この構成を使用して、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。
始める前に
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
インバウンド・トランスポート は、このサーバー向けの要求を受信するために開かれる
リスナー・ポートのタイプと、その属性とを参照します。Common Secure Interoperability Specification,
Version 2 (CSIv2) および Secure Authentication Service (SAS) の両方に、
トランスポートを構成する機能があります。
重要: SAS がサポートされるのは、
バージョン 6.1 セルに統合されたバージョン 6.0.x と、
それより前のバージョンの間のサーバーに限られます。
インバウンド・トランスポート は、このサーバー向けの要求を受信するために開かれる
リスナー・ポートのタイプと、その属性とを参照します。Common Secure Interoperability
Specification, Version
2 (CSIv2) および z/OS® Secure
Authentication Service (z/SAS) の両方に、トランスポートを構成する機能があります。
重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
ただし、これら 2 つのプロトコルの間には、次のような違いがあります。
- CSIv2 は SAS よりもはるかに柔軟性があります。SAS は Secure Sockets Layer (SSL) を要求しますが、CSIv2 は要求しません。
- SAS は SSL クライアント証明書認証をサポートしていませんが、CSIv2 はサポートしています。
- CSIv2 は SSL 接続を要求できますが、SAS は SSL 接続をサポートするだけです。
- SAS では、常に、TCP/IP と SSL の 2 つのリスナー・ポートが開いています。
- CSIv2 では、
リスナー・ポートを 1 つだけ開くことも、多い場合は 3 つ開くこともできます。
TCP/IP だけの場合、あるいは SSL が必要な場合は、1 つのポートを開くことができます。SSL がサポート
されている場合には 2 つのポートを開くことができ、SSL および SSL クライアント証明書認証が
サポートされている場合には、3 つのポートを開くことができます。
CSIv2 および z/SAS は、ほとんどの同じ機能をサポートします。
CSIv2 には、他の WebSphere® Application Server 製品、および CSIv2 プロトコルをサポートする任意の他のプラットフォームとの
インターオペラビリティーがあるという利点があります。
このタスクについて
以下のステップを完了して、管理コンソールの「インバウンド・トランスポート」パネルを構成します。
手順
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「RMI/IIOP セキュリティー」の下の「CSIv2 インバウンド通信」をクリックします。
- 「トランスポート」の下の「SSL 必須」を選択します。 サーバーがサポートするインバウンド・トランスポートとして、Secure Sockets Layer (SSL)、TCP/IP、またはその両方を
使用するように選択できます。「TCP/IP」を指定すると、サーバーは TCP/IP のみをサポートし、SSL 接続を受け入れること
はできません。「SSL サポート」を指定すると、このサーバーは TCP/IP 接続または SSL 接続をサポートできます。「SSL 必須」を指定すると、
このサーバーと通信しているサーバーはすべて SSL を使用する必要があります。
- 「適用」をクリックします。
- 構成したリスナー・ポートの修正を検討してください。
アプリケーション・サーバーでは、
「サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。
「通信」の下の「ポート」をクリックします。指定されたサーバーの「ポート」パネルが表示されます。
ノード・エージェントの場合は、「システム管理」>「ノード・エージェント」>「node_name」と移動します。
「追加プロパティー」の下の「ポート」をクリックします。
ノード・エージェントとデプロイメント・マネージャーの「ポート」パネルは修正済みですが、ポートの再割り当てを検討できます。デプロイメント・マネージャーの場合は、「システム管理」>「デプロイメント・マネージャー」とクリックします。
「追加プロパティー」の下の「ポート」をクリックします。
WebSphere Application Server の Object Request Broker (ORB) は、Internet Inter-ORB Protocol (RMI/IIOP) 通信上のリモート・メソッド呼び出しにリスナー・ポートを使用し、構成ダイアログを使用するかまたはマイグレーション時に、静的に指定されます。
ORB_LISTENER_ADDRESS と BOOTSTRAP_ADDRESS は、同一のポートを指定する必要があります。ファイアウォールで作業する場合には、ORB リスナーに静的ポートを指定し、ファイアウォール上でそのポートを開き、この指定されたポートを介して通信が渡されるようにします。ORB リスナー・ポートを設定する際のエンドポイント・プロパティーは、ORB_LISTENER_ADDRESS です。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
WebSphere Application Server Network Deployment 環境では、ノード・エージェントに ORB_LISTENER_ADDRESS エンドポイントが指定されます。ロケーション・サービス・デーモンは、ノード・エージェントに置かれており、ORB リスナー・ポート上で結合されます。これにより、ポートを固定させることが必要になります。また、ORB_LISTENER_ADDRESS を他のアプリケーション・サーバーに追加してから、ORB リスナー・ポートを設定する必要があります。各 ORB は、個別のリスナー・ポートを持っています。
