異なるターゲット・レルムへのアウトバウンド ID マッピングの構成
デフォルトでは、WebSphere® Application Server が異なるセキュリティー・レルムで、あるサーバーから他のサーバーにアウトバウンド要求を行うと、要求はリジェクトされます。 このトピックでは、1 つのサーバーがアウトバウンド要求を異なるレルムのターゲット・サーバーに送ることができるようにするための代替手段の詳細を述べます。
このタスクについて
手順
- マッピングを実行しないでください。その代わりに、ターゲット・サーバーが異なるレルムにあっても、
既存のセキュリティー情報がトラステッド・ターゲット・サーバーへ流れることができるようにしてください。 管理コンソールで以下のステップを実行します。
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「RMI/IIOP セキュリティー」の下の「CSIv2 アウトバウンド認証」をクリックします。
- 「Trusted target realms」フィールドでターゲット・レルムを指定します。 パイプ (|) 文字で分けられているトラステッド・ターゲット・レルムをそれぞれ指定することができます。 例えば、Lightweight Directory Access Protocol (LDAP) サーバーに server_name.domain:port_number を、またはローカル・オペレーティング・システムにマシン名を指定します。異なるターゲット・レルムにセキュリティー属性を伝搬する場合、 「Trusted target realms」フィールドでターゲット・レルムを指定する必要があります。
- Java™ Authentication and Authorization Service
(JAAS) WSLogin アプリケーション・ログイン構成を使用して、
新規ターゲット・レルムのクレデンシャルを含む基本認証サブジェクトを作成します。 この構成によって、ターゲット・レルムのユーザー・レジストリーに固有のレルム、
ユーザー ID、およびパスワードでログインすることができます。
アウトバウンド要求を行う Java Platform, Enterprise Edition (Java EE)
アプリケーション内から、または RMI_OUTBOUND ログイン構成内から、ログイン情報を提供することができます。
これら 2 つのログイン・オプションは次の情報に記載されています。
- Java EE アプリケーション内から WSLogin アプリケーション・ログイン構成を使用してログインし、ターゲット・レルムのユーザー ID とパスワードが含まれるサブジェクトを取得します。 アプリケーションは、WSSubject.doAs 呼び出しでリモート呼び出しをラップすることができます。 例えば、例: WSLogin 構成を使用した、基本認証サブジェクトの作成を参照してください。
- RMI_OUTBOUND ログイン構成内のこのプラグ・ポイントから例: WSLogin 構成を使用した、基本認証サブジェクトの作成のコード・サンプルを使用します。 すべてのアウトバウンド Remote Method Invocation (RMI) 要求は、使用可能な場合、このログイン構成に移動します。
次のステップを実行し、このログイン構成を使用可能にし、接続します。
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「RMI/IIOP セキュリティー」の下の「CSIv2 アウトバウンド認証」をクリックします。
- 「Custom outbound mapping」オプションを選択します。「セキュリティー属性の伝搬」オプションが選択されている場合、WebSphere Application Server は既にこのログイン構成を使用しており、 カスタム・アウトバウンド・マッピングを使用可能にする必要はありません。
- カスタム・ログイン・モジュールを書き込みます。詳しくは、JAAS のシステム・ログイン構成用のカスタム・ログイン・モジュールの開発を参照してください。
例: RMI_OUTBOUND のログイン構成のサンプル は、レルム名が一致するかどうかを判別するカスタム・ログイン・モジュールを示します。この例では、レルム名は一致しないため、WSLoginmodule を使用して、 カスタム・マッピング規則に基づいて基本認証サブジェクトを作成します。 カスタム・マッピング規則は、カスタマー環境に固有で、ユーザー ID およびパスワードのマッピング・ユーティリティーに対する レルムを使用して実装される必要があります。
- 新規カスタム・ログイン・モジュールが最初にリストにくるように、RMI_OUTBOUND ログイン構成を構成します。
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「Java Java Authentication and Authorization Service」の下の「システム・ログイン」>「RMI_OUTBOUND」をクリックします。
- 「追加プロパティー」の下で、「JAAS ログイン・モジュール」>「新規」をクリックして、ログイン・モジュールを RMI_OUTBOUND 構成に追加します。
- RMI_OUTBOUND の「JAAS ログイン・モジュール」パネルに戻ります。
- 「順序の設定」をクリックして カスタム・ログインを最初にロードするように、 ログイン・モジュールがロードされる順番を変更します。
- use_realm_callback および use_appcontext_callback オプションを WSLogin
のアウトバウンド・マッピング・モジュールに追加します。 これらのオプションを追加するには、以下のステップを実行してください。
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「Java Authentication and Authorization Service」の下の「アプリケーション・ログイン」>「WSLogin」をクリックします。
- 「追加プロパティー」の下の「JAAS ログイン・モジュール」>「com.ibm.ws.security.common.auth.module.WSLoginModuleImpl」とクリックします。
- 「追加プロパティー」の下の「カスタム・プロパティー」>「新規」とクリックします。
- 「カスタム・プロパティー」パネルで、「名前」フィールドに use_realm_callback、 「値」フィールドに true を入力します。
- 「OK」をクリックします。
- 「新規」をクリックして、2 番目のカスタム・プロパティーに入ります。
- 「カスタム・プロパティー」パネルで、「名前」フィールドに use_appcontext_callback、「値」フィールドに true を入力します。
<entries xmi:id="JAASConfigurationEntry_2" alias="WSLogin"> <loginModules xmi:id="JAASLoginModule_2" moduleClassName="com.ibm.ws.security.common.auth.module.proxy.WSLoginModuleProxy" authenticationStrategy="REQUIRED"> <options xmi:id="Property_2" name="delegate" value="com.ibm.ws.security.common.auth.module.WSLoginModuleImpl"/> <options xmi:id="Property_3" name="use_realm_callback" value="true"/> <options xmi:id="Property_4" name="use_appcontext_callback" value="true"/> </loginModules> </entries>
サブトピック
例: WSLogin 構成を使用した、基本認証サブジェクトの作成
この例は、Java 2 Platform, Enterprise Edition (J2EE) アプリケーション内から WSLogin アプリケーション・ログイン構成を使用してログインし、 ターゲット・レルムのユーザー ID とパスワードが含まれるサブジェクトを取得する方法を示します。例: RMI_OUTBOUND のログイン構成のサンプル
この例は、レルム名が 2 つのサーバー間で一致するかどうかを判別する RMI_OUTBOUND のサンプル・ログイン構成を示します。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_outbdiffrealm
ファイル名:tsec_outbdiffrealm.html