ローカル・オペレーティング・システムのレジストリー
ローカル・オペレーティング・システムのレジストリー実装により、WebSphere® Application Server の認証メカニズムは、ローカル・オペレーティング・システムのユーザー・アカウント・データベースを使用できます。
ローカル・オペレーティング・システムのレジストリーを使用して、WebSphere Application Server リソースにアクセスするプリンシパルを示す場合、特別なユーザー・レジストリーのセットアップ・ステップを完了する必要はありません。
ローカル・オペレーティング・システムのレジストリーは、WebSphere Application Server リソースにアクセスするユーザーの認証および許可に使用されますが、オペレーティング・システムのリソースにアクセスする WebSphere Application Server ユーザーに対しては使用されません。
WebSphere Application Server は、Application Server ユーザーのオペレーティング・システム・ユーザー・プロファイルの下では稼働しません。
その代わりに、WebSphere Application Server は、Application Server 管理者が構成するオペレーティング・システム・プロファイルの下で稼働します。
ある WebSphere Application Server リソースについてユーザーを許可する場合、そのユーザーのユーザー・プロファイルがオペレーティング・システムに存在していなければなりません。
Create User Profile (CRTUSRPRF) コマンドを使用して、WebSphere Application Server が使用できる、新規ユーザー ID を作成します。
Lightweight Directory Access Protocol (LDAP) は、
集中レジストリーです。
ほとんどのローカル・オペレーティング・システムのレジストリーは、集中レジストリーではありません。
WebSphere Application Server は、Windows のローカル・アカウント・レジストリーおよびドメイン・レジストリーの実装も、Linux、Solaris、および AIX® のユーザー・アカウント・レジストリーの実装に加えて提供しています。
Windows Active Directory は、後述する LDAP ユーザー・レジストリーの実装によってサポートされます。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
アプリケーション・サーバーが複数のマシン間で分散している WebSphere Application Server 環境では、各マシンが独自のユーザー・レジストリーを持つため、ローカル・オペレーティング・システムのレジストリーを使用しないでください。
Windows ドメイン・レジストリーおよび Network Information Services (NIS) は例外です。
Windows ドメイン・レジストリーと Network Information Services (NIS) は、どちらも集中レジストリーです。
Windows ドメイン・レジストリーは WebSphere Application Server によってサポートされていますが、NIS はサポートされていません。
前述したように、
ユーザー・レジストリーから取り出したアクセス ID が、許可検査時に使用されます。これらの ID は、通常、固有の ID であるため、
まったく同じユーザーとパスワードが各マシン上に存在しても、マシンごとに異なります。
ローカル・オペレーティング・システム・ユーザー・レジストリーを使用している場合、
Web クライアント証明書認証は現在サポートされていません。
ただし、Java™ クライアント証明書認証は、ローカル・オペレーティング・システム・ユーザー・レジストリーを使用して機能します。
Java クライアント証明書認証は、証明書のドメイン・ネームの 1 番目の属性をユーザー・レジストリーのユーザー ID にマップします。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
CWSCJ0337E: mapCertificate メソッドはサポートされていません
このエラーは、Web クライアント証明書に対するものですが、Java クライアント証明書の場合にも表示されます。 Java クライアント証明書の場合は、このエラーを無視してください。ローカル・オペレーティング・システムのレジストリーは、
