere Application Server 6.1 インストールが自動的に内部サーバー ID を生成できるようにするかを選択できます。 サーバー ID の自動生成に関する詳細については、ローカル・オペレーティング・システムの設定 を参照してください。

    すべてのユーザー・レジストリーやリポジトリーに共通の詳細事項の 1 つに、「Primary administrative user name」があります。 この ID は、選択されたリポジトリーの 1 メンバーですが、 WebSphere Application Server では特別な権限も持っています。 この ID の特権と、管理役割 ID に関連付けられている特権とは同じものです。 この「Primary administrative user name」は、保護された管理方法のすべてにアクセスできます。

    スタンドアロン LDAP レジストリーでは、「Primary administrative role name が、 LDAP 管理役割 ID であるだけでなく、リポジトリーのメンバーであることを確認してください。 このエントリーは、検索可能である必要があります。

    WebSphere Application Server for z/OS で、 スタンドアロンのローカル・オペレーティング・システム・レジストリーを使用すると、 サーバーのユーザー ID は、管理コンソールを使用してではなく、 z/OS オペレーティング・システムの STARTED クラスを介して設定されます。

  4. ユーザー・アカウント・リポジトリーを構成した後、「Set as current」オプションを選択します。 適用」をクリックした場合に「管理セキュリティーを使用可能にする 」オプションが設定されていると検査が実行され、管理ユーザー ID が構成済みで、アクティブ・ユーザー・レジストリーに存在するかどうかが検査されます。 管理ユーザー ID は、「アクティブ・ユーザー・レジストリー」パネルまたはコンソール・ユーザーのリンクから指定できます。 アクティブ・ユーザー・レジストリーに対して管理 ID が構成されていないと、検査に失敗します。
    注: ユーザー・レジストリーを切り替える場合は、 admin-authz.xml ファイルから既存の管理 ID とアプリケーション名が除去されます。 admin-authz.xml ファイルに存在する ID の例外がログに記録されますが、現行のユーザー・レジストリーには存在しません。
  5. オプション: 外部許可プロバイダーを WebSphere 許可、SAF 許可、または外部 JACC プロバイダーのいずれかに構成および変更できます。 詳しくは、z/OS System Authorization Facility 許可 および外部 JACC プロバイダーの使用可能化 を参照してください。許可プロバイダーを変更するには、「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」>「外部許可プロバイダー」をクリックします。
  6. 認証メカニズムを構成します。

    「認証メカニズムおよび有効期限」パネルで、Lightweight Third-Party Authentication (LTPA) を構成します。 LTPA はデフォルトの認証メカニズムです。 LTPA クレデンシャルは、他のマシンに転送できます。 セキュリティー上の理由で、クレデンシャルには有効期限がありますが、期限日付はコンソールで構成することができます。 LTPA クレデンシャルにより、ブラウザーでさまざまな製品サーバーにアクセスできます。 これは、何度も認証を行う必要がないことを意味します。 詳しくは、Lightweight Third Party Authentication メカニズムの構成 を参照してください。

    注: 認証メカニズムとして Simple WebSphere Authentication Mechanism (SWAM) を構成することができます。ただし、SWAM は WebSphere Application Server バージョン 6.1では推奨されません。 また将来のリリースでは除去される予定です。 SWAM のクレデンシャルは、他のマシンに転送することはできません。そのため、有効期限が切れることはありません。 SWAM を使用するには、 「Use SWAM-no authenticated communication between servers」オプションを選択します。 SWAM は WebSphere Application Server Network Deployment 環境では使用できません。

    シングル・サインオン (SSO) のサポートが必要な場合には、 Web ユーザー認証を最小化するためのシングル・サインオンのインプリメント の項目を参照してください。 シングル・サインオン (SSO) がサポートされていると、認証を複数回行わなくても、 ブラウザーでさまざまな製品サーバーにアクセスすることができます。 フォーム・ベースのログインの場合は、LTPA の使用時に SSO を構成する必要があります。

