マルチノードの WebSphere Application Server WebSphere Application Server Network Deployment 環境でのセキュリティーに関する考慮事項

WebSphere® Application Server Network Deployment は、分散ノードや分散アプリケーション・サーバーの集中管理をサポートしています。 このサポートは、特にセキュリティーが組み込まれている場合には、複雑になります。 あらゆるものが分散されているので、アプリケーション・サーバーとノード・エージェントの間、およびノード・エージェント (ノードに固有の構成マネージャー) とデプロイメント・マネージャー (ドメイン全体をカバーする集中的な構成マネージャー) の間の通信を確実に適切なセキュア状態にするために、セキュリティーのロールは一層大きくなります。

始める前に

[AIX Solaris HP-UX Linux Windows][IBM i]プロセスが分散されるため、認証メ カニズムとしては Lightweight Third Party Authentication (LTPA) を使用する必要があります。LTPA のトークンは 暗号化され署名された上で、リモート・プロセスに転送することができます。 ただし、トークンには有効期限があります。 デフォルトのコネクターである SOAP コネクターは管理セキュリティーに使用され、 有効期限が切れたトークンに対する再試行ロジックはありません。 ただし、トークンに残されている時間では要求を実行するのに十分でない場合、プロトコルがステートレスなので、要求ごとに新規のトークンが作成されます。 代替コネクターは RMI コネクターでありステートフルなので、エラー検出後、要求を再サブミットして有効期限が切れたトークンを修正するための、何らかの再試行ロジックを持っています。 また、トークンの有効期限は時刻によるものなので、トークン・ベースの妥当性検査を正しく運用するためには、システム・クロックの同期化がきわめて重要です。 クロックが大幅に (10 から 15 分くらい) 遅れてしまうと、リカバリー不能な妥当性検査の障害が 発生する可能性がありますが、この問題はクロックを同期することで防げます。 時刻、日付、および時間帯が、すべてのシステム間で一致していることを確認してください。 時間帯内での時間が正確であれば、異なる時間帯のノードも受け入れることができます (例えば、中部標準時の午後 5 時が東部標準時では午後 6 時になるなど)。

[z/OS]プロセスが分散されるため、Lightweight Third Party Authentication (LTPA) などの認証トークンをサポートする認証メカニズムを選択する必要があります。そのトークンは 暗号化され署名された上で、リモート・プロセスに転送することができます。 ただし、そのトークンには、WebSphere Application Server 管理コンソールで設定される有効期限の時間もあります。デフォルトのコネクターである SOAP コネクターは管理セキュリティーに使用され、 有効期限が切れたトークンに対する再試行ロジックはありません。 ただし、トークンに残されている時間では要求を実行するのに十分でない場合、プロトコルがステートレスなので、要求ごとに新規のトークンが作成されます。 代替コネクターは Remote Method Invocation (RMI) コネクターでありステートフルなので、エラーが検出後、要求を再サブミットして有効期限が切れたトークンを修正するための、何らかの再試行ロジックを持っています。 また、トークンの有効期限は時刻によるものなので、トークン・ベースの妥当性検査を正しく運用するためには、システム・クロックの同期化がきわめて重要です。 クロックが大幅に (10 から 15 分くらい) 遅れてしまうと、リカバリー不能な妥当性検査の障害が 発生する可能性がありますが、この問題はクロックを同期することで防げます。 時刻、日付、および時間帯が、すべてのシステム間で一致していることを確認してください。 時間帯内での時間が正確であれば、異なる時間帯のノードも受け入れることができます (例えば、中部標準時の午後 5 時が東部標準時では午後 6 時になるなど)。

[z/OS]Secure Sockets Layer (SSL) に関して考慮すべき事項が他にもあります。WebSphere Application Server for z/OS® では、SSL に使用される鍵およびトラストストアを保管するために Resource Access Control Facility (RACF®) 鍵リングを使用できますが、内部的には、異なる SSL プロトコルが使用されます。 以下の両方をセットアップする必要があります。
  • Web コンテナーにより使用されるシステム SSL レパートリー
  • SOAP HTTP コネクターにより使用される Java™ Secure Sockets Extension (JSSE) SSL レパートリー (SOAP コネクターが管理要求に使用される場合)
構成される鍵ストアおよびトラストストアが、 通信するサーバーのみを信頼するようにセットアップされていることを確認してください。 ドメイン内のすべてのサーバーのトラスト・ファイルに、それらのサーバーからの必要な署名者証明書が含まれていることを確認してください。 認証局 (CA) を使用して個人証明書を作成する場合は、すべての署名者が CA ルート証明書を所有することによって、すべてのサーバーがお互いに信頼し合うようにする方が簡単です。

[z/OS]WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドは、同じ認証局を使用して、特定のセル内のすべてのサーバーの証明書 (ノード・エージェントおよびデプロイメント・マネージャーの証明書など) を生成します。

このタスクについて

WebSphere Application Server Network Deployment 環境の使用または計画を立てる際には、以下の問題について考慮してください。

手順

タスクの結果

分散サーバー間のセキュリティー相互作用を正しく理解すれば、セキュア通信に関する問題は大幅に削減できます。 追加機能を管理する必要があるため、セキュリティーはますます複雑になっています。 セキュリティーが適正に機能するためには、インフラストラクチャーの計画段階で、セキュリティーについて十分に検討する必要があります。

次のタスク

WebSphere Application Server Network Deployment 環境に関連するセキュリティーに問題がある場合は、 セキュリティー構成のトラブルシューティング を参照して、その問題に関する追加情報を確認してください。サーバーが分散されているために、問題の解決にトレースが必要な場合、 問題を再現する間、すべてのサーバー上で同時にトレースを収集する必要が頻繁に発生します。 このトレースは、発生する問題のタイプによって、動的に使用することも、静的に使用することもできます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_esecarun
ファイル名:tsec_esecarun.html