グローバル・セキュリティーの設定
このページを使用して、管理およびデフォルト・アプリケーション・セキュリティー・ポリシーを構成します。このセキュリティー構成はすべての管理機能のセキュリティー・ポリシーに適用され、ユーザー・アプリケーションのデフォルト・セキュリティー・ポリシーとして使用されます。 セキュリティー・ドメインを定義して、ユーザー・アプリケーションのセキュリティー・ポリシーをオーバーライドしてカスタマイズすることができます。
この管理コンソール・ページを表示するには、
とクリックします。セキュリティーは、ご使用のアプリケーションに対してパフォーマンス上多少の影響を与えます。
パフォーマンスへの影響は、アプリケーション・ワークロードの特性により異なることがあります。
まず、ご使用のアプリケーションに対して必要なレベルのセキュリティーを使用可能にし、次にアプリケーションのパフォーマンスに与えるセキュリティーの影響を測定する必要があります。
セキュリティーを構成する際、ユーザー・レジストリーまたは認証メカニズム・ページに対して行った変更の妥当性を検査してください。「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みるか、管理 ID (internalServerID を使用する場合) の妥当性検査を試みます。 管理セキュリティーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、初めてサーバーを再始動するときに問題を回避することができます。
セキュリティー構成ウィザード
基本管理およびアプリケーション・セキュリティー設定を構成できるウィザードを起動します。このプロセスは、許可ユーザーに対する管理用タスクおよびアプリケーションを制限します。
このウィザードを使用すると、アプリケーション・セキュリティー、リソースまたは Java™ 2 Connector (J2C) セキュリティー、およびユーザー・レジストリーを構成することができます。既存のレジストリーを構成し、管理セキュリティー、アプリケーション・セキュリティー、およびリソース・セキュリティーを使用可能にします。
セキュリティー構成ウィザードを使用して行った変更を適用する場合、管理セキュリティーは、デフォルトでオンになります。
セキュリティー構成報告書
アプリケーション・サーバーの現行セキュリティー設定を収集および表示する報告書を起動します。コア・セキュリティー設定、管理ユーザーおよびグループ、CORBA ネーミング・ロール、および Cookie 保護に関する情報が収集されます。複数のセキュリティー・ドメインが構成されている場合は、報告書には各ドメインに関連付けられたセキュリティー構成が表示されます。
報告書への現在の制限により、アプリケーション・レベルのセキュリティー情報は表示されません。 この報告書には、Java Message Service (JMS) セキュリティー、バス・セキュリティー、または Web Services セキュリティーに関する情報も表示されません。
管理セキュリティーを使用可能にする
このアプリケーション・サーバー・ドメインの管理セキュリティーを使用可能にするかどうかを指定します。 管理セキュリティーでは、アプリケーション・サーバーの管理制御を得る前に、ユーザーが認証される必要があります。
詳しくは、管理ロールおよび管理認証の関連リンクを参照してください。
セキュリティーを使用可能にするときには、認証メカニズムの構成を設定し、 選択されたレジストリー構成で有効なユーザー ID とパスワード (または、internalServerID 機能を使用している場合は、有効な管理 ID) を指定してください。
- をクリックします。
- 「User accounts repository」の下で、リポジトリーを選択し、「構成」をクリックします。
「Server user identity」セクションでサーバー ID およびパスワードを指定します。
「z/OS 開始タスク (z/OS started task)」オプションは、ユーザー・レジストリーが「ローカル OS」である場合にのみ指定できます。
セキュリティー・ドメイン内でセキュリティーを使用可能にした後にサーバーが開始されないなどの問題が生じた場合には、そのセルのすべてのファイルをこのノードに再同期してください。 ファイルを再同期させるには、ノードから syncNode -username your_userid -password your_password というコマンドを実行してください。このコマンドによりデプロイメント・マネージャーに接続され、すべてのファイルが再同期されます。
管理セキュリティーを使用可能にしたあとにサーバーが再始動しなくなった場合は、セキュリティーを使用不可にできます。
app_server_root/bin ディレクトリーに
移動して、wsadmin -conntype NONE コマンドを実行します。
wsadmin> プロンプトで securityoff と入力します。
次に exit と入力して、コマンド・プロンプトに戻ります。
セキュリティーを使用不可にしてサーバーを再始動し、管理コンソールを介して誤っている設定を検査します。
ローカル OS ユーザー・レジストリー・ユーザー:
アクティブ・ユーザー・レジストリーとして、「ローカル OS」を選択した場合、
ユーザー・レジストリー構成でパスワードを入力する必要はありません。
通知 | 値 |
---|---|
デフォルト: | 使用可能 |
アプリケーション・セキュリティーの使用可能化
ご使用の環境内のアプリケーションのセキュリティーを 使用可能にします。このタイプのセキュリティーは、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供します。
