特定のアプリケーション・サーバーの保護

セキュリティーは、アプリケーション・サーバー・レベルで、ある程度カスタマイズできます。 アプリケーション・サーバーで管理セキュリティーを使用不可にすることができます。

始める前に

非推奨の機能 (Deprecated feature) 非推奨の機能 (Deprecated feature): サーバー・レベル・セキュリティーは、このリリースの WebSphere® Application Server では非推奨です。その代わりに、複数のセキュリティー・ドメイン・サポートが追加されています。 さまざまなセキュリティー構成を作成して、WebSphere Application Server プロセス内のさまざまなアプリケーションに割り当てることができます。 複数のセキュリティー・ドメインを作成することにより、セル環境内の管理アプリケーションとユーザー・アプリケーションの両方に異なるセキュリティー属性を構成できます。 異なるセキュリティー構成を使用するようにそれぞれのアプリケーションを構成する場合は、 これらのアプリケーションをホストするサーバー、クラスター、または SIBus をセキュリティー・ドメインに割り当てます。 詳しくは、複数のセキュリティー・ドメインを参照してください。depfeat

Java™ 2 セキュリティー および「グローバル・セキュリティー」パネルにあるその他のセキュリティー属性の一部を変更することも可能です。 このパネルでは、セル・レベルのセキュリティー設定にアクセスできます。 サーバーごとに異なる認証メカニズムまたはユーザー・レジストリーを 構成することはできません。このフィーチャーは、セル・レベルの構成に限定されます。

デフォルトで、サーバー・セキュリティーは、 セル・レベル・セキュリティーに構成された値をすべて継承します。 セル・レベルのセキュリティー構成をサーバー・レベルでオーバーライドするには、 「サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。 「セキュリティー」の下の「サーバー・セキュリティー」をクリックしてから、以下のリンクのいずれかをクリックします。

  • CSIv2 インバウンド認証
  • CSIv2 アウトバウンド認証
  • CSIv2 インバウンド・トランスポート
  • CSIv2 アウトバウンド・トランスポート
  • [AIX Solaris HP-UX Linux Windows][IBM i]SAS インバウンド・トランスポート
  • [AIX Solaris HP-UX Linux Windows][IBM i]SAS アウトバウンド・トランスポート
  • [z/OS]z/SAS 認証
  • サーバー・レベル・セキュリティー
[AIX Solaris HP-UX Linux Windows][IBM i]注: SAS がサポートされるのは、 バージョン 6.1 セルに統合されたバージョン 6.0.x と、 それより前のバージョンの間のサーバーに限られます。
[z/OS]注: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
これらのパネルのいずれかで構成を変更し、「OK」または「適用」をクリックすると、 そのパネル、またはパネルのセットに対するセキュリティー構成がセル・レベル・セキュリティーをオーバーライドします。 オーバーライドされない他のパネルは、引き続き、セル・レベルで継承されます。 ただし、ユーザーはいつでも、セル・レベル構成に復帰できます。 セル・レベルのセキュリティー構成に戻すには、「サーバー・セキュリティー」パネル上の以下のオプションのいずれかの横にあるチェック・ボックスをクリアします。
  • このサーバーのセキュリティー設定がセル設定をオーバーライドする (Security settings for this server override cell setting)
  • このサーバーの RMI/IIOP セキュリティーがセルの設定をオーバーライドする (RMI/IIOP security for this server overrides cell settings)
  • このサーバーの SAS セキュリティーがセルの設定をオーバーライドする (SAS security for this server overrides cell settings)
[z/OS]その他にも、サーバー・レベルのセキュリティーとして 考えられる z/OS® 用のセキュア認証サービス (z/SAS) 属性は、以下のように多数あります。
  • ローカル ID
  • リモート ID
  • 使用可能なスレッドへの同期

[AIX Solaris HP-UX Linux Windows][z/OS]詳しくは、サーバーおよび管理セキュリティーを参照してください。

手順

  1. デプロイメント・マネージャー用の管理コンソールを始動します。 管理コンソールに移動するには、 http://host.domain:port_number/ibm/console にアクセスします。 セキュリティーが使用不可の場合は、任意の ID を入力できます。 セキュリティーが使用可能な場合は、有効なユーザー ID およびパスワードを入力する必要があります。 これらのユーザー ID またはパスワードは、ユーザー・レジストリーに対して構成される管理 ID または 管理ユーザーとして入力されるユーザー ID のいずれかです。 ユーザー ID を管理ユーザーとして追加するには、 「システム管理」>「コンソール設定」>「コンソール・ユーザー」をクリックします。
  2. 以前にセル・レベル・セキュリティーを構成していない場合は、それを構成します。 詳しいステップについては、セキュリティーの使用可能化 を参照してください。セキュリティーの構成後、 サーバー・レベル・セキュリティーを構成します。
    重要: サーバー・レベル・セキュリティーは、管理コンソールのサーバー・レベル・セキュリティー設定で「アプリケーション・ セキュリティーの使用可能化」オプションを選択すると、使用不可になります。 また、管理コンソールの「グローバル・セキュリティー」設定パネルの「管理セキュリティーを使用可能にする」オプションを選択して、セル・レベル・セキュリティーを使用可能にする必要があります。
  3. サーバー・レベル・セキュリティーを構成するには、 「サーバー」>「アプリケーション・サーバー」>「サーバー名」をクリックします。 「セキュリティー」の下の「サーバー・セキュリティー」をクリックします。 このアプリケーション・サーバーで使用中のセキュリティー・レベル状況が表示されます。