シスプレックス内の集中レジストリーです。
WebSphere Application Server は、System Authorization Facility (SAF) インターフェースを使用します。
SAF インターフェースは MVS™ によって定義されており、アプリケーションがシステム許可サービスまたはレジストリーを使用して、データ・セットや MVS コマンドなどのリソースへのアクセスを制御できるようになっています。
SAF により、セキュリティー許可要求を、Resource Access Control Facility (RACF®) またはサード・パーティーの z/OS セキュリティー・プロバイダーを介して直接処理することができます。
ローカル・オペレーティング・システムがユーザー・レジストリーとして選択されている場合以外は、
ユーザー・レジストリー ID から SAF ユーザー ID へのマッピングを提供する必要があります。
詳しくは、System Authorization Facility のカスタム・マッピング・モジュールを参照してください。
ローカル・オペレーティング・システム・ユーザー・レジストリーを
使用している場合、Web クライアント証明書認証はサポートされます。ローカル OS を選択する場合、Web および Java クライアントの両方によって、デジタル証明書を MVS ID にマップすることができます。
証明書名フィルターを使用して、マッピングを単純化することができます。RACF をセキュリティー・サーバーとして使用している場合、RACDCERT MAP コマンドにより、複数のユーザー ID をデジタル証明書にマップするリソース・プロファイルが作成され、証明書管理の単純化、RACF データベースでのストレージ・スペースの節約、責任能力の維持、またはアクセス制御細分性の維持が行われます。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
必要な特権
WebSphere Application Server プロセスを実行するユーザーは、Windows オペレーティング・システムからユーザーおよびグループ情報を認証したり、取得したりするために、Windows システムのアプリケーション・プログラミング・インターフェース (API) を呼び出すことができる十分なオペレーティング・システム特権を持っている必要があります。 このユーザーがマシンにログインするか、 またはサービスとして稼働中の場合は、「Log On As」ユーザーがログオンします。 マシンによって、およびマシンがスタンドアロン・マシンであるか、 ドメインの一部またはドメイン・コントローラーとなっているマシンであるかによって、 アクセス要件は異なります。
- スタンドアロン・マシンの場合、ユーザーの要件は以下のとおりです。
- 管理グループのメンバーであること。
- 「オペレーティング・システムの一部としてアクションを行う」特権があること。
- サーバーをサービスとして実行する場合は、「サービスとしてログオンする」特権があること。
- マシンがドメインのメンバーである場合、
ドメイン・ユーザーのみが、サーバー・プロセスを開始でき、
以下の要件を満たしている必要があります。
- ドメイン・コントローラーのドメイン・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
- ローカル・マシンのローカル・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
- サーバーをサービスとして実行する場合は、ローカル・マシンに「サービスとしてログオンする」特権があること。
ユーザーは、ドメイン・ユーザーであり、ローカル・ユーザーではありません。 これは、マシンがドメインの一部であるときに、 ドメイン・ユーザーしかサーバーを開始できないことを意味しています。
- ドメイン・コントローラー・マシンの場合、ユーザーの要件は以下のとおりです。
- ドメイン・コントローラーのドメイン管理グループのメンバーであること。
- ドメイン・コントローラーのドメイン・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
- サーバーをサービスとして実行する場合は、 ドメイン・コントローラーに「サービスとしてログオンする」特権があること。
- クライアントが必要な権限を保持していません。(A required privilege is not held by the client.)
- アクセスは拒否されました。(Access is denied.)

