ローカル・オペレーティング・システムのレジストリー

ローカル・オペレーティング・システムのレジストリー実装により、WebSphere® Application Server の認証メカニズムは、ローカル・オペレーティング・システムのユーザー・アカウント・データベースを使用できます。

注: このトピックでは、 1 つ以上のアプリケーション・サーバー・ログ・ファイルを参照します。推奨される代替案として、分散システムや IBM® i システムの SystemOut.logSystemErr.logtrace.logactivity.log ファイルではなく、High Performance Extensible Logging (HPEL) ログおよびトレース・インフラストラクチャーを使用するようにサーバーを構成できます。また HPEL は、ネイティブ z/OS® ロギング機能と連携させて使用することができます。HPEL を使用する場合、LogViewer コマンド・ライン・ツールを サーバー・プロファイルの bin ディレクトリーから使用して、すべてのログ・ファイルにアクセスし、 情報をトレースできます。HPEL の使用について詳しくは、HPEL を使用してのアプリケーションの トラブルシューティングに関する情報を参照してください。

[IBM i]ローカル・オペレーティング・システムのレジストリーを使用して、WebSphere Application Server リソースにアクセスするプリンシパルを示す場合、特別なユーザー・レジストリーのセットアップ・ステップを完了する必要はありません。 ローカル・オペレーティング・システムのレジストリーは、WebSphere Application Server リソースにアクセスするユーザーの認証および許可に使用されますが、オペレーティング・システムのリソースにアクセスする WebSphere Application Server ユーザーに対しては使用されません。 WebSphere Application Server は、Application Server ユーザーのオペレーティング・システム・ユーザー・プロファイルの下では稼働しません。 その代わりに、WebSphere Application Server は、Application Server 管理者が構成するオペレーティング・システム・プロファイルの下で稼働します。

[IBM i]ある WebSphere Application Server リソースについてユーザーを許可する場合、そのユーザーのユーザー・プロファイルがオペレーティング・システムに存在していなければなりません。 Create User Profile (CRTUSRPRF) コマンドを使用して、WebSphere Application Server が使用できる、新規ユーザー ID を作成します。

[AIX Solaris HP-UX Linux Windows]Lightweight Directory Access Protocol (LDAP) は、 集中レジストリーです。 ほとんどのローカル・オペレーティング・システムのレジストリーは、集中レジストリーではありません。

[AIX Solaris HP-UX Linux Windows]WebSphere Application Server は、Windows のローカル・アカウント・レジストリーおよびドメイン・レジストリーの実装も、Linux、Solaris、および AIX® のユーザー・アカウント・レジストリーの実装に加えて提供しています。 Windows Active Directory は、後述する LDAP ユーザー・レジストリーの実装によってサポートされます。

[AIX Solaris HP-UX Linux Windows]
注: Active Directory (ドメイン・コントローラー) における 3 つのグループ有効範囲は、Domain Local Group、Global Group、および Universal Group です。 Active Directory (ドメイン・コントローラー) では、2 つのグループ・タイプは、Security および Distribution です。
グループが作成される場合、デフォルト値は Global で、デフォルトのタイプは Security です。 Windows 2003 ドメイン・コントローラーに対する Windows NT ドメイン・レジストリーのサポートでは、WebSphere Application Server は Security タイプの Global グループのみをサポートします。Windows 2003 ドメイン・コントローラーを使用する場合は、Active Directory ではすべてのグループ有効範囲およびタイプがサポートされるため、Windows NT ドメイン・レジストリーではなく Active Directory レジストリー・サポートを使用することが推奨されます。 また、Active Directory は、Windows NT ドメイン・レジストリーではサポートされていない、ネストされたグループをサポートしています。 Active Directory は、集中制御のレジストリーです。
注: WebSphere Application Server では、ドメインのメンバーはすべてのプラットフォーム上の任意のマシンにインストールできるため、ドメインのメンバーをインストールする必要はありません。 Windows NT ドメイン・ネイティブ呼び出しは、エラーがない場合にのみ、サポート・グループを戻します。

[AIX Solaris HP-UX Linux Windows][IBM i]アプリケーション・サーバーが複数のマシン間で分散している WebSphere Application Server 環境では、各マシンが独自のユーザー・レジストリーを持つため、ローカル・オペレーティング・システムのレジストリーを使用しないでください。