  7. オプション: セル間のシングル・サインオン (SSO) 用に LTPA 鍵をインポートしてエクスポートします。 詳しくは、以下の項目を参照してください。
  8. 必要な場合は、 Java クライアントからの特別なセキュリティー要件の認証プロトコルを構成します。
    「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルのリンクを使用して、 Common Secure Interoperability バージョン 2 (CSIv2) を構成することができます。 z/OS Security Authentication Service (z/SAS) プロトコルは、 前の製品リリースとの後方互換性が提供されますが、推奨されません。 ご使用の環境に WebSphere Application Server の旧バージョンを使用するサーバーが含まれていて、 SAS をサポートする場合は、「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルに、 「Links to the z/SAS protocol」パネルが表示されます。 CSIv2 または z/SAS の構成について詳しくは、 Common Secure Interoperability バージョン 2 (CSIV2) および Security Authentication Service (SAS) の構成 の項目を参照してください。
    重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
    [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] 重要: IBM は z/OS Secure Authentication Service (z/SAS) IIOP セキュリティー・プロトコルの出荷やサポートを既に終了しています。 Common Secure Interoperability バージョン 2 (CSIv2) プロトコルを使用することをお勧めします。 CSIv2 は、バージョン 4 クライアントを除いて、WebSphere Application Server の旧バージョンと相互運用します。
  9. 許可を設定します。デフォルトでは、 許可は WebSphere Application Server 許可に設定され、アクセスを制御します。 オプションで、System Authorization Facility (SAF) 許可 (EJBROLE プロファイル) を設定できるか、または Java Authorization Contract for Containers (JACC) 外部許可を設定できます。 ネーミング役割へのアクセスの制御に SAF 許可を使用する場合の特殊な考慮事項 または許可プロバイダー を参照してください。
  10. 使用する WebSphere Application Server の Secure Sockets Layer (SSL) レパートリーを確認します。WebSphere Application Server for z/OS のカスタマイズ・ダイアログにより生成される サンプルのカスタマイズ・ジョブは、RACF が セキュリティー・サーバーの場合に使用できる SSL 鍵リングを作成するためのサンプル・ジョブを生成します。これらのジョブは、ご使用のインストール・システムに固有の RACF 認証局証明書および この認証局により署名されたサーバー証明書のセットを作成します。アプリケーション・サーバー・コントローラーで開始される タスク ID は、以下の証明書を含む SAF 鍵リングを持っています。 同様に、Network Deployment 環境では、 デプロイメント・マネージャーのユーザー ID が所有する RACF 鍵リング、 およびノード・エージェントのユーザー ID が作成されます。

    RACF 鍵リングは、レパートリーの鍵リング名およびサーバー制御プロセスの MVS ユーザー ID の 両方により一意に識別されます。異なる WebSphere Application Server コントローラー・プロセスが固有の MVS ユーザー ID を 持っている場合は、これらが同じレパートリーを共有している場合であっても、RACF 鍵リングおよび秘密鍵が生成されるように気をつけなければなりません。

    構成可能な SSL レパートリーには、次の 2 種類があります。
    • システム SSL レパートリーは、HTTPS および Internet InterORB Protocol (IIOP) 通信で使用され、ネイティブのトランスポートが使用します。 セキュリティーを使用可能にしてから 管理コンソールを使用する場合は、必ず HTTP に対してシステム SSL タイプのレパートリーを定義し、選択する必要があります。IIOP セキュリティーが SSL トランスポートを要求しているか、SSL トランスポートをサポートしている場合、またはセキュア Remote Method Invocation (RMI) コネクターが管理要求に対して選択されている場合は、システム SSL レパートリーを定義し、それを選択する必要があります。
    • Java Secure Socket Extension (JSSE) レパートリーは、Java ベースの SSL 通信用です。

    HTTP または IIOP プロトコルを使用するため、ユーザーは、 システム SSL レパートリーを構成する必要があり、Java Management Extension (JMX) コネクターは SSL を使用するように 構成されなければなりません。SOAP HTTP コネクターが選択されている場合、 管理サブシステムには JSSE レパートリーが選択されなければなりません。Network Deployment 環境で、 「System Administration」>「デプロイメント・マネージャー」>「Administration Services」>「JMX Connectors」 >「SOAP Connector」>「カスタム・プロパティー」>「sslConfig」とクリックします。

    SSL レパートリーのセットは、z/OS のインストール・ダイアログでセットアップされます。これらのダイアログは、 RACF コマンドの生成時にカスタマイズ・プロセスにより移植された SAF 鍵リングおよびファイルを参照するように構成されています。
    レパートリー名 タイプ デフォルト使用
    NodeDefaultSSLSettings JSSE (Base のみ) SOAP JMX コネクター、SOAP クライアント、 Web コンテナー HTTP トランスポート用の構成
    CellDefaultSSLSettings JSSE (Network Deployment のみ) SOAP JMX コネクター、SOAP クライアント、 Web コンテナー HTTP トランスポート用の構成
    DefaultIIOPSSL SSSL DAEMON SSL が有効である場合のみ使用

    これらの設定がニーズを満たしている場合は、追加のアクションは必要ありません。これらの設定を作成 または変更する場合は、参照される鍵ストア・ファイルが作成されていることを確認する必要があります。

