レルムのセキュリティーの使用可能化

このトピックを使用して、IBM® WebSphere® Application Server セキュリティーを使用可能にします。セキュリティー設定を有効にするには、管理セキュリティーを使用可能にする必要があります。

このタスクについて

WebSphere Application Server は、暗号化を使用して機密データを保護し、WebSphere Application Server とネットワーク内の他のコンポーネントの間の通信の機密性と保全性を確保します。暗号化は、Web サービス・アプリケーション用に特定のセキュリティーの制約が構成されている場合には、Web Services Security によっても使用されます。

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server では Software Development Kit (SDK) の Java™ Secure Sockets Extension (JSSE) および Java Cryptography Extension (JCE) ライブラリーを使用して、この暗号化を実行します。 SDK は、強力で限定された管轄権ポリシー・ファイルを提供します。 制限されていないポリシー・ファイルは、最大の強度の暗号化を実行する機能を提供して、パフォーマンスを向上させます。

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server では、強力ではあるが限定された管轄権ポリシー・ファイルを含む SDK 6 を提供しています。 制限されていないポリシー・ファイルは、Web サイト IBM developer kit: Security information からダウンロードできます。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): 更新を Software Development Kit (SDK) に含めるフィックスパックは、制限のないポリシー・ファイルおよび cacerts ファイルを上書きする可能性があります。 フィックスパックを適用する前に、制限のないポリシー・ファイルおよび cacerts ファイルをバックアップして、これらのファイルをフィックスパックの適用後に再適用します。これらのファイルは、{was_install_directory}¥java¥jre¥lib¥security ディレクトリーにあります。gotcha
重要: お客様の国において、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出が規制されている可能性があります。 無制限ポリシー・ファイルをダウンロードまたは使用する前に、お客様の国の法律、規制、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出に関する方針を確認し、許可されているかどうかを判別してください。
以下のステップを実行し、新規ポリシー・ファイルをダウンロードして、インストールしてください。
  1. Java SE 6」をクリックします。
  2. ページをスクロールダウンしてから、「IBM SDK Policy files」をクリックします。

    SDK 6 Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。

  3. Sign in」をクリックして、IBM.com ID とパスワードを入力します。
  4. SDK 6 用非制限 JCE ポリシー・ファイル (Unrestricted JCE Policy files for SDK 6)」を選択して、「継続」をクリックします。
  5. 使用許諾書を読み、「I Agree」をクリックして先へ進みます。
  6. Download Now」をクリックします。
  7. 圧縮ファイル内にパッケージされた無制限管轄権ポリシー・ファイルを 解凍します。圧縮ファイルには、 US_export_policy.jar ファイルと local_policy.jar ファイルが含まれています。
  8. [AIX Solaris HP-UX Linux Windows][IBM i]WebSphere Application Server のインストール・システムで、 $JAVA_HOME/jre/lib/security ディレクトリーへ進み、 ご使用の US_export_policy.jar および local_policy.jar ファイルをバックアップします。
  9. [z/OS]WebSphere Application Server のインストール済み環境で、製品の HFS を読み取り/書き込みとしてマウントします。 $JAVA_HOME/jre/lib/security ディレクトリーへ進み、 ご使用の US_export_policy.jar および local_policy.jar ファイルをバックアップします。
  10. US_export_policy.jar および local_policy.jar ファイルを 、IBM.com Web サイトからダウンロードした 2 つのファイルと置き換えます。
  11. [z/OS]製品 HFS を読み取り専用として再マウントします。
[z/OS]組み込み Software Development Kit (SDK) は、無制限管轄権ポリシー Java アーカイブ (JAR) ファイルに同梱されています。 このため、Web サイトからこれらのファイルをダウンロードする代わりに、国別の規定に従ってファイルに シンボリック・リンクを設定できます。これらの無制限ポリシー・ファイルは、install_root/java/demo/jce/policy-files/unrestricted/ ディレクトリーにあります。 以下の UNIX ベースのコマンドを使用して、これらのファイルにシンボリック・リンクを設定できます。
# Export the paths. You can find the values of the following
# variables in the joblog by searching for was.install.root,
# java.home, and so on:
export was.install.root=<was.install.root>
export java.home=<java.home>
# The previous paths apply to both 31- and 64-bit configurations
# of WebSphere Application Server for z/OS. For a 64-bit
# configuration, the java.home path points to the 64-bit embedded
# Java virtual machine (JVM).