[AIX Solaris HP-UX Linux Windows]Windows ドメイン・レジストリーおよび Network Information Services (NIS) は例外です。 Windows ドメイン・レジストリーと Network Information Services (NIS) は、どちらも集中レジストリーです。 Windows ドメイン・レジストリーは WebSphere Application Server によってサポートされていますが、NIS はサポートされていません。

[AIX Solaris HP-UX Linux Windows][IBM i]前述したように、 ユーザー・レジストリーから取り出したアクセス ID が、許可検査時に使用されます。これらの ID は、通常、固有の ID であるため、 まったく同じユーザーとパスワードが各マシン上に存在しても、マシンごとに異なります。

[AIX Solaris HP-UX Linux Windows][IBM i]ローカル・オペレーティング・システム・ユーザー・レジストリーを使用している場合、 Web クライアント証明書認証は現在サポートされていません。 ただし、Java™ クライアント証明書認証は、ローカル・オペレーティング・システム・ユーザー・レジストリーを使用して機能します。 Java クライアント証明書認証は、証明書のドメイン・ネームの 1 番目の属性をユーザー・レジストリーのユーザー ID にマップします。

[AIX Solaris HP-UX Linux Windows][IBM i]Java クライアント証明書が正しく機能している場合でも、SystemOut.log ファイルに、次のエラーが表示されます。

CWSCJ0337E: mapCertificate メソッドはサポートされていません

このエラーは、Web クライアント証明書に対するものですが、Java クライアント証明書の場合にも表示されます。 Java クライアント証明書の場合は、このエラーを無視してください。

[z/OS]ローカル・オペレーティング・システムのレジストリーは、 シスプレックス内の集中レジストリーです。

[z/OS]WebSphere Application Server は、System Authorization Facility (SAF) インターフェースを使用します。 SAF インターフェースは MVS™ によって定義されており、アプリケーションがシステム許可サービスまたはレジストリーを使用して、データ・セットや MVS コマンドなどのリソースへのアクセスを制御できるようになっています。 SAF により、セキュリティー許可要求を、Resource Access Control Facility (RACF®) またはサード・パーティーの z/OS セキュリティー・プロバイダーを介して直接処理することができます。 ローカル・オペレーティング・システムがユーザー・レジストリーとして選択されている場合以外は、 ユーザー・レジストリー ID から SAF ユーザー ID へのマッピングを提供する必要があります。 詳しくは、System Authorization Facility のカスタム・マッピング・モジュールを参照してください。

[z/OS]ローカル・オペレーティング・システム・ユーザー・レジストリーを 使用している場合、Web クライアント証明書認証はサポートされます。ローカル OS を選択する場合、Web および Java クライアントの両方によって、デジタル証明書を MVS ID にマップすることができます。 証明書名フィルターを使用して、マッピングを単純化することができます。RACF をセキュリティー・サーバーとして使用している場合、RACDCERT MAP コマンドにより、複数のユーザー ID をデジタル証明書にマップするリソース・プロファイルが作成され、証明書管理の単純化、RACF データベースでのストレージ・スペースの節約、責任能力の維持、またはアクセス制御細分性の維持が行われます。

[AIX Solaris HP-UX Linux Windows]

必要な特権

WebSphere Application Server プロセスを実行するユーザーは、Windows オペレーティング・システムからユーザーおよびグループ情報を認証したり、取得したりするために、Windows システムのアプリケーション・プログラミング・インターフェース (API) を呼び出すことができる十分なオペレーティング・システム特権を持っている必要があります。 このユーザーがマシンにログインするか、 またはサービスとして稼働中の場合は、「Log On As」ユーザーがログオンします。 マシンによって、およびマシンがスタンドアロン・マシンであるか、 ドメインの一部またはドメイン・コントローラーとなっているマシンであるかによって、 アクセス要件は異なります。

  • スタンドアロン・マシンの場合、ユーザーの要件は以下のとおりです。
    • 管理グループのメンバーであること。
    • 「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • サーバーをサービスとして実行する場合は、「サービスとしてログオンする」特権があること。
  • マシンがドメインのメンバーである場合、 ドメイン・ユーザーのみが、サーバー・プロセスを開始でき、 以下の要件を満たしている必要があります。
    • ドメイン・コントローラーのドメイン・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • ローカル・マシンのローカル・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • サーバーをサービスとして実行する場合は、ローカル・マシンに「サービスとしてログオンする」特権があること。

