PolicyTool を使用した Java 2 セキュリティー用のポリシー・ファイルの編集

PolicyTool ユーティリティーを使用して、ポリシー・ファイルを更新します。

始める前に

Java™ 2 セキュリティーは、いくつかのポリシー・ファイルを使用して、各 Java プログラムの付与された権限を決定します。 Java Development Kit は、これらのポリシー・ファイルを編集する PolicyTool ツールを提供します。 このツールを使用してポリシー・ファイルを編集し、その構文を検査することをお勧めします。 ポリシー・ファイルに構文エラーがあると、サーバーの始動などのアプリケーションの実行時に、AccessControlException 例外が発生します。この例外の原因を特定するのは容易なことではありません。 ユーザーが、アクセス違反となるリソースに精通していない場合があるためです。 これらのポリシー・ファイルを編集する場合は、十分な注意が必要です。

使用可能なポリシー・ファイルのリストについては、Java 2 セキュリティー・ポリシー・ファイルを参照してください。

[z/OS]PolicyTool ユーティリティーを WebSphere® Application Server for z/OS® で使用するには、以下の 2 つのオプションから 1 つを選択してください。
  • ポリシー・ファイルを Microsoft Windows などの別のプラットフォームにコピーし、ファイルを変更します。このオプションを使用するには、FTP コマンドを実行し、これらのファイルを他のプラットフォームに転送し、PolicyTool を起動し、更新ファイルをバイナリー・モードで z/OS システムに転送して戻す必要があります。
  • z/OS システムにインストールされた Software Development Kit (SDK) とともに提供されている PolicyTool を起動します。

[IBM i]PolicyTool にアクセスするには、WebSphere Application Server のクライアントかプラグイン・コンポーネントのいずれかをワークステーションにインストールする必要があります。 これは、iSeries サーバーでは現在サポートされていません。

手順

  1. [z/OS]z/OS システムにインストールされた Software Development Kit (SDK) とともに提供されている PolicyTool を起動します。
    1. 表示を Xwindows 対応デバイスにエクスポートします。 例えば、Open MVS™ (OMVS) で、export DISPLAY=<IP_address_of_the_Xwindows_device>:0.0 と入力します。
    2. z/OS システムを使用可能にし、Xwindows 対応デバイスのディスプレイにアクセスします。 例えば、AIX® AIX システムで、xhost + address_of_the_MVS_system と入力します。
    3. ポリシー・ファイルを拡張 2 進化 10 進コード (EBCDIC) フォーマットに変換します。
    4. $JAVA_HOME/policytool と入力して、OMVS の PolicyTool を起動します。 JAVA_HOME 変数は、 SDK がインストールされているディレクトリーを表します。
  2. [IBM i]ドライブをオペレーティング・システムにマッピングして、ディレクトリー・ツリーをポリシー・ファイルにナビゲートします。
  3. [AIX Solaris HP-UX Linux Windows][IBM i]PolicyTool を開始します。
    [Windows]例えば、Windows コマンド・プロンプトで以下のコマンドを入力することができます。
    %{was.install.root}/java/jre/bin/policytool

    [AIX Solaris HP-UX Linux Windows]PolicyTool」ウィンドウが開きます。 ツールは、ホーム・ディレクトリー内で java.policy ファイルを探します。 このファイルが見つからない場合は、エラー・メッセージが表示されます。

    OK」をクリックします。

  4. ファイル」>「オープン」とクリックします。
  5. オープン」ウィンドウで、 ディレクトリー・ツリーをナビゲートして更新が必要なポリシー・ファイルを選択します。 ポリシー・ファイルを選択したら、「オープン」をクリックします。 ウィンドウに、コードベース・エントリーがリストされます。
  6. コード・ベース・エントリーを作成または変更します。
    1. コード・ベースをダブルクリックして、既存のコード・ベース・エントリーを変更するか、 コード・ベースをクリックしてから「Edit Policy Entry」をクリックします。 「Policy Entry」ウィンドウが開き、選択済みコード・ベース用に定義されたアクセス権リストが表示されます。
    2. Add Policy Entry」をクリックして、新規コード・ベースを作成します。

      「Policy Entry」ウィンドウが開きます。 コード・ベース列で、コード・ベース情報を URL フォーマットで入力します。

      [AIX Solaris HP-UX Linux Windows][z/OS]例えば、次のように入力できます。
      app_server_root/InstalledApps/testcase.ear
      ここで、app_server_root 変数は、 ご使用のインストールのロケーションを表します。
      [IBM i]例えば、次のように入力できます。
      profile_root/InstalledApps/testcase.ear
  7. アクセス権の指定を変更または追加します。
    1. 変更するエントリーをダブルクリックするか、 アクセス権を選択して「Edit Permission」をクリックして、 アクセス権の指定を変更します。 選択したアクセス権情報を含む「アクセス権」ウィンドウが開きます。
    2. Add Permission」をクリックして、 新しいアクセス権を追加します。 「アクセス権」ウィンドウが開きます。「アクセス権」ウィンドウには、「 アクセス権」、「Target Name」、「アクション」および「 Signed By」という 4 つの行があります。
  8. 「アクセス権」リストからアクセス権を選択します。 選択されたアクセス権が表示されます。 アクセス権を選択したら、「Target Name」、「アクション」および「 Signed By」の各フィールドには、自動的に有効な選択項目が表示されるか、 テキスト入力域にテキストが入力できるようになります。
    1. リストから「Target Name」を選択するか、 テキスト入力域にターゲット名を入力します。
    2. リストから「Actions」を選択します。
    3. 必要に応じて「Signed By」を入力します。
      重要: Signed By キーワードは、ポリシー・ファイル app.policyspi.policylibrary.policywas.policy、 および filter.policy ファイルではサポートされていません。 ただし、Signed By キーワードは、ポリシー・ファイル #java.policyserver.policy、 および client.policy ファイルではサポートされます。Java 認証・承認サービス (JAAS) は、app.policyspi.policylibrary.policywas.policy、および filter.policy ファイルではサポートされていません。 ただし、JAAS プリンシパル・キーワードは、Java 仮想マシン (JVM) のシステム・プロパティー java.security.auth.policy で指定されている場合、JAAS ポリシー・ファイル内でサポートされます。
  9. OK」をクリックして、「アクセス権」ウィンドウを閉じます。 指定したコード・ベースの変更済みのアクセス権が表示されます。
  10. Done」をクリックしてウィンドウを閉じます。 変更済みのコード・ベース・エントリーがリストされます。 編集が完了するまで、前のステップを繰り返します。
  11. ファイルの編集が終了したら、「ファイル」>「保存」をクリックします。
  12. [z/OS]ポリシー・ファイルを EBCDIC フォーマットから ASCII フォーマットに変換します。

タスクの結果

ポリシー・ファイルが更新されます。編集が必要なポリシー・ファイルがある場合、 PolicyTool ユーティリティーを使用してください。 ポリシー・ファイルは手動で編集しないでください。 ポリシー・ファイルに構文エラーがあると、 アプリケーション・サーバーやエンタープライズ・アプリケーションが始動しなかったり、正しく機能しない可能性があります。更新済みポリシー・ファイルの変更を有効にするには、Java プロセスを再始動してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_policytool
ファイル名:tsec_policytool.html