WebSphere Application Server Network Deployment では、異なるリスナー・ポートを指定しなければなりません。
例えば、以下のポートを指定できます。
- ノード・エージェント: ORB_LISTENER_ADDRESS=9000
- Server1: ORB_LISTENER_ADDRESS=9811
- Server2: ORB_LISTENER_ADDRESS=9812
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
統合されたサーバーは、ノード・エージェントが実行中でなくても実行できます。ORB_LISTENER_ADDRESS が (0) 以上の値に設定されている場合、
サーバーはロケーション・サービス・デーモンに依存せずサーバーに接続をリダイレクトします。ORB_LISTENER_ADDRESS を設定する場合、名前空間のすべての
オブジェクト参照はロケーション・サービス・デーモンではなくサーバーへの接続を指定します。
サーバーがノード・エージェントなしで実行中の場合、
すべてのアプリケーションはアプリケーション・サーバー上で実行されるネーム・サーバーを介して
アクセスされる必要があります。クライアントは、アプリケーション・サーバーのホストおよびポートを使用するように、Java™ Naming
Directory Interface (JNDI) 参照を変更する必要があります。
表 1. ORB_LISTENER_ADDRESS. この表では、ORB_LISTENER_ADDRESS について説明します。ORB_LISTENER_ADDRESS |
|
value = 0 |
サーバーは使用可能な任意のポートで開始され、ロケーション・サービス・デーモンを使用しません。 |
value > 0 |
サーバーは入力した値により指定されたポートで開始されます。
ロケーション・サービス・デーモンは使用されません。 |
注: ワークロード管理は、ノード・エージェントが実行中でなければ動作しません。
管理コンソールを使用して以下のステップを行い、ORB_LISTENER_ADDRESS ポート (複数可) を指定します。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
ノード・エージェントとデプロイメント・マネージャーについて、以下のステップを行ってください。
- 「サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。
「通信」の下の「ポート」>「新規」をクリックします。
- 「構成」パネルの「ポート名」フィールドから ORB_LISTENER_ADDRESS を選択します。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
IP アドレス、完全修飾ドメイン・ネーム・システム (DNS) ホスト名、または DNS ホスト名だけを「ホスト」フィールドに入力します。 例えば、ホスト名が myhost である場合、DNS の
完全修飾名は myhost.myco.com、IP アドレスは
155.123.88.201 などになります。
「ホスト」フィールドに IP アドレスまたは「*」を入力します。 例えば、IP アドレスは、155.123.88.201 などになります。
重要: DNS ホスト名は、ORB_LISTENER_ADDRESS の値としてはサポートされません。
- 「ポート」フィールドに、ポート番号を入力します。 ポート番号は、クライアント要求を受け入れるようにサービスが構成されているポートを指定します。
ポート値は、ホスト名とともに使用します。前の例を使用すると、ポート番号は 9000 になります。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
「セキュリティー」>「グローバル・セキュリティー」とクリックします。「RMI/IIOP セキュリティー」の下の「CSIv2 インバウンド通信」をクリックします。CSIv2 クライアントからのインバウンド要求に使用する SSL 設定を選択してから、「適用」をクリックします。 前のリリースとの相互運用には、CSIv2 プロトコルが使用されます。
SSL 構成で鍵ストア・ファイルおよびトラストストア・ファイルを構成する場合、これらのファイルには、WebSphere Application Server の前のリリースとの相互運用のための正しい情報が必要です。
「セキュリティー」>「グローバル・セキュリティー」とクリックします。「RMI/IIOP セキュリティー」の下の「z/SAS 認証」をクリックして、z/SAS クライアントからのインバウンド要求に使用される SSL 設定を選択します。
タスクの結果
インバウンド・トランスポート構成が完了しました。この構成により、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。
例えば、ユーザーが最初に使用するサーバーがアプリケーション・サーバーである場合は、セキュリティー構成はさらにセキュアになります。
バックエンドのエンタープライズ Bean サーバーに要求が出される場合は、
パフォーマンス上の理由で、アウトバウンドへの送出時のセキュリティーを
軽減することがあります。この柔軟性により、それぞれのニーズに適したトランスポート・インフラストラクチャーを設計することができます。
次のタスク
セキュリティーの構成を終えたら、以下のステップを実行して、サーバーを保存し、同期を取ってから、サーバーを再始動します。
- 管理コンソールで「保存」をクリックして、構成に対する変更を保存します。
すべてのノード・エージェントとの間で構成を同期化します。
- 同期が取れたら、すべてのサーバーを停止してから再始動します。