![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
ドメインおよびローカル・ユーザー・レジストリー
WebSphere Application Server の始動時に、セキュリティー・ランタイム初期化プロセスは、ローカル・マシンが Windows ドメインのメンバーであるかどうかを動的に判別します。 マシンがドメインの一部である場合は、優先するドメイン・レジストリーの認証および許可を目的として、 デフォルトで、ローカル・レジストリー・ユーザーまたはグループならびにドメイン・レジストリー・ユーザーまたはグループの両方を使用できます。 セキュリティー・ロール・マッピング中に示されたユーザーおよびグループのリストには、 ローカル・ユーザー・レジストリーおよびドメイン・ユーザー・レジストリーの両方からのユーザーおよびグループが含まれています。 ユーザーとグループは、関連付けられたホスト名により区別できます。
WebSphere Application Server は、トラステッド・ドメインをサポートしていません。
マシンが Windows システム・ドメインのメンバーでない場合は、そのマシンのローカルなユーザー・レジストリーが使用されます。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
ドメイン・ユーザー・レジストリーとローカル・オペレーティング・システム・レジストリーの両方を使用
- ベスト・プラクティス
- 通常、 ローカル・レジストリーおよびドメイン・レジストリーに共通のユーザーまたはグループが含まれていない場合は、 管理が簡単になり、好ましくない副次作用の発生を避けられます。 可能であれば、ユーザーおよびグループに、サーバー ID や管理ロールなどの、 固有のセキュリティー・ロールへのアクセス権限を付与してください。 この場合、ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーのいずれかから、 ユーザーおよびグループを選択し、ロールへのマッピングを行ないます。
- 同じユーザーまたはグループがローカル・ユーザー・レジストリーとドメイン・ユーザー・レジストリーの両方に存在する場合、 少なくとも、サーバー ID、および管理ロールへマップされるユーザーおよびグループが、 レジストリー内で固有であり、ドメイン上にのみ存在することが推奨されます。
- ユーザーの共通セットが存在する場合は、 該当するユーザーが確実に認証を受けられるように異なるパスワードを設定してください。
- 処理の仕組み
- マシンがドメインに含まれる場合、 ローカル・ユーザー・レジストリーよりもドメイン・ユーザー・レジストリーが優先します。 例えば、ユーザーがシステムにログインする場合、 まずドメイン・ユーザー・レジストリーがユーザーを認証しようとします。 認証が失敗すると、ローカル・ユーザー・レジストリーが使用されます。 ユーザーまたはグループがロールにマップされる際に、 ユーザーおよびグループの情報は、まずドメイン・ユーザー・レジストリーから取得されます。 これが失敗すると、ローカル・ユーザー・レジストリーから情報を取得しようとします。
- ただし、完全修飾されたユーザーまたはグループ名で、
ドメインまたはホスト名が付加されているものがロールにマップされる場合は、
そのユーザー・レジストリーのみが情報の取得に使用されます。管理コンソールまたはスクリプトを使用して完全修飾されたユーザーおよびグループ名を取得する方法が、ユーザーおよびグループをロールにマップする場合の推奨方法です。
ヒント: あるマシン (例えば、ローカル OS ユーザー・レジストリー) 上の ユーザー Bob は、別のマシン (例えば、ドメイン・ユーザー・レジストリー) 上の ユーザー Bob と同じではありません。 これは、ユーザー・レジストリーが異なると、Bob の固有 ID (この場合、セキュリティー ID [SID]) が 異なるためです。
- 例MyMachine マシンは MyDomain ドメインに含まれています。 MyMachine マシンには、以下のユーザーおよびグループがあります。
- MyMachine¥user2
- MyMachine¥user3
- MyMachine¥group2
- MyDomain¥user1
- MyDomain¥user2
- MyDomain¥group1
- MyDomain¥group2
以下に示すのは、 上記のユーザーおよびグループのセットを想定している、いくつかのシナリオです。- user2 がシステムにログインする際には、認証にはドメイン・ユーザー・レジストリーが使用されます。 例えば、パスワードが異なるなどの理由で認証が失敗した場合、 ローカル・ユーザー・レジストリーが使用されます。
- MyMachine¥user2 ユーザーがロールにマップされる場合は、MyMachine マシンの user2 ユーザーだけが、 アクセス権を持ちます。したがって、user2 パスワードが、ローカル・ユーザー・レジストリーと ドメイン・ユーザー・レジストリーの両方で同じ場合、user2 ユーザーはリソースにアクセスできません。 これは、user2 ユーザーが常にドメイン・ユーザー・レジストリーを使用して認証されるためです。 両方のユーザー・レジストリーに共通ユーザーがある場合、 パスワードを別にしておくことをお勧めします。