WebSphere Application Server の以前のリリースでは、ユーザーがグローバル・セキュリティーを使用可能にした場合、管理およびアプリケーション・セキュリティーの両方が使用可能になりました。WebSphere Application Server バージョン 6.1 では、これまでのグローバル・セキュリティーの概念が管理セキュリティーとアプリケーション・セキュリティーに分割され、そのそれぞれを別々に使用可能にすることができます。
このように分割されたため、WebSphere Application Server クライアントで、ターゲット・サーバーにおいてアプリケーション・セキュリティーが使用不可であるかどうかを認識する必要があります。管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーを使用可能にするには、管理セキュリティーを使用可能にする必要があります。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。
通知 | 値 |
---|---|
デフォルト: | 使用不可 |
Java 2 セキュリティーを使用してローカル・リソースへのアプリケーションのアクセスを制限する
Java 2 セキュリティーの許可検査を使用可能にするか、または使用不可にするかを指定します。デフォルトでは、ローカル・リソースへのアクセスは制限されません。アプリケーション・セキュリティーが使用可能である場合でも、Java 2 セキュリティーを使用不可にすることができます。
「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションが使用可能で、アプリケーションがデフォルト・ポリシーで付与されるものよりも高い Java 2 セキュリティー権限を要求する場合、そのアプリケーションは、アプリケーションの app.policy ファイルまたは was.policy ファイルのいずれかに必要な許可が付与されるまで、正常に実行することができない可能性があります。必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。Java 2 セキュリティーについて詳しくは、関連リンクを参照してください。
通知 | 値 |
---|---|
デフォルト: | 使用不可 |
アプリケーションがカスタム許可を認可されたときに警告する
アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。Java API 許可とは、java.* および javax.* パッケージ内にある許可のことです。
アプリケーション・サーバーは、ポリシー・ファイル管理をサポートします。この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。 filter.policy ファイルには、J2EE 1.4 仕様に従って、アプリケーションに与えたくない許可のリストが入っています。 許可について詳しくは、Java 2 セキュリティー・ポリシー・ファイルの関連リンクを参照してください。
通知 | 値 |
---|---|
デフォルト: | 使用不可 |
リソース認証データへのアクセスを制限する
このオプションを使用可能にすると、 重要な Java Connector Architecture (JCA) マッピング認証データへのアプリケーションのアクセスが制限されます。
- Java 2 セキュリティーが実行される場合。
- エンタープライズ・アプリケーション・アーカイブ (EAR) ファイル内にある was.policy ファイルで、アプリケーション・コードに accessRuntimeClasses WebSphereRuntimePermission
認可が付与されている場合。例えば、was.policy ファイルに次のような行があれば、
アプリケーション・コードにこの許可が付与されています。
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
「リソース認証データへのアクセスを制限する」オプションによって、WSPrincipalMappingLoginModule 実装のデフォルト・プリンシパル・マッピングに、Java 2 セキュリティー権限の厳密な検査機能が追加されます。「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションと「リソース認証データへのアクセスを制限する」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接、 WSPrincipalMappingLoginModule 実装を使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的な許可を付与する必要があります。
通知 | 値 |
---|---|
デフォルト: | 使用不可 |
現在のレルムの定義
アクティブ・ユーザー・リポジトリーの現在の設定を指定します。
このフィールドは読み取り専用です。
使用可能なレルムの定義
使用可能なユーザー・アカウントのリポジトリーを指定します。
- ローカル・オペレーティング・システム
- スタンドアロン LDAP レジストリー
- スタンドアロン・ カスタム・ レジストリー
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
現在値として設定
ユーザー・リポジトリーが構成されたあとに、それを使用可能にします。
- 統合リポジトリー
- この設定を指定して、単一レルムの下の複数のリポジトリーでプロファイルを管理します。
レルムは以下の ID で構成することができます。
- システムにビルドされるファイル・ベース・リポジトリー
