管理セキュリティー

管理セキュリティーによって、セキュリティーを使用するかどうか、認証が行われるレジストリーのタイプ、および多くがデフォルトとして動作するその他の値が決定されます。管理セキュリティーを誤って使用可能にすると、 管理コンソールがロックされて使用できなくなったり、 サーバーが異常終了したりすることがあるので、 正しく計画することが必要です。

注: デフォルト・インストールで、管理セキュリティーをデフォルトでオンにしてインストールできるようにすることを、強く推奨します。
管理セキュリティーは、WebSphere® Application Server の各種のセキュリティー設定をアクティブにする「大きなスイッチ」と考えることができます。 これらの設定値を指定することはできますが、 管理セキュリティーがアクティブになるまで有効にはなりません。 設定値としては、ユーザーの認証、Secure Sockets Layer (SSL) の使用、および ユーザー・アカウント・リポジトリーの選択があります。 特に、認証やロール・ベースの許可を含むアプリケーションのセキュリティーは、管理セキュリティーがアクティブになるまで実行されません。 管理セキュリティーは、デフォルトで使用可能になっています。
注: WebSphere アプリケーションで JSSE メソッドを使用してリモート・サイトへの通信を暗号化する場合、管理セキュリティーを活動化する必要はありません。

管理セキュリティーは、 セキュリティー・ドメイン全体で有効なセキュリティー構成を表します。 セキュリティー・ドメイン は、 同一のユーザー・レジストリーのレルム 名で構成されたすべてのサーバーから構成されます。 場合によっては、レルムは、ローカル・オペレーティング・システムのレジストリーのマシン名にすることができます。 この場合、すべてのアプリケーション・サーバーは、同じ物理マシン上に置かれていなければなりません。 また場合によっては、レルムはスタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリーのマシン名にすることもできます。

LDAP プロトコルを サポートするユーザー・レジストリーに リモートでアクセスできるため、 複数のノード構成がサポートされています。 そのため、どこからでも認証を使用可能にできます。

セキュリティー・ドメインの基本的な要件は、 セキュリティー・ドメイン内の 1 つのサーバーのレジストリーまたはリポジトリーによって戻されるアクセス ID が、 同じセキュリティー・ドメイン内の別のサーバーのレジストリーまたはリポジトリーから戻されるアクセス ID と同じであることです。 アクセス ID はユーザーを一意的に識別するもので、 リソースに対してアクセスが許可されているかどうかを判別する許可で使用されます。

管理セキュリティー構成は、セキュリティー・ドメイン内のすべてのサーバーに適用されます。

管理セキュリティーをオンにする理由

管理セキュリティーをオンにすると、 無許可のユーザーからサーバーを保護する設定がアクティブになります。 管理セキュリティーは、プロファイルの作成時に、 デフォルトで使用可能になっています。 一部の環境では、開発システムのようにセキュリティーが不要の場合もあります。 これらのシステムでは、管理セキュリティーを使用不可にできます。 ただし、一般的な環境では、 権限のないユーザーが管理コンソールやビジネス・アプリケーションにアクセスできないようにする必要があります。 アクセスを制限するには、 管理セキュリティーを使用可能にしなければなりません。

管理セキュリティーの保護対象

セキュリティー・ドメイン用の管理セキュリティーの構成には、以下のテクノロジーの構成が含まれます。

  • HTTP クライアントの認証
  • IIOP クライアントの認証
  • 管理コンソールのセキュリティー
  • ネーミング・セキュリティー
  • SSL トランスポートの使用
  • サーブレット、エンタープライズ Bean、および mbean のロール・ベースの許可検査
  • ID の伝搬 (RunAs)
  • [z/OS]CBIND 検査
  • 共通ユーザー・レジストリー
  • 認証メカニズム
  • 以下のような、セキュリティー・ドメインの振る舞いを定義するその他のセキュリティー情報
    • 認証プロトコル (Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) セキュリティー)
    • その他各種の属性
注: ノードを管理エージェント・プロセスに登録する前に、管理エージェントおよび基本プロファイルで最初に管理セキュリティーを有効にしておくことをお勧めします。 いったんプロファイルを管理エージェントに登録すると、管理セキュリティーが有効な状態を変更することはできません。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_global
ファイル名:csec_global.html