ジョブ・マネージャーのセキュリティー

ジョブ・マネージャーの登録プロセスを実行する際に考慮しなければならない WebSphere® Application Server のセキュリティーによるさまざまな影響があります。

注: WebSphere Application Server バージョン 7.0 では、柔軟な管理 と呼ばれる新しいスタイルのシステム管理が導入されています。このスタイルは、wsadmin または Java™ API を使用した同期呼び出し/応答呼び出しによって管理する既存のスタイルとは異なり、非同期ジョブ・キューイング・メカニズムを提供することによってシステムを管理できます。柔軟な管理の中核となるのは、ジョブ・マネージャー と呼ばれる新しい管理プロセスです。アプリケーション・サーバー (管理エージェントに登録されたもの) およびデプロイメント・マネージャー・サーバーの両方を、登録プロセスを介してジョブ・マネージャーに認識させることができます。 これらのサーバーを登録した後、ジョブ・マネージャーを介してアプリケーション・サーバーまたはデプロイメント・マネージャーに送信された管理ジョブを、キューに入れることができます。これらのジョブのサブミットは、地理的に分散したエリアにわたる複数のサーバーに対して行うことができます。ジョブ・マネージャー登録プロセスの実行時および実行後に注意する必要があるセキュリティーの考慮事項は数多くあります。

以下の事項を考慮してください。

  • 登録前に、セキュリティー構成の要件は最小限に抑える必要があります。
  • エージェントまたはデプロイメント・マネージャー (dmgr) を、ジョブ・マネージャーのほぼすべてのセキュリティー構成にフェデレートできるようにします。ただし、次の構成の場合はフェデレートができません。
    • 管理エージェントまたはデプロイメント・マネージャーの管理セキュリティー状態を同じにする必要がある場合 (有効または無効)。
    • フェデレーション後のセキュリティーを有効にするために、同じ管理ドメイン内にあるすべての管理エージェントおよびデプロイメント・マネージャーのプロセスを有効にし、すべてのプロセスを同時に再始動する必要がある場合。
  • チェーン証明書を 1 つ作成することによって、管理エージェント、デプロイメント・マネージャー、ジョブ・マネージャー間では、存続時間が長いルート証明書のみが交換されます。管理エージェント、デプロイメント・マネージャー、ジョブ・マネージャーのいずれかで個人証明書の有効期限が切れた場合も、フェデレーション中に確立された信頼には影響しません。
  • Rivest Shamir Adleman (RSA) 証明書管理の固有の認証メカニズムを使用します。このメカニズムは、共有鍵に依存しない、ジョブ・マネージャーのデフォルト管理認証メカニズムです。RSA トークンの認証メカニズムも、このリリースの WebSphere Application Server の新機能です。詳しくは、RSA トークン認証メカニズムを参照してください。
  • WebSphere Application Server バージョン 8.0 で生成されたすべての証明書に、プロファイル Universal Unique Identifier (UUID) を追加します。このプロファイル UUID は、要求を許可してジョブ・マネージャー・キューからジョブを抽出するために使用されます。
  • [AIX Solaris HP-UX Linux Windows][IBM i]ジョブ・マネージャーのジョブは、呼び出し元クレデンシャル (Lightweight Third-Party Authentication (LTPA) または Kerberos)、またはユーザー ID とパスワードを使用する指定のクレデンシャルに関連付けることができます。いずれもジョブとともに保管されます。パスワードは標準ユーティリティーを使用して難読化され、パスワード暗号化プラグ・ポイントを有効にすると暗号化できます。認証メカニズムによって更新が許可されている限り、LTPA および Kerberos は更新されます。
  • [z/OS]ジョブ・マネージャーのジョブは、呼び出し元クレデンシャル (Lightweight Third-Party Authentication (LTPA))、またはユーザー ID とパスワードを使用する指定のクレデンシャルに関連付けることができます。いずれもジョブとともに保管されます。パスワードは標準ユーティリティーを使用して難読化され、パスワード暗号化プラグ・ポイントを有効にすると暗号化できます。認証メカニズムによって更新が許可されている限り、LTPA は更新されます。
  • [z/OS]このサービス・リリースでは、ジョブ・マネージャーのジョブは、呼び出し元クレデンシャル (Lightweight Third-Party Authentication (LTPA) または Kerberos)、またはユーザー ID とパスワードを使用する指定のクレデンシャルに関連付けることができます。いずれもジョブとともに保管されます。パスワードは標準ユーティリティーを使用して難読化され、パスワード暗号化プラグ・ポイントを有効にすると暗号化できます。認証メカニズムによって更新が許可されている限り、LTPA および Kerberos は更新されます。
  • 管理エージェントまたはデプロイメント・マネージャーによる FileTransferServlet へのアクセスは、ジョブ・マネージャーが信頼し、CertPath によって検証された有効な RSA 証明書を送信することによって実行されます。

柔軟な管理ジョブを実行するために必要な管理ロールは、これらのジョブが使用する基礎となる管理コマンドによって定義されます。例えば、サーバーの開始と停止に必要なロールは、オペレーター・ロールです。オペレーター・ロールは、サーバーの開始と停止を行う柔軟な管理ジョブを実行する場合にも必要です。必要な管理ロールの割り当てに関する一般的なルールは、以下のとおりです。

  • データの表示にはモニター・ロールが必要です。
  • データの更新にはコンフィギュレーター・ロールが必要です。
  • ジョブの管理にはオペレーター・ロールが必要です。
  • 管理対象ノードの登録と登録削除には管理者ロールが必要です。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sec_jobmgr
ファイル名:csec_sec_jobmgr.html