    [AIX Solaris HP-UX Linux Windows][IBM i]デフォルトでは、セル・レベルのセキュリティー構成、Common Secure Interoperability (CSI)、および SAS は、サーバー・レベルでオーバーライドされていないことを確認できます。 CSI および SAS は、RMI/IIOP セキュリティー要求の認証プロトコルです。「Server Level Security」パネルは、 「グローバル・セキュリティー」パネル上にあってサーバー・レベルでオーバーライドできる属性をリストしています。 「グローバル・セキュリティー」パネル上の属性は、「ユーザー・アカウント・リポジトリー」をはじめ、 すべてがサーバー・レベルでオーバーライドできるわけではありません。

    [z/OS]デフォルトでは、セル・レベルのセキュリティー構成、Common Secure Interoperability (CSI)、および z/SAS は、サーバー・レベルでオーバーライドされていないことを確認できます。 CSI および z/SAS は、RMI/IIOP セキュリティー要求の認証プロトコルです。「Server Level Security」パネルは、 「グローバル・セキュリティー」パネル上にあってサーバー・レベルでオーバーライドできる属性をリストしています。 「グローバル・セキュリティー」パネル上の属性は、「ユーザー・アカウント・リポジトリー」をはじめ、 すべてがサーバー・レベルでオーバーライドできるわけではありません。

  4. このアプリケーション・サーバーの管理セキュリティーを使用可能にするには、「Server-level security」パネルに進み、「このサーバーのセキュリティー設定がセル設定をオーバーライドする (Security settings for this server override cell setting)」および「アプリケーション・セキュリティーを使用可能にする」の各オプションを選択します。 「Server-level security」パネルを変更すると、その設定によりセル・レベル・セキュリティーの設定がオーバーライドされます。
  5. 適用」と「保存」をクリックします。
  6. このアプリケーション・サーバーの RMI/IIOP セキュリティーを使用可能にするには、 「Server-level security」パネルに進み、「このサーバーの RMI/IIOP セキュリティーがセルの設定をオーバーライドする (RMI/IIOP security for this server overrides cell settings)」オプションを選択し、 「適用」をクリックします。このサーバーの RMI/IIOP セキュリティーがセルの設定をオーバーライドする (RMI/IIOP security for this server overrides cell settings)」オプションを選択する場合、 CSIv2 認証またはトランスポート設定に対して行う変更はすべてセル・レベルの同じ設定をオーバーライドします。

次のタスク

通常、特定のアプリケーション・サーバーに対するユーザー・セキュリティーを使用不可にするために、サーバー・レベル・セキュリティーが使用されます。 ただし、サーバー・レベル・セキュリティーは、 Java 2 セキュリティー・マネージャーを使用不可または使用可能にするため、 および、このアプリケーション・サーバーに着信および発信する RMI/IIOP 要求に対する認証要件を構成するためにも使用されます。

特定のアプリケーション・サーバーの構成を変更したら、 その変更を有効にするため、アプリケーション・サーバーを再始動する必要があります。 アプリケーション・サーバーを再始動するには、「サーバー」>「アプリケーション・サーバー」と進み、 最近変更したサーバーの名前をクリックします。 「停止」または「始動」をクリックします。

アプリケーション・サーバーのセキュリティーを使用不可にしてある場合は通常、セキュリティーを使用可能にした状態で保護されている Web アドレスをテストします。

[AIX Solaris HP-UX Linux Windows][IBM i]通常、DefaultApplication のインストール時にインストールされる 1 つの URL は、 スヌープ・アプリケーションです。DefaultApplication をアプリケーション・サーバー にインストールしたら、URL http://host.domain:9080/snoop にアクセスして、 セキュリティーが使用不可にされていることをテストします。セキュリティーが使用不可の場合は、プロンプトは表示されません。 この URL は構成を妥当性検査する 1 つの方法です。構成が、使用しているアプリケーションに適していることを検証します。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_serversecurity
ファイル名:tsec_serversecurity.html