# Delete the original policy .jar files. Because a backup is
# automatically present in the smpe.home HFS, an explicit
# backup is not needed:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Issue the following commands on separate lines to create
# the symbolic links to the unrestricted policy files:
ln -s $java.home/demo/jce/policy-files/unrestricted/US_export_po licy.jar US_export_policy.jar
ln -s $java.home/demo/jce/policy-files/unrestricted/local_policy .jar local_policy.jar
デモ・ディレクトリーの無制限ポリシー・ファイルへのシンボリック・リンクを削除し、元のファイルにリンクするには、以下の UNIX ベースのコマンドを使用します。
# Export the paths. You can find the values of the following
# variables in the joblog by searching for was.install.root,
# java.home, and so on:
export was.install.root=<was.install.root>
export java.home=<java.home>
export smpe.install.root=<smpe.install.root>
# The previous paths apply to both 31- and 64-bit configurations
# of WebSphere Application Server for z/OS. For a 64-bit
# configuration, the java.home path points to the 64-bit embedded
# Java virtual machine (JVM).

# Delete the current policy .jar files. You might want
# to back up the following files:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Issue the following commands on separate lines to create
# symbolic links to the smpe HFS where the original files
# are kept:
ln -s $smpe.install.root/java/lib/security/US_export_policy.jar US_export_policy.jar
ln -s $smpe.install.root/java/lib/security/local_policy.jar local_policy.jar

レルムのセキュリティーを有効にするには、以下のステップを実行します。

手順

  1. WebSphere Application Server で管理セキュリティーを使用可能にします。

    詳しくは、セキュリティーの使用可能化を参照してください。「セキュリティー (Security)」>「グローバル・セキュリティー (Global security)」とクリックすることが重要です。リストから使用可能なレルムの定義を選択し、次に、「Set as current」をクリックします。 構成をリポジトリーに保管します。作業を 続行する前に、「セキュリティー」>「グローバル・セキュリティー」パネルで「OK」を クリックすると行われる検証が、正常に完了することを確認してください。 妥当性検査が正常に行われていないのに作業を続行すると、サーバーが始動しない恐れがあります。 検証が正常に完了するまで、セキュリティー設定を再構成してください。

  2. 管理コンソールを使用して、稼働中のすべてのノード・エージェントに、 新規構成のコピーを送信します。 ノード・エージェントが、セキュリティー対応の構成の取得に失敗すると、アクセスできないことが原因でデプロイメント・マネージャーとの通信が失敗します。ノード・エージェントはセキュリティーを使用可能にしません。 特定のノードの同期化を強制的に行うには、 管理コンソールから以下のステップを実行します。
    1. システム管理」>「ノード」とクリックし、 すべてのノードの横にあるオプションを選択します。 デプロイメント・マネージャー・ノードを選択する必要はありません。
    2. 完全な再同期」をクリックして、 ファイルの同期が行われていることを確認します。 「ノードは既に同期化されています」といったメッセージが表示される場合があります。 このメッセージが表示された場合は、問題ありません。同期化が開始したら、 すべてのノードに対して Synchronized 状況が表示されることを確認してください。
  3. デプロイメント・マネージャーを停止します。コマンド行またはサービスから、 デプロイメント・マネージャーを手動で再始動します。 デプロイメント・マネージャーを停止するには、「システム管理」>「デプロイメント・マネージャー」とクリックし、「停止」をクリックします。 このアクションによってユーザーは管理コンソールからログアウトし、デプロイメント・マネージャー・プロセスが停止します。
  4. デプロイメント・マネージャー・プロセスを再始動します。

    [AIX Solaris HP-UX Linux Windows]デプロイメント・マネージャー・プロセスを再始動するには、 app_server_root/bin ディレクトリーで、startManager.bat または startManager.sh を入力します。 デプロイメント・マネージャーの初期化が完了した後、管理コンソールに戻り、このタスクを完了します。 セキュリティーは、この時点ではデプロイメント・マネージャー内でしか使用可能になっていないことに注意してください。 シングル・サインオン (SSO) を使用可能にしている場合は、お客様の Web アドレスの完全修飾ドメイン・ネーム (例えば http://myhost.domain:port_number/ibm/console) を指定します。 ユーザー ID とパスワードを求めるプロンプトが示されたら、構成済みユーザー・レジストリーの管理者 ID として定義したユーザー ID とパスワードを入力してください。