- 1 つ以上の外部リポジトリー
- 組み込みファイル・ベース・リポジトリーと 1 つ以上の外部リポジトリーの両方
注: 管理者特権を持つユーザーのみが統合リポジトリーの構成を表示できます。 - ローカル・オペレーティング・システム
この設定は、構成済みの Resource Access Control Facility (RACF®) または System Authorization Facility (SAF) 準拠のセキュリティー・サーバーをアプリケーション・サーバー・ユーザー・レジストリーとして使用する場合に指定します。
複数ノード、または UNIX プラットフォーム上で非ルートとして実行する際には、ローカル OS を使用することはできません。
ローカル・オペレーティング・システム・レジストリーが有効なのは、ドメイン・コントローラーを使用している場合、または WebSphere Application Server Network Deployment セルが単一マシン上にある場合に限られます。後者の場合、ローカル OS ユーザー・レジストリーを使用するこの構成が無効なので、 セル内の複数のノードを複数のマシンにわたって広げることはできません。
- スタンドアロン LDAP レジストリー
この設定を指定して、ユーザーおよびグループが外部の LDAP ディレクトリーに常駐している場合に、スタンドアロン LDAP レジストリー設定を使用します。セキュリティーが有効で、これらのプロパティーのいずれかが変更されている場合は、「適用」または「OK」をクリックして変更内容を有効にしてください。
ページに進み、注: 複数の LDAP サーバーがサポートされているので、この設定は 1 つの LDAP レジストリーを意味するものではありません。- スタンドアロン・ カスタム・ レジストリー
- この設定を指定して、com.ibm.websphere.security.UserRegistry インターフェースを実装した、ユーザー固有のスタンドアロン・カスタム・レジストリーを実装します。セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、 「グローバル・セキュリティー」ページに進み、「適用」または「OK」をクリックして変更内容を有効にしてください。
通知 | 値 |
---|---|
デフォルト: | 使用不可 |
構成...
グローバル・セキュリティー設定を構成する場合に選択します。
Web および SIP セキュリティー
「認証」の下にある「Web および SIP セキュリティー」を展開すると、以下に対するリンクが表示されます。
- 一般設定
- シングル・サインオン (SSO)
- SPNEGO Web 認証
- トラスト・アソシエーション
一般設定
Web 認証の設定を指定する場合に選択します。
シングル・サインオン (SSO)
シングル・サインオン (SSO) の構成値を指定する場合に選択します。
SSO のサポートにより、Web ユーザーは、HTML、JavaServer Pages (JSP) ファイル、サーブレット、エンタープライズ Bean などの WebSphere Application Server リソース、および Lotus® Domino リソースの両方にアクセスする場合に、認証を一度で済ませることができます。
SPNEGO Web 認証
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) では、 Web クライアントおよびサーバーが、通信を許可するのに使用される Web 認証プロトコルのネゴシエーションを行う手段が提供されます。
トラスト・アソシエーション
トラスト・アソシエーションの設定を指定する場合に選択します。トラスト・アソシエーションは、 リバース・プロキシー・サーバーをアプリケーション・サーバーに接続するのに使用されます。
グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。
RMI/IIOP セキュリティー
「認証」の下にある「RMI/IIOP セキュリティー」を展開すると、以下に対するリンクが表示されます。
- CSIv2 インバウンド通信
- CSIv2 アウトバウンド通信
CSIv2 インバウンド通信
オブジェクト管理グループ (OMG) 共通セキュア・インターオペラビリティー (CSI) 認証プロトコルを使用して、受信された要求の認証設定およびこのサーバーによって受け入れられた接続のトランスポート設定を指定する場合に選択します。
- CSIv2 属性層。属性層には、アップストリーム・サーバーからの識別情報で、既に認証済みの識別トークンが含まれている 場合があります。 識別層の優先順位は最も高く、次にメッセージ層、トランスポート層の順で低くなります。 クライアントが 3 つの層をすべて送信する場合は、識別層だけが使用されます。 SSL クライアント証明書は、それが要求中に提示された唯一の情報である場合にのみ、識別情報として使用されます。クライアントは、 名前空間から相互運用オブジェクト参照 (IOR) を取り出し、タグ付きコンポーネントから値を読み取って、 セキュリティーに関してサーバーが何を必要とするのかを判別します。
- CSIv2 トランスポート層。トランスポート層 (一番下の層) には、識別情報として Secure Sockets Layer (SSL) クライアント 証明書を含む場合があります。
CSIv2 メッセージ層。メッセージ層には、ユーザー ID とパスワード、または有効期限を持つ認証済みトークンが含まれている場合があります。
CSIv2 アウトバウンド通信
オブジェクト管理グループ (OMG) 共通セキュア・インターオペラビリティー (CSI) 認証プロトコルを使用して、送信された要求の認証設定およびサーバーによって開始された接続のトランスポート設定を指定する場合に選択します。
