サーバーおよび管理セキュリティー

管理セキュリティー という用語は、WebSphere® の管理機能を使用するユーザーの認証の提供、Secure Sockets Layer (SSL) の使用、およびユーザー・アカウント・リポジトリーの選択を意味します。

[z/OS]ローカル OS ユーザー・レジストリーを構成する場合、このレジストリー構成では、Resource Access Control Facility (RACF®) または System Authorization Facility (SAF) 準拠の、ユーザー・データベースが使用されます。 ローカル OS ユーザー・レジストリーをアクティブなレジストリーとして選択すると、WebSphere Application Server プリンシパルを使用した、以下のような z/OS® System Authorization Facility 機能を直接利用できます。
  • 他の多数の z/OS コネクター・サービスとの ID の共有
  • SAF 委任を使用し、構成の多数のロケーションでユーザー ID およびパスワードを保管する必要性を最小化
  • 追加の監査機能の使用
これらの機能は、他のレジストリーを使用して使用可能ですが、WebSphere Application Server システム・ログイン構成および Java™ Authentication and Authorization Service (JAAS) ログイン・モジュールへの変更を通じて行う、ID マッピングが必要です。詳しくは、 「System Authorization Facility ID ユーザー・マッピングを実行するためのシステム・ログイン構成の更新」を参照してください。

[AIX Solaris HP-UX Linux Windows][IBM i]場合によっては、レルムは、ローカル OS ユーザー・レジストリーのマシン名とすることができます。 この場合、すべてのアプリケーション・サーバーは、同じ物理マシン上に常駐していなければなりません。 また場合によっては、レルムは、Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーのマシン名にすることもできます。 LDAP が分散ユーザー・レジストリーであるため、これによって、WebSphere Application Server Network Deployment 環境での複数ノード構成が可能になります。セキュリティー・ドメインの基本的な要件は、 セキュリティー・ドメイン内の 1 つのサーバーのレジストリーによって戻されるアクセス ID が、 同じセキュリティー・ドメイン内の他のどのサーバーのレジストリーから戻されるアクセス ID とも同じであることです。 アクセス ID はユーザーを一意的に識別するもので、 リソースに対してアクセスが許可されているかどうかを判別する許可で使用されます。

セキュリティー・ドメインの管理セキュリティー の構成は、 共通ユーザー・レジストリー、認証メカニズム、 およびセキュリティー・ドメインの振る舞いを定義するその他のセキュリティー情報から構成されます。 構成されるその他のセキュリティー情報は、次のコンポーネントを含んでいます。
  • Java 2 セキュリティー・マネージャー
  • Java Authentication and Authorization Service (JAAS)
  • Java 2 コネクター認証データ・エントリー
  • [AIX Solaris HP-UX Linux Windows][IBM i]Common Secure Interoperability Version 2 (CSIv2) および Secure Authentication Service (SAS) 認証プロトコル (Internet Inter-ORB Protocol を介して実行される Remote Method Invocation (RMI/IIOP) セキュリティー)
  • [z/OS]Common Secure Interoperability Version 2 (CSIv2) および z/OS Secure Authentication Service (z/SAS) 認証プロトコル (Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) セキュリティー)
  • その他各種の属性。

[AIX Solaris HP-UX Linux Windows][IBM i]サーバー・レベルで 構成の一部をオーバーライドすることができます。

[AIX Solaris HP-UX Linux Windows][IBM i]1 つのノード内に複数ノードおよび複数サーバーが存在可能な場合、 属性の一部をサーバー・レベルで構成できます。 サーバー・レベルで構成可能な属性には、サーバーのセキュリティー使用可能化、Java 2 セキュリティー・マネージャー使用可能化、および CSIv2/SAS 認証プロトコル (RMI/IIOP セキュリティー) があります。 管理セキュリティー が使用可能であっても、 個々のアプリケーション・サーバーでセキュリティーを使用不可にすることができます。 ただし、管理セキュリティー が使用不可になっている間に、 個々のアプリケーション・サーバーのセキュリティーを使用可能にすることはできません。

[z/OS]1 つのノード内に複数ノードおよび複数サーバーが存在可能な場合、 属性の一部をサーバー・レベルで構成できます。 サーバー・レベルで構成可能な属性には、サーバーのセキュリティー使用可能化、Java 2 セキュリティー・マネージャー使用可能化、および CSIv2 と z/SAS 認証プロトコル (RMI/IIOP セキュリティー) があります。 管理セキュリティー が使用可能であっても、 個々のアプリケーション・サーバーでセキュリティーを使用不可にすることができます。 ただし、管理セキュリティー が使用不可になっている間に、 個々のアプリケーション・サーバーのセキュリティーを使用可能にすることはできません。

ユーザー要求に対するアプリケーション・サーバーのセキュリティーが使用不可になっている場合でも、 アプリケーション・サーバーにおける管理およびネーミングのセキュリティーは使用可能になっているため、 管理およびネーミングのインフラストラクチャーは保護された状態のままになります。 セルのセキュリティーが使用可能でも、個々のサーバーのセキュリティーが使用不可になっている場合、 Java Platform, Enterprise Edition アプリケーションは認証も許可もされません。ただし、ネーミングおよび管理セキュリティーは実行されます。 したがって、ネーミング・サービスは、ユーザー・アプリケーションから呼び出される可能性があるため、 必要なネーミング機能に Everyone アクセスを許可して、 これらの機能が非認証の要求を受け入れられるようにしておく必要があります。 サポートされているスクリプト・ツールを使用する場合を除き、 ユーザー・コードから管理セキュリティーに直接、アクセスすることはありません。

[z/OS]System Authorization Facility (SAF) 許可を使用する場合には、CosNamingRead の EJBROLE プロファイル用の UACC フィールドが READ に設定され、非認証 ID に、このプロファイルへの READ アクセスがあることを確認する必要があります。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_globalserver
ファイル名:csec_globalserver.html