      ユーザーは、ドメイン・ユーザーであり、ローカル・ユーザーではありません。 これは、マシンがドメインの一部であるときに、 ドメイン・ユーザーしかサーバーを開始できないことを意味しています。

  • ドメイン・コントローラー・マシンの場合、ユーザーの要件は以下のとおりです。
    • ドメイン・コントローラーのドメイン管理グループのメンバーであること。
    • ドメイン・コントローラーのドメイン・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • サーバーをサービスとして実行する場合は、 ドメイン・コントローラーに「サービスとしてログオンする」特権があること。
サーバーを稼働させているユーザーに必要な特権がない場合は、 ログ・ファイルに以下の例外メッセージのいずれかが見られることがあります。
  • クライアントが必要な権限を保持していません。(A required privilege is not held by the client.)
  • アクセスは拒否されました。(Access is denied.)
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): コマンド・プロンプトを使用する場合、アプリケーション・サーバーは管理者特権で開始する必要があります。以下のアクションを実行して起動されるコマンド・プロンプト・ウィンドウからアプリケーション・サーバーを始動します。
  • コマンド・プロンプトのショートカットを右クリックします。
  • 管理者として実行」をクリックします。

    コマンド・プロンプト・ウィンドウを管理者として開くと、続行するかどうかを尋ねるオペレーティング・システム・ダイアログが表示されます。「継続」をクリックして処理を進めます。

gotcha
[AIX Solaris HP-UX Linux Windows]

ドメインおよびローカル・ユーザー・レジストリー

WebSphere Application Server の始動時に、セキュリティー・ランタイム初期化プロセスは、ローカル・マシンが Windows ドメインのメンバーであるかどうかを動的に判別します。 マシンがドメインの一部である場合は、優先するドメイン・レジストリーの認証および許可を目的として、 デフォルトで、ローカル・レジストリー・ユーザーまたはグループならびにドメイン・レジストリー・ユーザーまたはグループの両方を使用できます。 セキュリティー・ロール・マッピング中に示されたユーザーおよびグループのリストには、 ローカル・ユーザー・レジストリーおよびドメイン・ユーザー・レジストリーの両方からのユーザーおよびグループが含まれています。 ユーザーとグループは、関連付けられたホスト名により区別できます。

WebSphere Application Server は、トラステッド・ドメインをサポートしていません。

マシンが Windows システム・ドメインのメンバーでない場合は、そのマシンのローカルなユーザー・レジストリーが使用されます。

[AIX Solaris HP-UX Linux Windows]