    新規の 鍵ストア・ファイルおよびトラストストア・ファイル用に新規のエイリアスを作成する場合は、 SSL 構成のエイリアスを参照するロケーションをすべて変更する必要があります。 これらの ロケーションは、以下のリストに示します。
    • セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」。 「RMI/IIOP security」の下の「CSIv2 インバウンド・トランスポート」をクリックします。
    • セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」。 「RMI/IIOP security」の下の「CSIv2 アウトバウンド・トランスポート」をクリックします。
    • [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」。 「RMI/IIOP security」の下の「z/SAS authentication」をクリックします。
    • サーバー」>「アプリケーション・サーバー」>「server_name」。 「Web コンテナー設定」の下の「Web コンテナー」をクリックします。 「追加プロパティー」の下で「HTTP トランスポート」>「host_name」とクリックします。
    • サーバー」>「アプリケーション・サーバー」>「server_name」。「セキュリティー」の下で「サーバー・セキュリティー」>「CSIv2 インバウンド・トランスポート」とクリックします。
    • サーバー」>「アプリケーション・サーバー」>「server_name」。「セキュリティー」の下で「サーバー・セキュリティー」>「CSIv2 アウトバウンド・トランスポート」とクリックします。
    • [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]サーバー」>「アプリケーション・サーバー」>「server_name」。「セキュリティー」の下で「サーバー・セキュリティー」>「z/SAS authentication」とクリックします。SSL 設定メニューから適切な SSL 構成を選択します。
  11. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックし、 残りのセキュリティー設定を構成して、セキュリティーを使用可能にします。 これらの設定について詳しくは、 管理、アプリケーション、およびインフラストラクチャー保護の設定 を参照してください。

    詳細については、サーバーおよび管理セキュリティー を参照してください。

  12. OK」または「適用」をクリックして完了したセキュリティー構成を検証します。 問題が発生すると、コンソール・ページの上部に赤字で表示されます。
  13. 妥当性検査上の問題がなければ、「保管」をクリックして、 サーバーが再始動するときに使用するファイルに設定値を保管します。 保管することによって、設定値は構成リポジトリーに書き込まれます。
    重要:保管」をクリックする前に 「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルで 「適用」または「OK」をクリックしない場合には、変更内容はリポジトリーに書き込まれません。 管理コンソールを開始する場合は、サーバーを再始動してすべての変更内容を有効にする必要があります。

    保管アクションにより、 デプロイメント・マネージャーは、WebSphere Application Server が再始動した後、 変更された設定を使用することができます。詳しくは、レルムのセキュリティーの使用可能化 を参照してください。デプロイメント・マネージャーの構成は、 スタンドアロンの Base アプリケーション・サーバーとは異なります。構成は、すべてのノード・エージェントと同期されるまでは、一時的にデプロイメント・マネージャーに保管されます。

    また、ドメイン内ですべてのノード・エージェントが稼働中であることを確認してください。 このプロセスの間、すべてのアプリケーション・サーバーを停止します。 ダウンしているノード・エージェントが ある場合は、デプロイメント・マネージャーからセキュリティー構成の同期を取るために、 ノード・エージェント・マシンから手動のファイル同期ユーティリティーを実行する必要があります。 これを行わないと、デプロイメント・マネージャーでセキュリティーが使用可能になった後で、 誤動作しているノード・エージェントはそのデプロイメント・マネージャーと通信しません。

  14. WebSphere Application Server の管理コンソールを始動します。

    デプロイメント・マネージャーを開始して、ブラウザーに WebSphere Application Server Network Deployment サーバーのアドレスを入力します。 デフォルトでは、コンソールは http://your_host.your_domain:9060/ibm/console にあります。

    現在セキュリティーが使用不可になっている場合は、いずれかのユーザー ID でログインします。 現在セキュリティーが使用可能になっている場合は、定義済みの管理 ID とパスワードでログインします。この ID は、 通常ユーザー・レジストリーの構成時に指定するサーバー・ユーザー ID です。




サブトピック
管理セキュリティー
マルチノードまたはプロセスの Network Deployment 環境に特有のセキュリティーの検討
アプリケーション・セキュリティー
Java 2 セキュリティー
レルムのセキュリティーの使用可能化
使用可能にしたセキュリティーのテスト
セキュリティー構成ウィザード
関連概念
Java 2 セキュリティー
System Authorization Facility (SAF) のオペレーティング・システムおよびアプリケーション・レベルに関する考慮事項
関連タスク
レジストリーまたはリポジトリーの選択
Lightweight Third Party Authentication メカニズムの構成
関連資料
Java 2 セキュリティー・ポリシー・ファイル
管理、アプリケーション、およびインフラストラクチャー保護の設定
サーバー・レベルでのセキュリティー設定
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/tsec_csec2.html