WebSphere® Application Server 管理コンソールを使用して、Rivest Shamir Adleman (RSA) トークン認証メカニズムを構成します。
RSA トークン認証メカニズムは、管理要求でのみ使用することができます。したがって、管理認証のための認証メカニズムの選択は、管理コンソールの「グローバル・セキュリティー」パネルの一部になっています。
始める前に
RSA トークン認証メカニズムは、アプリケーション・サーバー、管理エージェント、およびジョブ・マネージャーの各プロファイルにおいて、デフォルトで選択されています。LTPA は、既存のトポロジーに対して動作を維持するために、引き続きデプロイメント・マネージャー・プロファイルでのデフォルト設定になっています。
このタスクについて
管理コンソールのメインの認証メカニズムの各パネルで、Lightweight Third-Party Authentication (LTPA) および Kerberos を構成するとともに、RSA トークン認証の構成も行います。管理エージェントへの基本プロファイルの登録時に、両側のトラステッド証明書は、他方の側のルート署名者によって更新されます。同じプロセスは、管理エージェントまたはデプロイメント・マネージャーをジョブ・マネージャーに登録するときにも生じます。登録を除去すると、トラステッド署名者は両側から除去され、トラストは確立されなくなります。
デフォルトでは、RSA メカニズムは、registerNode や registerWithJobManager などの登録タスク時に正常にセットアップされます。これらの環境内でトラストを確立するためのアクションは、これ以上必要ありません。ただし、例えば 2 つの基本サーバーまたは 2 つの管理エージェントの間でトラストを確立する必要がある場合は、以下のステップを実行して、RSA トークン認証メカニズムをさらに構成することができます。
手順
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。「管理セキュリティー」で、「管理認証 (Administrative authentication)」へのリンクをクリックします。
- 「RSA トークン (RSA token)」ラジオ・ボタンを選択します。ドロップダウン・リストからデータ暗号鍵ストアを選択します。 このオプションは、システム管理の柔軟性を高めるために選択することをお勧めします。
- オプション: 2 つの基本サーバー間でルート署名者を交換するには、次のようにします。
- データ暗号化鍵ストアのドロップダウン・リストから、ルート鍵ストア (NodeRSATokenRootStore など) を選択します。
- 「署名者の抽出」をクリックします。
- 「証明書ファイル名」フィールドに完全修飾名を入力します。
- 「OK」をクリックします。
- オプション: 抽出したルート署名者をもう一方のサーバーに転送し、それをそのサーバーのトラステッド署名者鍵ストアに追加します。
- ドロップダウン・リストからトラステッド鍵ストア (NodeRSATokenTrustedStore など) を選択します。
- 「署名者の追加 (Add Signer)」をクリックします。
- 別名に固有の名前を入力します。
- 署名者鍵ファイルの完全修飾名を入力します。
- 「OK」をクリックします。
- nonce キャッシュ・タイムアウト値を入力します。
- トークン・タイムアウト値を入力します。
- 「適用」と「保存」をクリックします。
タスクの結果
これで、RSA トークン認証メカニズムが構成されました。