- CSIv2 属性層。属性層には、アップストリーム・サーバーからの識別情報で、既に認証済みの識別トークンが含まれている 場合があります。 識別層の優先順位は最も高く、次にメッセージ層、トランスポート層の順で低くなります。 クライアントが 3 つの層をすべて送信する場合は、識別層だけが使用されます。 SSL クライアント証明書は、それが要求中に提示された唯一の情報である場合にのみ、識別情報として使用されます。クライアントは、 名前空間から相互運用オブジェクト参照 (IOR) を取り出し、タグ付きコンポーネントから値を読み取って、 セキュリティーに関してサーバーが何を必要とするのかを判別します。
- CSIv2 トランスポート層。トランスポート層 (一番下の層) には、識別情報として Secure Sockets Layer (SSL) クライアント 証明書を含む場合があります。
CSIv2 メッセージ層。メッセージ層には、ユーザー ID とパスワード、または有効期限を持つ認証済みトークンが含まれている場合があります。
Java Authentication and Authorization Service (JAAS)
「認証」の下にある「Java 認証・承認サービス (JAAS)」を展開すると、以下に対するリンクが表示されます。
- アプリケーション・ログイン
- システム・ログイン
- J2C 認証データ
アプリケーション・ログイン
JAAS によって使用されるログイン構成を定義する場合に選択します。
ClientContainer、DefaultPrincipalMapping、および WSLogin ログイン構成は、他のアプリケーションで使用される場合があるため、除去しないでください。これらの構成が除去されると、 他のアプリケーションに障害が起こる可能性があります。
システム・ログイン
システム・リソースによって使用される JAAS ログイン構成 (認証メカニズム、プリンシパル・マッピング、およびクレデンシャル・マッピング) を定義する場合に選択します。
J2C 認証データ
Java Authentication and Authorization Service (JAAS) Java 2 Connector (J2C) 認証データの設定を指定する場合に選択します。
グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。
LTPA
アプリケーション・サーバーがセキュアな方法であるサーバーから別のサーバーにデータを送信することができるように、認証情報を暗号化する場合に選択します。
サーバー間で交換される認証情報の暗号化には、Lightweight Third-Party Authentication (LTPA) メカニズムが必要です。
Kerberos および LTPA
アプリケーション・サーバーがセキュアな方法であるサーバーから別のサーバーにデータを送信することができるように、認証情報を暗号化する場合に選択します。
Kerberos 構成
アプリケーション・サーバーがセキュアな方法であるサーバーから別のサーバーにデータを送信することができるように、認証情報を暗号化する場合に選択します。
サーバー間で交換される認証情報の暗号化には、LTPA メカニズムの KRB5 が使用されます。
認証キャッシュ設定
認証キャッシュの設定を行う場合に選択します。
Java Authentication SPI (JASPI) を使用可能にする
Java Authentication SPI (JASPI) 認証の使用を可能にする場合に選択します。
その後、「プロバイダー」をクリックして、グローバル・セキュリティー構成で JASPI 認証プロバイダーおよび関連の認証モジュールを作成または編集します。
レルム修飾ユーザー名の使用
getUserPrincipal() メソッドなどのメソッドによって戻されるユーザー名を、そのユーザー名が配置されているセキュリティー・レルムで修飾するように指定します。
セキュリティー・ドメイン
「セキュリティー・ドメイン」のリンクを使用して、ユーザー・アプリケーションの追加セキュリティーを構成します。
例えば、グローバル・レベルで使用されるユーザー・レジストリーではなく、ユーザー・アプリケーションのセット用の別のユーザー・レジストリーを使用する場合は、そのユーザー・レジストリーを使用してセキュリティー構成を作成し、それをアプリケーションのセットに関連付けることができます。 これらの追加セキュリティー構成は、さまざまな有効範囲 (セル、クラスター/サーバー、SIBus) に関連付けることができます。セキュリティー構成が一度有効範囲に関連付けられると、 その有効範囲のすべてのユーザー・アプリケーションでこのセキュリティー構成が使用されます。詳しくは、複数のセキュリティー・ドメインを参照してください。
各セキュリティー属性に対して、グローバル・セキュリティー設定を使用するか、またはドメインの設定をカスタマイズすることができます。
外部許可プロバイダー
デフォルトの許可構成を使用するか、または外部許可プロバイダーを使用するかを指定する場合に選択します。
外部プロバイダーは、Java Authorization Contract for Containers (JACC) 仕様に基づいて Java Platform, Enterprise Edition (Java EE) 許可を処理できるものでなければなりません。 外部セキュリティー・プロバイダーを JACC 許可プロバイダーとして構成しない場合は、「許可プロバイダー」ページの設定を変更しないでください。
カスタム・プロパティー
データの名前と値のペアを指定する場合に選択します。ここで、名前はプロパティー・キーで、値はストリングです。