- group2 グループがロールにマップされる場合は、最初に group2 情報が ドメイン・ユーザー・レジストリーから取得されるため、 MyDomain¥group2 グループのメンバーであるユーザーのみがリソースにアクセスできます。
- MyMachine¥group2 グループがロールにマップされる場合は、 MyMachine¥group2 グループのメンバーであるユーザーのみがリソースにアクセスできます。 特定のグループがロール (単なる group2 ではなく MyMachine¥group2) にマップされます。
- user3 ユーザーまたは MyMachine¥user3 ユーザーのいずれかを使用して、 ロールにマップします。これは、user3 ユーザーは 1 つのユーザー・レジストリーのみに存在し、 固有であるためです。
同じパスワードを持つユーザーが、 ドメイン・ユーザー・レジストリーおよびローカル・ユーザー・レジストリーの両方に存在する場合、 ドメイン・ユーザー・レジストリーを最初に許可すると、問題が発生する可能性があります。 ユーザーは最初にドメイン・ユーザー・レジストリー内で認証されるため、この状態ではロール・ベースの許可が失敗する可能性があります。 この認証によって、WebSphere Application Server で使用される固有のドメイン・セキュリティー ID が許可検査中に生成されます。 しかし、ロールの割り当てには、ローカル・ユーザー・レジストリーが使用されます。 ドメイン・セキュリティー ID は、ロールに関連付けられた固有のセキュリティー ID とは一致しません。 この問題を避けるためには、セキュリティー・ロールをローカル・ユーザーではなく、ドメイン・ユーザーにマップしてください。
複数のノードが関係している場合は、 集中リポジトリーのみを使用できます。 この使用法は、ドメイン・ユーザー・レジストリーのみが使用できることを意味します。 これは前述のように、ノードによって、ユーザーおよびグループの固有 ID (SID) が異なるためです。

![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
ローカルまたはドメインのユーザー・レジストリーの使用
ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーの両方ではなく、 そのいずれかからユーザーおよびグループにアクセスする場合は、com.ibm.websphere.registry.UseRegistry プロパティーを設定します。 このプロパティーは、local または domain のいずれかに設定できます。 このプロパティーが local (大/小文字は区別しません) に設定されている場合は、ローカル・ユーザー・レジストリー のみが使用されます。このプロパティーが domain (大/小文字は区別しません) に設定されている場合は、 ドメイン・ユーザー・レジストリーのみが使用されます。
- とクリックします。
- 「ユーザー・アカウント・リポジトリー」で、 「使用可能なレルム定義」ドロップダウン・リストをクリックし、 「ローカル・オペレーティング・システム」を 選択してから「構成」をクリックします。
- 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
システム・ユーザー・レジストリーの使用
システムのユーザー・レジストリーを使用する場合、WebSphere Application Server プロセスを実行するプロセス ID には、認証とユーザーまたはグループ情報を取得するためのローカル・オペレーティング・システム API を呼び出すためのルート権限が必要です。
ローカル・マシン・ユーザー・レジストリーのみが使用されます。ネットワーク情報サービス (NIS) (イエロー・ページ) はサポートされていません。
ローカル・オペレーティング・システムのユーザー・レジストリーを使用する場合は、HP-UX が非トラステッド・モードで構成されている必要があります。ローカル・オペレーティング・システムの ユーザー・レジストリーを使用している場合、トラステッド・モードはサポートされません。
WebSphere Application Server ローカル・オペレーティング・システムのレジストリーが Linux および Solaris プラットフォーム上で実行する場合には、シャドー・パスワード・ファイルが必要です。 シャドー・パスワード・ファイルは shadow という名前で、 /etc ディレクトリーにあります。シャドー・パスワード・ファイルが存在しない場合には、 管理セキュリティーを使用可能にして、ローカル・オペレーティング・システムとしてレジストリーを構成した後に、エラーが発生します。
シャドー・ファイルを作成するには、 pwconv コマンドを (パラメーターなしで) 実行してください。 このコマンドにより、/etc/passwd ファイルから /etc/shadow ファイルが作成されます。 シャドー・ファイルの作成後は、 ローカル・オペレーティング・システム・セキュリティーを正常に使用可能にできます。