ドメイン・ユーザー・レジストリーとローカル・オペレーティング・システム・レジストリーの両方を使用

WebSphere Application Server プロセスをホストするマシンがドメインのメンバーである場合は、デフォルトで、ローカル・ユーザー・レジストリーとドメイン・ユーザー・レジストリーの両方が使用されます。 次のセクションでは、このトピックについて詳しく説明し、 好ましくない結果を避けるため、いくつかのベスト・プラクティスを推奨しています。
注: このセクションでは、z/OS の考慮事項を直接には説明しませんが、これらのレジストリーをどのようにセットアップするかによって、セキュリティー・オペレーション全体が影響を受けることに注意してください。
  • ベスト・プラクティス
    • 通常、 ローカル・レジストリーおよびドメイン・レジストリーに共通のユーザーまたはグループが含まれていない場合は、 管理が簡単になり、好ましくない副次作用の発生を避けられます。 可能であれば、ユーザーおよびグループに、サーバー ID や管理ロールなどの、 固有のセキュリティー・ロールへのアクセス権限を付与してください。 この場合、ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーのいずれかから、 ユーザーおよびグループを選択し、ロールへのマッピングを行ないます。
    • 同じユーザーまたはグループがローカル・ユーザー・レジストリーとドメイン・ユーザー・レジストリーの両方に存在する場合、 少なくとも、サーバー ID、および管理ロールへマップされるユーザーおよびグループが、 レジストリー内で固有であり、ドメイン上にのみ存在することが推奨されます。
    • ユーザーの共通セットが存在する場合は、 該当するユーザーが確実に認証を受けられるように異なるパスワードを設定してください。
  • 処理の仕組み
    • マシンがドメインに含まれる場合、 ローカル・ユーザー・レジストリーよりもドメイン・ユーザー・レジストリーが優先します。 例えば、ユーザーがシステムにログインする場合、 まずドメイン・ユーザー・レジストリーがユーザーを認証しようとします。 認証が失敗すると、ローカル・ユーザー・レジストリーが使用されます。 ユーザーまたはグループがロールにマップされる際に、 ユーザーおよびグループの情報は、まずドメイン・ユーザー・レジストリーから取得されます。 これが失敗すると、ローカル・ユーザー・レジストリーから情報を取得しようとします。
    • ただし、完全修飾されたユーザーまたはグループ名で、 ドメインまたはホスト名が付加されているものがロールにマップされる場合は、 そのユーザー・レジストリーのみが情報の取得に使用されます。管理コンソールまたはスクリプトを使用して完全修飾されたユーザーおよびグループ名を取得する方法が、ユーザーおよびグループをロールにマップする場合の推奨方法です。
      ヒント: あるマシン (例えば、ローカル OS ユーザー・レジストリー) 上の ユーザー Bob は、別のマシン (例えば、ドメイン・ユーザー・レジストリー) 上の ユーザー Bob と同じではありません。 これは、ユーザー・レジストリーが異なると、Bob の固有 ID (この場合、セキュリティー ID [SID]) が 異なるためです。
  • MyMachine マシンは MyDomain ドメインに含まれています。 MyMachine マシンには、以下のユーザーおよびグループがあります。
    • MyMachine¥user2
    • MyMachine¥user3
    • MyMachine¥group2
    MyDomain ドメインには、以下のユーザーおよびグループがあります。
    • MyDomain¥user1
    • MyDomain¥user2
    • MyDomain¥group1
    • MyDomain¥group2
    以下に示すのは、 上記のユーザーおよびグループのセットを想定している、いくつかのシナリオです。
    1. user2 がシステムにログインする際には、認証にはドメイン・ユーザー・レジストリーが使用されます。 例えば、パスワードが異なるなどの理由で認証が失敗した場合、 ローカル・ユーザー・レジストリーが使用されます。
    2. MyMachine¥user2 ユーザーがロールにマップされる場合は、MyMachine マシンの user2 ユーザーだけが、 アクセス権を持ちます。したがって、user2 パスワードが、ローカル・ユーザー・レジストリーと ドメイン・ユーザー・レジストリーの両方で同じ場合、user2 ユーザーはリソースにアクセスできません。 これは、user2 ユーザーが常にドメイン・ユーザー・レジストリーを使用して認証されるためです。 両方のユーザー・レジストリーに共通ユーザーがある場合、 パスワードを別にしておくことをお勧めします。
    3. group2 グループがロールにマップされる場合は、最初に group2 情報が ドメイン・ユーザー・レジストリーから取得されるため、 MyDomain¥group2 グループのメンバーであるユーザーのみがリソースにアクセスできます。
    4. MyMachine¥group2 グループがロールにマップされる場合は、 MyMachine¥group2 グループのメンバーであるユーザーのみがリソースにアクセスできます。 特定のグループがロール (単なる group2 ではなく MyMachine¥group2) にマップされます。
    5. user3 ユーザーまたは MyMachine¥user3 ユーザーのいずれかを使用して、 ロールにマップします。これは、user3 ユーザーは 1 つのユーザー・レジストリーのみに存在し、 固有であるためです。

    同じパスワードを持つユーザーが、 ドメイン・ユーザー・レジストリーおよびローカル・ユーザー・レジストリーの両方に存在する場合、 ドメイン・ユーザー・レジストリーを最初に許可すると、問題が発生する可能性があります。 ユーザーは最初にドメイン・ユーザー・レジストリー内で認証されるため、この状態ではロール・ベースの許可が失敗する可能性があります。 この認証によって、WebSphere Application Server で使用される固有のドメイン・セキュリティー ID が許可検査中に生成されます。 しかし、ロールの割り当てには、ローカル・ユーザー・レジストリーが使用されます。 ドメイン・セキュリティー ID は、ロールに関連付けられた固有のセキュリティー ID とは一致しません。 この問題を避けるためには、セキュリティー・ロールをローカル・ユーザーではなく、ドメイン・ユーザーにマップしてください。

