[AIX Solaris HP-UX Linux Windows][z/OS]

C++ Common Object Request Broker Architecture クライアントとのインターオペラビリティー

WebSphere® Application Server では、アクセス保護されたエンタープライズ Bean に対して CORBA C++ クライアントでのセキュリティーをサポートします。このサポートを構成すると、C++ CORBA クライアントが、クライアント証明書を使用して 保護されているエンタープライズ Bean メソッドにアクセスできるようになり、WebSphere Application Server アプリケーション上での 相互認証が実現できます。

このタスクについて

[AIX Solaris HP-UX Linux Windows]Common Secure Interoperability バージョン 2 (CSIv2) 認証プロトコルを 、Internet Inter-ORB Protocol 経由のリモート・メソッド呼び出し (RMI-IIOP) 上で使用することにより 、C++ Common Object Request Broker Architecture (CORBA) クライアントと WebSphere Application Server 間での Security Authentication Service のインターオペラビリティーを実現できます。 CSIv2 セキュリティー・サービス・プロトコルには、認証、属性、およびトランスポートの 3 つの層があります。この 3 つの層のうち、 トランスポート認証は、概念的には単純ですが、暗号をベースにしているので、 最も強力です。WebSphere Application Server は、トランスポート認証層を実装しているため、C++ のセキュアな CORBA クライアントはそれを効果的に使用して、CORBA クライアントと保護されているエンタープライズ Bean リソースを連動させることができます。

[z/OS]Common Secure Interoperability バージョン 2 (CSIv2) または z/OS® Secure Authentication Service (z/SAS) プロトコルを使用して、C++ CORBA クライアントと WebSphere Application Server の間のインターオペラビリティーを実現できます。 WebSphere Application Server バージョン 4 でインターオペラビリティーが必要でない限り、CSIv2 を使用する必要があります。
重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。

[z/OS]詳しくは、グローバル・セキュリティーの設定を参照してください。

非 Java ベース の C++ クライアントからエンタープライズ Bean へのセキュリティー認証WebSphere Application Server では、アクセス保護されたエンタープライズ Bean に対して CORBA C++ クライアントでのセキュリティーをサポートします。このサポートを構成すると、C++ CORBA クライアントが、クライアント証明書を使用して 保護されているエンタープライズ Bean メソッドにアクセスできるようになり、WebSphere Application Server アプリケーション上での 相互認証が実現できます。

C++ CORBA クライアントによる保護された エンタープライズ Bean へのアクセスをサポートするには、以下のステップを実行します。
  • current.env のようなクライアントの環境ファイルを作成します。 ファイルの以下のリストに表示される変数を設定します。
    表 1. 環境変数.

    以下の表に、C++ CORBA クライアントによる保護されたエンタープライズ Bean へのアクセスをサポート するために必要な環境変数をリストします。

    C++ セキュリティー設定 説明
    client_protocol_password ユーザー ID に対するパスワードを指定します。
    client_protocol_user ターゲット・サーバーで認証するユーザー ID を指定します。
    security_sslKeyring クライアントが使用する RACF® 鍵リングの名前を指定します。鍵リングは、 クライアントを実行するコマンドを発行しているユーザー ID の下で定義されている必要があります。
  • WAS_CONFIG_FILE 環境変数を介した完全修飾パス名を使用して環境ファイルを指します。例えば、test.sh テスト・シェル・スクリプトでは、以下をエクスポートします。
    /WebSphere/V6R0M0/DeploymentManager/profiles/default/config/cells
      /PLEX1Network/nodes/PLEX1Manager/servers/dmgr
    環境ファイルの項のいくつかを以下に説明します。
    デフォルト
    プロファイル名
    PLEX1Network
    セル名
    PLEX1Manager
    node name
    dmgr
    サーバー名
[AIX Solaris HP-UX Linux Windows]

