管理コンソールを使用して Tivoli® Access Manager を Java™ Authorization Contract for Containers (JACC) プロバイダーとして構成するには、このタスクを使用します。
このタスクについて
以下の構成は、管理サーバーで実行されます。「適用」または「OK」のいずれかをクリックすると、
構成情報の整合性が検査され、検査が正常に終了した場合は、保管されて適用されます。
この構成情報は、同期が実行されるとノードに伝搬されます。
構成変更を有効にするには、ノードを再始動してください。
管理コンソールを使用して Tivoli Access Manager を JACC プロバイダーとして構成するには、以下のステップを実行します。
手順
- WebSphere Application Server の開始後に、http://yourhost.domain:port_number/ibm/console をクリックして、WebSphere Application Server 管理コンソールを開始します。 セキュリティーが使用不可になっている場合は、いずれかのユーザー ID でログインします。セキュリティーが使用可能になっている場合は、定義済みの管理 ID
とパスワードでログインします。この ID は、通常ユーザー・レジストリーの構成時に指定するサーバー・ユーザー ID です。
- 「セキュリティー」>「グローバル・セキュリティー」>「外部許可プロバイダー」とクリックします。
- 「その他」プロパティーで、「JACC プロバイダーを使用する外部許可」を選択します。
- 「関連項目」の下の「外部 JACC プロバイダー」をクリックします。
- 「追加プロパティー」の下で「Tivoli Access Manager プロパティー」とクリックします。 「Tivoli Access
Manager JACC プロバイダー構成」画面が表示されます。
- 以下の情報を入力します。
- 組み込み Tivoli Access Manager を使用可能にする
- Tivoli Access Manager を使用可能にするには、このオプションを選択します。
- 組み込み Tivoli Access Manager 使用不可時のエラーを無視
- JACC プロバイダーの構成を解除したい場合に、このオプションを選択します。
構成中にこのオプションを選択しないでください。
- クライアント listen ポートの設定
- WebSphere Application Server は、TCP/IP ポートを使用して、ポリシー・サーバーからの許可データベースの更新情報を listen する必要があります。
特定のノードまたはマシン上で、複数のプロセスが実行される場合があります。エントリーをコンマで区切ることによって、複数の許可サーバーを指定することができます。
1 度に複数の許可サーバーを指定すると、フェイルオーバーおよびパフォーマンスに役立ちます。Tivoli Access Manager クライアントが使用する listen ポートを、コンマで区切って入力します。
ポートの範囲を指定する場合は、小さい値と大きい値をコロン (:) で区切ります (例えば、7999, 9990:999 のようになります)。
- ポリシー・サーバー
- Tivoli Access Manager ポリシー・サーバーの名前と接続ポートを入力します。
policy_server:port という形式を使用します。ポリシーの通信ポートは、Tivoli Access Manager の構成時に設定されます (デフォルトでは 7135 です)。
- 許可サーバー
- Tivoli Access Manager 許可サーバーの名前を入力します。auth_server:port:priority という形式を使用します。許可サーバーの通信ポートは、Tivoli Access Manager の構成時に設定されます (デフォルトでは 7136 です)。
優先度の値は、許可サーバーの使用順序によって決定します (例えば、auth_server1:7136:1、および auth_server2:7137:2 のようになります)。
優先度の値 1 は、単一許可サーバーに対する構成時に必要となります
- 管理者ユーザー名
- Tivoli Access Manager の構成時に作成された Tivoli Access Manager の管理者ユーザー名を入力します。通常は sec_master です。
- 管理者ユーザー・パスワード
- Tivoli Access Manager 管理者のパスワードを入力します。
- ユーザー・レジストリー識別名の接尾部
- Tivoli Access Manager と WebSphere Application Server で共有されるユーザー・レジストリーの、識別名の接尾部を入力します。例えば、o=ibm, c=us のようになります。
- セキュリティー・ドメイン
- Tivoli Access Manager では、複数のセキュリティー・ドメインを、それぞれ固有の管理ユーザーを指定して作成することができます。
特定のドメイン内にユーザー、グループ、およびその他のオブジェクトが
作成され、別のドメイン内のリソースへのアクセスは許可されません。
WebSphere Application Server のユーザーおよびグループを保管するために使用される、Tivoli Access Manager セキュリティー・ドメインの名前を入力します。
Tivoli Access Manager の構成時にセキュリティー・ドメインを設定していない場合は、値を Default のままにしておいてください。
- 管理者ユーザーの識別名
- WebSphere Application Server セキュリティー管理者 ID の完全識別名を入力します (例えば、cn=wasdmin, o=organization, c=country のようになります)。
ID 名は、管理コンソールの「LDAP ユーザー・レジストリー」パネルにある「サーバー・ユーザー ID」と一致している必要があります。
「LDAP ユーザー・レジストリー」パネルにアクセスするには、「セキュリティー」>「グローバル・セキュリティー」とクリックします。「ユーザー・アカウント・リポジトリー」の下で、使用可能なレルム定義として「スタンドアロン LDAP レジストリー」を選択します。
次に、「構成」 をクリックします。
- すべての情報が入力されたら、
「OK」をクリックして構成プロパティーを保存します。
構成パラメーターの妥当性が検査され、構成がホスト・サーバーまたはセル・マネージャーで試行されます。
タスクの結果
「
OK」をクリックすると、WebSphere Application Server は以下のアクションを完了します。
- 構成パラメーターを確認します。
- ホスト・サーバーまたはセル・マネージャーを構成します。
これらのプロセスは、ネットワーク・トラフィックまたはマシンの速度によって、時間がかかる場合があります。
次のタスク
構成が正常に行われると、パラメーターは、ノード・エージェントを含むすべての従属サーバーにコピーされます。組み込み Tivoli Access Manager クライアントの構成を完了するには、ホスト・サーバーを含むすべてのサーバーを再始動し、WebSphere Application Server のセキュリティーを使用可能にする必要があります。