インバウンド・トランスポートの構成

この構成を使用して、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。

始める前に

[AIX Solaris HP-UX Linux Windows][IBM i]インバウンド・トランスポート は、このサーバー向けの要求を受信するために開かれる リスナー・ポートのタイプと、その属性とを参照します。Common Secure Interoperability Specification, Version 2 (CSIv2) および Secure Authentication Service (SAS) の両方に、 トランスポートを構成する機能があります。
重要: SAS がサポートされるのは、 バージョン 6.1 セルに統合されたバージョン 6.0.x と、 それより前のバージョンの間のサーバーに限られます。
[z/OS]インバウンド・トランスポート は、このサーバー向けの要求を受信するために開かれる リスナー・ポートのタイプと、その属性とを参照します。Common Secure Interoperability Specification, Version 2 (CSIv2) および z/OS® Secure Authentication Service (z/SAS) の両方に、トランスポートを構成する機能があります。
重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
[AIX Solaris HP-UX Linux Windows][IBM i]ただし、これら 2 つのプロトコルの間には、次のような違いがあります。
  • CSIv2 は SAS よりもはるかに柔軟性があります。SAS は Secure Sockets Layer (SSL) を要求しますが、CSIv2 は要求しません。
  • SAS は SSL クライアント証明書認証をサポートしていませんが、CSIv2 はサポートしています。
  • CSIv2 は SSL 接続を要求できますが、SAS は SSL 接続をサポートするだけです。
  • SAS では、常に、TCP/IP と SSL の 2 つのリスナー・ポートが開いています。
  • CSIv2 では、 リスナー・ポートを 1 つだけ開くことも、多い場合は 3 つ開くこともできます。 TCP/IP だけの場合、あるいは SSL が必要な場合は、1 つのポートを開くことができます。SSL がサポート されている場合には 2 つのポートを開くことができ、SSL および SSL クライアント証明書認証が サポートされている場合には、3 つのポートを開くことができます。

[z/OS]CSIv2 および z/SAS は、ほとんどの同じ機能をサポートします。 CSIv2 には、他の WebSphere® Application Server 製品、および CSIv2 プロトコルをサポートする任意の他のプラットフォームとの インターオペラビリティーがあるという利点があります。

このタスクについて

以下のステップを完了して、管理コンソールの「インバウンド・トランスポート」パネルを構成します。

手順

  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「RMI/IIOP セキュリティー」の下の「CSIv2 インバウンド通信」をクリックします。
  3. 「トランスポート」の下の「SSL 必須」を選択します。 サーバーがサポートするインバウンド・トランスポートとして、Secure Sockets Layer (SSL)、TCP/IP、またはその両方を 使用するように選択できます。「TCP/IP」を指定すると、サーバーは TCP/IP のみをサポートし、SSL 接続を受け入れること はできません。「SSL サポート」を指定すると、このサーバーは TCP/IP 接続または SSL 接続をサポートできます。「SSL 必須」を指定すると、 このサーバーと通信しているサーバーはすべて SSL を使用する必要があります。
  4. 適用」をクリックします。
  5. 構成したリスナー・ポートの修正を検討してください。
    このアクションは別のパネルで行いますが、ここで取り上げるのが妥当です。 ほとんどのエンドポイントは、単一のロケーションで管理されているため、「インバウンド・トランスポート」パネルでは表示されません。単一のロケーションでエンドポイントを管理すると、エンドポイントを割り当てる際に、構成内での競合数を減らすことができます。SSL エンドポイントのロケーションは、個々のサーバーにあります。 以下のポート名は、「エンドポイント」パネルで定義され、オブジェクト・リクエスト・ブローカー (ORB) のセキュリティーに使用されます。
    • [AIX Solaris HP-UX Linux Windows][IBM i]CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS - CSIv2 クライアント認証 SSL ポート
    • [AIX Solaris HP-UX Linux Windows][IBM i]CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS - CSIv2 SSL ポート
    • [AIX Solaris HP-UX Linux Windows][IBM i]SAS_SSL_SERVERAUTH_LISTENER_ADDRESS - SAS SSL ポート
    • [z/OS]ORB_SSL_LISTENER_ADDRESS - SSL ポート
    • [AIX Solaris HP-UX Linux Windows][IBM i]ORB_LISTENER_PORT - TCP/IP ポート
    • [z/OS] ORB_LISTENER_ADDRESS - IIOP ポート

    アプリケーション・サーバーでは、 「サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。 「通信」の下の「ポート」をクリックします。指定されたサーバーの「ポート」パネルが表示されます。

    [AIX Solaris HP-UX Linux Windows]ノード・エージェントの場合は、「システム管理」>「ノード・エージェント」>「node_name」と移動します。 「追加プロパティー」の下の「ポート」をクリックします。 ノード・エージェントとデプロイメント・マネージャーの「ポート」パネルは修正済みですが、ポートの再割り当てを検討できます。デプロイメント・マネージャーの場合は、「システム管理」>「デプロイメント・マネージャー」とクリックします。 「追加プロパティー」の下の「ポート」をクリックします。

    WebSphere Application Server の Object Request Broker (ORB) は、Internet Inter-ORB Protocol (RMI/IIOP) 通信上のリモート・メソッド呼び出しにリスナー・ポートを使用し、構成ダイアログを使用するかまたはマイグレーション時に、静的に指定されます。[z/OS]ORB_LISTENER_ADDRESS と BOOTSTRAP_ADDRESS は、同一のポートを指定する必要があります。ファイアウォールで作業する場合には、ORB リスナーに静的ポートを指定し、ファイアウォール上でそのポートを開き、この指定されたポートを介して通信が渡されるようにします。ORB リスナー・ポートを設定する際のエンドポイント・プロパティーは、ORB_LISTENER_ADDRESS です。