    複数のノードが関係している場合は、 集中リポジトリーのみを使用できます。 この使用法は、ドメイン・ユーザー・レジストリーのみが使用できることを意味します。 これは前述のように、ノードによって、ユーザーおよびグループの固有 ID (SID) が異なるためです。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): このフィックスパックより前の、 UNIX システムのローカル・オペレーティング・システム・ユーザー・レジストリーは、多数のグループを含んでいるとグループ名を検出できない場合がありました。 この問題はメモリーの制約からくるもので、通常は、レジストリーに数百のグループが入っていると起こります。 このフィックスパック以降では、バッファー・サイズは多数のグループを収容できる大きさになっています。gotcha
[AIX Solaris HP-UX Linux Windows][IBM i]

ローカルまたはドメインのユーザー・レジストリーの使用

ローカル・ユーザー・レジストリーまたはドメイン・ユーザー・レジストリーの両方ではなく、 そのいずれかからユーザーおよびグループにアクセスする場合は、com.ibm.websphere.registry.UseRegistry プロパティーを設定します。 このプロパティーは、local または domain のいずれかに設定できます。 このプロパティーが local (大/小文字は区別しません) に設定されている場合は、ローカル・ユーザー・レジストリー のみが使用されます。このプロパティーが domain (大/小文字は区別しません) に設定されている場合は、 ドメイン・ユーザー・レジストリーのみが使用されます。

このプロパティーは、 以下のステップを実行して、管理コンソールの「カスタム・プロパティー」パネルにアクセスすることにより設定します。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」で、 「使用可能なレルム定義」ドロップダウン・リストをクリックし、 「ローカル・オペレーティング・システム」を 選択してから「構成」をクリックします。
  3. 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
wsadmin を使用してこのプロパティーを構成することもできます。 このプロパティーが設定された場合、 製品プロセスを実行するユーザーに必要な特権は変わりません。 例えば、このプロパティーが local に設定されていても、 プロセスを実行しているユーザーには、プロパティーが設定されていない場合と同じ特権が必要です。
[AIX Solaris HP-UX Linux Windows]

システム・ユーザー・レジストリーの使用

以下の注は、システム・ユーザー・レジストリーを使用する場合に適用されます。
  • [AIX][HP-UX][Linux][Solaris]システムのユーザー・レジストリーを使用する場合、WebSphere Application Server プロセスを実行するプロセス ID には、認証とユーザーまたはグループ情報を取得するためのローカル・オペレーティング・システム API を呼び出すためのルート権限が必要です。
  • [AIX][HP-UX][Linux][Solaris]ローカル・マシン・ユーザー・レジストリーのみが使用されます。ネットワーク情報サービス (NIS) (イエロー・ページ) はサポートされていません。
  • [HP-UX]ローカル・オペレーティング・システムのユーザー・レジストリーを使用する場合は、HP-UX が非トラステッド・モードで構成されている必要があります。ローカル・オペレーティング・システムの ユーザー・レジストリーを使用している場合、トラステッド・モードはサポートされません。
  • [Linux][Solaris]

    WebSphere Application Server ローカル・オペレーティング・システムのレジストリーが Linux および Solaris プラットフォーム上で実行する場合には、シャドー・パスワード・ファイルが必要です。 シャドー・パスワード・ファイルは shadow という名前で、 /etc ディレクトリーにあります。シャドー・パスワード・ファイルが存在しない場合には、 管理セキュリティーを使用可能にして、ローカル・オペレーティング・システムとしてレジストリーを構成した後に、エラーが発生します。

    シャドー・ファイルを作成するには、 pwconv コマンドを (パラメーターなしで) 実行してください。 このコマンドにより、/etc/passwd ファイルから /etc/shadow ファイルが作成されます。 シャドー・ファイルの作成後は、 ローカル・オペレーティング・システム・セキュリティーを正常に使用可能にできます。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_localos
ファイル名:csec_localos.html