    [z/OS]デプロイメント・マネージャー・プロセスを再始動するには、以下のコマンドを発行します。
    START dmgr_proc_name,JOBNAME=server_short_name,
    ENV=cell_short_name.node_short_name.server_short_name
    このコマンドは、1 行で入力する必要があります。表示の都合上、ここでは分割されています (z/OS® MVS™ システム・コマンドの使用について詳しくは、以下の関連リンクを参照してください)。デプロイメント・マネージャーの初期化が完了したら、 管理コンソールに戻って、このタスクを完了します。 セキュリティーは、デプロイメント・マネージャーでのみ使用可能になっています。 シングル・サインオン (SSO) を使用可能にしている場合は、お客様の Web アドレスの完全修飾ドメイン・ネーム (例えば http://myhost.domain:port_number/ibm/console) を指定します。 ユーザー ID とパスワードを求めるプロンプトが示されたら、構成済みユーザー・レジストリーの管理者 ID として入力したユーザー ID とパスワードを入力してください。
  5. [IBM i]デプロイメント・マネージャー・プロセスを再始動します。 デプロイメント・マネージャー・プロセスを再始動するには、Qshell 環境を開いて、app_server_root/bin ディレクトリーを見つけます。 app_server_root 変数は、 app_server_root/bin/ デフォルト・ディレクトリーを参照します。 Qshell コマンド行で startManager を入力します。

    デプロイメント・マネージャーの初期化が完了したら、 管理コンソールに戻って、このタスクを完了します。 セキュリティーは、この時点ではデプロイメント・マネージャー内でしか使用可能になっていないことに注意してください。 シングル・サインオン (SSO) を使用可能にしている場合は、お客様の Web アドレスの完全修飾ドメイン・ネーム (例えば http://myhost.domain:port_number/ibm/console) を指定します。 ユーザー ID とパスワードを求めるプロンプトが示されたら、構成済みユーザー・レジストリーの管理者 ID として定義したユーザー ID とパスワードを入力してください。

  6. セキュリティーを使用可能にした後もデプロイメント・マネージャーが始動しない場合は、 スクリプトを使用してセキュリティーを使用不可にしてから再始動してください。 DeploymentManager/bin ディレクトリーから以下のコマンドを実行して、セキュリティーを使用不可にします。
    ./wsadmin.sh -conntype NONE
    プロンプトが出されたら、securityoff と入力します。
  7. すべてのノード・エージェントを再始動して、セキュリティーを使用可能にします。 このステップを完了する前に、直前のステップでデプロイメント・マネージャーを再始動している必要があります。ノード・エージェントの セキュリティーが、デプロイメント・マネージャーのセキュリティーより先に使用可能になっていると、 デプロイメント・マネージャーは、そのノード・エージェントに状況を照会することもコマンドを指定することもできません。 すべてのノード・エージェントを停止するには、以下のステップを実行します。
    1. システム管理」>「ノード・エージェント」と進み、 すべてのノード・エージェントのオプションを選択します。 「再始動」をクリックします。「The node agent on node NODE NAME was restarted successfully」のようなメッセージが表示されます。
    2. あるいは、アプリケーション・サーバーを事前に停止していなかった場合には、「 システム管理」>「ノード・エージェント」とクリックし、 すべてのサーバーを再始動するノード・エージェントをクリックして、 指定のノード内のすべてのサーバーを再始動してください。 「ノード上のすべてのサーバーを再始動」をクリックします。 このアクションで、ノード・エージェントおよび始動済みのアプリケーション・サーバーが再始動します。
  8. いずれかのノード・エージェントが再始動に失敗した場合は、 構成の再同期を手動で実行します。 このステップでは、物理ノードへ移動し、クライアントの syncNode を実行します。 このクライアントは、デプロイメント・マネージャーにログインし、 すべての構成ファイルをノード・エージェントにコピーします。この操作により、構成のセキュリティーが確実に使用可能になります。 ノード・エージェントが始動しているのに、デプロイメント・マネージャーと通信していない場合は、 stopServer コマンドを実行して、ノード・エージェントを停止します。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_egs
ファイル名:tsec_egs.html