    [AIX Solaris HP-UX Linux Windows][IBM i]WebSphere Application Server Network Deployment 環境では、ノード・エージェントに ORB_LISTENER_ADDRESS エンドポイントが指定されます。ロケーション・サービス・デーモンは、ノード・エージェントに置かれており、ORB リスナー・ポート上で結合されます。これにより、ポートを固定させることが必要になります。また、ORB_LISTENER_ADDRESS を他のアプリケーション・サーバーに追加してから、ORB リスナー・ポートを設定する必要があります。各 ORB は、個別のリスナー・ポートを持っています。 WebSphere Application Server Network Deployment では、異なるリスナー・ポートを指定しなければなりません。 例えば、以下のポートを指定できます。
    • ノード・エージェント: ORB_LISTENER_ADDRESS=9000
    • Server1: ORB_LISTENER_ADDRESS=9811
    • Server2: ORB_LISTENER_ADDRESS=9812
    [AIX Solaris HP-UX Linux Windows][IBM i]統合されたサーバーは、ノード・エージェントが実行中でなくても実行できます。ORB_LISTENER_ADDRESS が (0) 以上の値に設定されている場合、 サーバーはロケーション・サービス・デーモンに依存せずサーバーに接続をリダイレクトします。ORB_LISTENER_ADDRESS を設定する場合、名前空間のすべての オブジェクト参照はロケーション・サービス・デーモンではなくサーバーへの接続を指定します。 サーバーがノード・エージェントなしで実行中の場合、 すべてのアプリケーションはアプリケーション・サーバー上で実行されるネーム・サーバーを介して アクセスされる必要があります。クライアントは、アプリケーション・サーバーのホストおよびポートを使用するように、Java™ Naming Directory Interface (JNDI) 参照を変更する必要があります。
    表 1. ORB_LISTENER_ADDRESS. この表では、ORB_LISTENER_ADDRESS について説明します。
    ORB_LISTENER_ADDRESS  
    value = 0 サーバーは使用可能な任意のポートで開始され、ロケーション・サービス・デーモンを使用しません。
    value > 0 サーバーは入力した値により指定されたポートで開始されます。 ロケーション・サービス・デーモンは使用されません。
    注: ワークロード管理は、ノード・エージェントが実行中でなければ動作しません。

    [z/OS]管理コンソールを使用して以下のステップを行い、ORB_LISTENER_ADDRESS ポート (複数可) を指定します。

    [AIX Solaris HP-UX Linux Windows][IBM i]ノード・エージェントとデプロイメント・マネージャーについて、以下のステップを行ってください。

    1. サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。 「通信」の下の「ポート」>「新規」をクリックします。
    2. 「構成」パネルの「ポート名」フィールドから ORB_LISTENER_ADDRESS を選択します。
    3. [AIX Solaris HP-UX Linux Windows][IBM i]IP アドレス、完全修飾ドメイン・ネーム・システム (DNS) ホスト名、または DNS ホスト名だけを「ホスト」フィールドに入力します。 例えば、ホスト名が myhost である場合、DNS の 完全修飾名は myhost.myco.com、IP アドレスは 155.123.88.201 などになります。
    4. [z/OS]ホスト」フィールドに IP アドレスまたは「*」を入力します。 例えば、IP アドレスは、155.123.88.201 などになります。
      重要: DNS ホスト名は、ORB_LISTENER_ADDRESS の値としてはサポートされません。
    5. ポート」フィールドに、ポート番号を入力します。 ポート番号は、クライアント要求を受け入れるようにサービスが構成されているポートを指定します。 ポート値は、ホスト名とともに使用します。前の例を使用すると、ポート番号は 9000 になります。
  6. [AIX Solaris HP-UX Linux Windows][IBM i]「セキュリティー」>「グローバル・セキュリティー」とクリックします。「RMI/IIOP セキュリティー」の下の「CSIv2 インバウンド通信」をクリックします。CSIv2 クライアントからのインバウンド要求に使用する SSL 設定を選択してから、「適用」をクリックします。 前のリリースとの相互運用には、CSIv2 プロトコルが使用されます。 SSL 構成で鍵ストア・ファイルおよびトラストストア・ファイルを構成する場合、これらのファイルには、WebSphere Application Server の前のリリースとの相互運用のための正しい情報が必要です。
  7. [z/OS]「セキュリティー」>「グローバル・セキュリティー」とクリックします。「RMI/IIOP セキュリティー」の下の「z/SAS 認証」をクリックして、z/SAS クライアントからのインバウンド要求に使用される SSL 設定を選択します。

タスクの結果

インバウンド・トランスポート構成が完了しました。この構成により、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。 例えば、ユーザーが最初に使用するサーバーがアプリケーション・サーバーである場合は、セキュリティー構成はさらにセキュアになります。 バックエンドのエンタープライズ Bean サーバーに要求が出される場合は、 パフォーマンス上の理由で、アウトバウンドへの送出時のセキュリティーを 軽減することがあります。この柔軟性により、それぞれのニーズに適したトランスポート・インフラストラクチャーを設計することができます。

次のタスク

セキュリティーの構成を終えたら、以下のステップを実行して、サーバーを保存し、同期を取ってから、サーバーを再始動します。
  1. 管理コンソールで「保存」をクリックして、構成に対する変更を保存します。
  2. [AIX Solaris HP-UX Linux Windows]すべてのノード・エージェントとの間で構成を同期化します。
  3. 同期が取れたら、すべてのサーバーを停止してから再始動します。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_inboundtransport
ファイル名:tsec_inboundtransport.html