WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

JACC ポリシーの伝搬

アプリケーションが WebSphere Application Server にインストールまたはデプロイされると、構成が保管されるときにアプリケーション中のセキュリティー・ポリシー情報がプロバイダーに伝搬されます。 アプリケーション用のコンテキスト ID は、application.xml ファイルに保管され、Java Authorization Contract for Containers (JACC) プロバイダーへポリシーを伝搬するために、また Java 2 Platform, Enterprise Edition (J2EE) リソースのアクセス判断のために使用されます。

アプリケーションがアンインストールされると、アプリケーション中の セキュリティー・ポリシー情報は構成が保管されるときにプロバイダーから除去されます。

プロバイダーが RoleConfiguration インターフェースを実装した場合、ポリシー・プロバイダーに伝搬されたセキュリティー・ポリシー情報には許可テーブル情報も含まれます。 このインターフェースについて詳しくは、JACC をサポートするインターフェース を参照してください。

アプリケーションがセキュリティー・ポリシー情報を含んでいない場合は、PolicyConfiguration (および、実装されている場合は RoleConfiguration) のオブジェクトは情報を含んでいません。 空の PolicyConfiguration および RoleConfiguration オブジェクトの存 在は、モジュールのセキュリティー・ポリシー情報が存在していないことを示しています。

アプリケーションがインストールされると、アンインストールや再インストールなしで更新することができます。 例えば、新規モジュールを既存のアプリケーションに追加したり、既存モ ジュールを変更することが可能です。 この場合、影響を受けるモジュール中の情報は、デフォルトでプロバイダーに伝搬されます。 モジュールは、そのモジュールのデプロイメント記述子が更新の一部として変更されるときに影響を受けます。 プロバイダーが RoleConfiguration インターフェースをサポートしている場合は、そのアプリケーションについてのすべての許可テーブルがプロバイダーに伝搬されます。

アプリケーションの更新中にセキュリティー情報がプロバイダーに伝搬されない場合は、Network Deployment 環境のデプロイメント・マネージャーまたは管理対象外ベース・アプリケーション・サーバーで、com.ibm.websphere.security.jacc.propagateonappupdate Java 仮想マシン (JVM) プロパティーを false に設定します。 このプロパティーが false に設定されると、サーバーで既存アプリケーションの更新があってもプロバイダーには伝搬されません。 このプロパティーは、アプリケーションのカスタム・プロパティーを使用 してアプリケーションごとを基本として設定することもできます。 wsadmin ツールを使用してアプリケーションのカスタム・プロパティーを設定できます。 このプロパティーがアプリケーション・レベルで設定されると、そのアプリケーションに対するすべての更新は、プロバイダーに伝搬されません。 アプリケーションに対する更新が完全更新の場合 (例えば、 新規アプリケーションの Enterprise Archive (EAR) ファイルを使用して、 既存のものと置き換える場合)、プロバイダーは、 全アプリケーションのセキュリティー・ポリシー情報によって、 リフレッシュされます。

アプリケーションがインストール され、保管されるとき、プロバイダーでのそのアプリケーションのセキュリティー・ポリシー情報の更新は、デプロイメント・マネージャーから行われます。 同期コマンドが実行され、完了するまで、アプリケーションはそれぞれのノードに伝搬しません。 また、デプロイメント・マネージャーでアプリケーションがアンインストールされて保管されるときに、 JACC プロバイダーからそのアプリケーションのポリシーが除去されます。

ただし、アプリケーションをホストして いる ノードに対してデプロイメント・マネージャーから同期コマンドが実行され、完了するまでは、アプリケーションはそれぞれのノードでまだ実行されます。 この場合、JACC プロバイダーにそのアプリケーションに対するアクセス決定を行うために必要な情報がないため、このアプリケーションへのアクセスは拒否されます。 前述のように、既にインストールされたアプリケーションに対する更新は、デプロイメント・マネージャーからプロバイダーに対しても伝搬されます。 同期が完了するまでは、プロバイダーでの変更は各ノードのアプリケーションとは同期しません。

前述のように、セキュリティー・ポリシー情報は、 保管操作中に JACC プロバイダーに伝搬されます。 SystemOut.log ファイルには、 プロバイダーへの伝搬に成功したか失敗したかが記録されます。 インストール後にログ・ファイルを調べて、 伝搬に問題がなかったことを確認してください。伝搬に何らかの問題があった場合は、 Tivoli Access Manager を JACC プロバイダーとして使用すると、アプリケーションへのアクセスに失敗します。

アプリケーションのセキュリティー・ポリシー情報が正常にプロバイダーへ伝搬されている場合、メッセージ・キー SECJ0415I の監査ステートメントが表示されます。 しかし、セキュリティー・ポリシー情報がプロバイダーに伝搬される際に 問題が生じた場合 (ネットワークに問題が発生した、JACC プロバイダーが 使用できなかった、など)、SystemOut.log ファイルには、 メッセージ・キー SECJ0396E (インストール時) または SECJ0398E (変更時) のエラー・メッセージが記録されます。 アプリケーションのインストールは、 セキュリティー・ポリシーの JACC プロバイダーへの伝搬の失敗によって停止されません。 また、失敗した場合、保管操作中に、例外またはエラー・メッセージは表示されません。 この失敗の原因である問題が修正されたら、propagatePolicyToJaccProvider ツールを実行して、セキュリティー・ポリシー情報をプロバイダーに伝搬してください。その際、アプリケーションは再インストールしないでください。 詳しくは、JACC プロバイダーへのインストール済みアプリケーションのセキュリティー・ポリシーの wsadmin スクリプトを使用した伝搬 を参照してください。




関連概念
許可プロバイダー
JACC プロバイダーとしての Tivoli Access Manager の統合
WebSphere Application Server での JACC サポート
許可プロバイダー
関連タスク
外部 JACC プロバイダーの使用可能化
Tivoli Access Manager を使用した J2EE リソースへのアクセスの許可
JACC プロバイダーへのインストール済みアプリケーションのセキュリティー・ポリシーの wsadmin スクリプトを使用した伝搬
関連資料
JACC をサポートするインターフェース
セキュリティー許可プロバイダーのトラブルシューティングのヒント
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/rsec_jaccpolicyprop.html