手順

  1. クライアントを示す有効な証明書を取得して、 その公開鍵をターゲットのエンタープライズ Bean サーバーにエクスポートします。

    C++ クライアントを示す有効な証明書が必要です。認証局 (CA) から証明書を要求するか、テスト用の自己署名証明書を作成します。

    Global Security Kit (GSKit) の鍵管理ユーティリティーを使用して、 個人証明書から公開鍵を抽出し、.arm フォーマットで保存します。

  2. WebSphere Application Server 用のトラストストア・ファイルを作成します。
    .arm ファイルで抽出したクライアントの公開鍵を、クライアントから、 サーバーの鍵トラストストア・ファイルに追加します。これでサーバーがクライアントの認証を行えます。
    注: これは、WebSphere Application Server インストール・システムから ikeyman.bat または ikeyman.sh を 実行して、鍵管理ユーティリティーを呼び出すことによって行います。
  3. 認証メカニズムとして SSL (Secure Sockets Layer) を サポートするように WebSphere Application Server を構成します。
    1. 管理コンソールを開始します。
    2. ターゲットのエンタープライズ Bean がデプロイされている アプリケーション・サーバーを見つけて、 そのアプリケーション・サーバーを、SSL クライアント証明書認証を使用するように構成します。
      基本インストールの場合は、以下のステップを実行します。
      1. 「セキュリティー」>「グローバル・セキュリティー」とクリックします。「RMI/IIOP セキュリティー」の下の「CSIv2 インバウンド通信」をクリックします。 「基本認証」および「クライアント証明書認証」オプションで「サポート」を選択します。 それ以外のオプションは、デフォルトのままにしておきます。
      2. OK」をクリックします。
      3. 「セキュリティー」>「グローバル・セキュリティー」とクリックします。「RMI/IIOP セキュリティー」の下の「CSIv2 インバウンド通信 (CSIv2 inbound communications)」をクリックして、「トランスポート」の下で「SSL サポート」オプションが選択されていることを確認します。
      これが WebSphere Application Server Network Deployment 設定である場合は、以下のステップを実行します。
      1. 「サーバー」>「アプリケーション・サーバー」>server_name_where_the_EJB_resides」とクリックします。
      2. 「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。
      3. RMI/IIOP security for this server overrides cell settings」オプションを選択します。
      4. 「追加プロパティー」の下で、「CSIv2 インバウンド通信 (CSIv2 inbound communications)」をクリックします。
      5. 「基本認証」および「クライアント証明書認証」オプションで「サポート」を選択します。 それ以外のオプションは、デフォルトのままにしておきます。
      6. 「サーバー」>「アプリケーション・サーバー」>server_name_where_the_EJB_resides」とクリックします。
      7. 「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。
      8. 「追加プロパティー」の下で、「CSIv2 インバウンド通信 (CSIv2 inbound communications)」をクリックします。
      9. SSL サポート」オプションが選択されていることを確認します。

      詳しくは、 Common Secure Interoperability バージョン 2 インバウンド通信の構成およびインバウンド・トランスポートの構成を参照してください。

    3. アプリケーション・サーバーを再始動します。

      WebSphere Application Server は、C++ CORBA セキュリティー・クライアントに対応しており、トランスポート層で SSL を使用して、サーバーとクライアントの間で相互認証を行うことができます。

  4. 相互認証を行う際に証明書を使用するよう C++ CORBA クライアントを構成します。
    クライアント・ユーザーは、構成設定の指定時に便利なことから、アプリケーションで プロパティー・ファイルを使用することに慣れています。次のリストに、主要な C++ セキュリティー設定を示します。
    表 2. C++ セキュリティー・プロパティー.

    以下の表に、重要な C++ セキュリティー設定をリストします。

    C++ セキュリティー設定 説明
    com.ibm.CORBA.bootstrapHostName=ricebella.austin.ibm.com ターゲット・ホスト名を指定します。
    com.ibm.CORBA.securityEnabled=yes セキュリティーを使用可能にします。
    com.ibm.CSI.performTLClientAuthenticationSupported=yes クライアントが証明書による相互認証を確実にサポートするようにします。
    com.ibm.ssl.keyFile=C:/ricebella/etc/DummyKeyRingFile.KDB 使用する鍵データベース・ファイルを指定します。
    com.ibm.ssl.keyPassword=WebAS 鍵データベース・ファイルを開くためのパスワードを指定します。WebSphere Application Server は、プレーン・パスワードをエンコードする、PasswordEncode4cpp と呼ばれるユーティリティーをサポートしています。
    com.ibm.CORBA.translationEnabled=1 valueType 変換を使用可能にします。
    稼働中の C++ クライアントでプロパティー・ファイルを使用するには、環境変数 WASPROPS を使用して、プロパティー・ファイルまたはプロパティー・ファイルのリストの場所を示します。

    C++ クライアント・プロパティーの完全セットについては、 製品に同梱されている app_server_root/profiles/profile_name/etc ディレクトリー内のサンプル・プロパティー・ファイル scclient.props を参照してください。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_interoperatec
ファイル名:tsec_interoperatec.html