複数のセキュリティー・ドメインの構成

デフォルトでは、WebSphere® Application Server 内のすべての管理アプリケーションおよびユーザー・アプリケーションは、グローバル・セキュリティー構成を使用します。例えば、グローバル・セキュリティーに定義されているユーザー・レジストリーは、 セル内のすべてのアプリケーションについて、ユーザーの認証に使用されます。 この振る舞いは旧リリースの WebSphere Application Server と同じで、すぐに使用可能です。 ご使用のユーザー・アプリケーションの一部またはすべてに、異なるセキュリティー属性を指定する場合は、 追加の WebSphere セキュリティー・ドメインを作成できます。 このセクションでは、管理コンソールを使用してセキュリティー・ドメインを構成する方法について説明します。

始める前に

管理者ロールに割り当てられたユーザーのみが、新しい複数のセキュリティー・ドメインを構成または作成することができます。 ご使用の環境でグローバル・セキュリティーを使用可能にしてから、複数のセキュリティー・ドメインを構成する必要があります。

複数のセキュリティー・ドメインの内容と、 それらがこのバージョンの WebSphere Application Server でどのようにサポートされるかについて理解を深めるには、 複数のセキュリティー・ドメインを参照してください。

このタスクについて

セキュリティー・ドメインにより、 お客様の環境で使用するセキュリティー構成を複数定義することができます。 例えば、管理アプリケーション向けのセキュリティーとは異なる、ユーザー・アプリケーション向けのセキュリティー (別のユーザー・レジストリーなど) を定義することができます。また、さまざまなサーバーおよびクラスターにデプロイされるユーザー・アプリケーション向けに別個のセキュリティー構成を定義することもできます。

ベスト・プラクティス ベスト・プラクティス: グローバル・ドメインでのレルム名と同じレルム名を用いて アプリケーション・ドメインを構成すると、ユーザー、グループ、または他のレジストリー属性の ルックアップを実行したときに、アプリケーション・ドメインでの結果が返されます。 ドメインごとにそれぞれ固有のレルム名を構成する必要があります。bprac

管理コンソールを使用して新規セキュリティー・ドメインを構成するには、以下のステップを実行します。

手順

  1. セキュリティー」>「セキュリティー・ドメイン (Security domains)」をクリックします。
  2. 新規に複数のセキュリティー・ドメインを作成する場合は、「新規」をクリックします。 このドメインの固有の名前と説明を入力して、「適用」をクリックします。 複数の既存のセキュリティー・ドメインを構成する場合は、その 1 つを選択して編集します。適用」をクリックすると、ドメイン名と追加のセクションが表示されます。 あるセクションではドメインのセキュリティー属性を定義することができ、 別のセクションではドメインが適用される有効範囲を選択することができます。
  3. 「割り当て済み有効範囲 (Assigned Scopes)」で、セキュリティー・ドメインをセル全体に割り当てるかどうか、あるいは特定のサーバー、クラスター、およびサービス統合バスを選択してセキュリティー・ドメインに含めるかどうかを選択します。 「割り当て済み有効範囲 (Assigned Scopes)」セクションには、2 つのビューがあります。 デフォルトのビューは、セル・トポロジーです。 セキュリティー・ドメインをセル全体に割り当てるには、セルのチェック・ボックスをクリックし、 次に「適用」または「OK」をクリックします。

    セキュリティー・ドメインの名前は、セル名の隣に表示され、ドメインが現在そのセルに割り当てられていることを示します。 トポロジーを展開して、1 つ以上のサーバーおよびクラスターにドメインを割り当てることができます。 トポロジー内のある項目が別のセキュリティー・ドメインに既に割り当てられている場合は、 チェック・ボックスは無効になり、割り当てられているドメインの名前が有効範囲名の横に表示されます。 これらの有効範囲の 1 つをドメインに割り当てる場合は、先に現行ドメインとの関連づけを解除する必要があります。

    すべての割り当て済み有効範囲 (All assigned scopes)」を選択して、 セキュリティー・ドメインに現在割り当てられているリソースのみのリストを表示します。

  4. 新規ドメインにセキュリティー属性を指定することにより、セキュリティー構成をカスタマイズします。 リストされていない属性は、ドメイン・レベルでカスタマイズすることはできません。 ドメインは、グローバル・セキュリティー構成から属性を継承します。

    12 の個別に構成可能なセキュリティー属性セクションがあります。 各セクションは、展開および省略することができます。省略状態では、セクションの名前とサマリー値が表示されます。また、サマリー値のテキストによって、属性がグローバル・セキュリティー内に定義されており、 ドメインによって再使用される (グレイ・テキストで示されている) のか、あるいは、属性が ドメイン用にカスタマイズされている (黒いテキストで、接頭部に「Customized」と示されている) のかがわかります。

    初めに、各セキュリティー属性は、グローバル・セキュリティー設定値を使用するように設定されます。 ある属性がグローバル・セキュリティーを使用するように設定されている場合、 その属性に対するドメイン固有の構成はありません。ドメインを使用するアプリケーションは、これらのセキュリティー属性に対するグローバル構成を使用します。

    変更するセキュリティー属性のみを構成します。 ドメインのセキュリティー属性を構成するには、セキュリティー属性セクションを展開します。 グローバル構成のキー・プロパティーは、 「グローバル・セキュリティーの使用 (Use global security)」オプションの下に表示されます。これらのプロパティーは便宜上提供しているものです。

    このドメインの構成をカスタマイズするには、 「このドメイン用にカスタマイズする」を選択します。 プロパティーを構成してから、「OK」または「適用」をクリックします。
    注: 一般に、「このドメイン用にカスタマイズする」を選択すると、 グローバル・セキュリティーでそのセクション用に定義されているセキュリティー構成をすべてオーバーライドすることになります。 アプリケーション・ログイン、システム・ログイン、および J2C 認証データ入力は例外です。 ドメインに対してエントリーを定義した場合、そのドメイン内のアプリケーションは、ドメイン固有のエントリーのほかにグローバル・エントリーにもアクセスすることができます。

    例えば、セキュリティー・ドメインを使用するアプリケーションには、それぞれ異なる ユーザー・レジストリーを使用して、その他のセキュリティー・プロパティーには、グローバル・セキュリティー構成を使用することができます。 この場合は、「ユーザー・レルム」セクションを展開して、 「このドメイン用にカスタマイズする」を選択します。 ユーザー・レジストリーのタイプを選択して、「構成」をクリックし、 後続のパネルで適切な構成詳細を指定します。

    以下のようなセキュリティー属性を変更できます。
    アプリケーション・セキュリティー
    アプリケーション・セキュリティーと Java™ 2 セキュリティーの設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。

    アプリケーション・セキュリティーを使用可能にする」を選択するかどうかによって、 ユーザー・アプリケーションに対するセキュリティーを使用可能または使用不可に設定します。 この選択を使用不可に設定すると、 セキュリティー・ドメイン内のすべての EJB および Web アプリケーションは、保護されなくなります。 これらのリソースに対するアクセス権限は、ユーザー認証を行わずに付与されます。 この選択を使用可能に設定すると、J2EE セキュリティーは、 セキュリティー・ドメイン内の EJB および Web アプリケーションのすべてに実行されます。 J2EE セキュリティーが実行されるのは、グローバル・セキュリティー構成でグローバル・セキュリティーが使用可能になっている場合だけです (つまり、アプリケーション・セキュリティーを使用可能にする場合は、必ず最初にグローバル・セキュリティーをグローバル・レベルで使用可能にする必要があります)。

    Java 2 セキュリティー
    Java 2 セキュリティー」を選択して、Java 2 セキュリティーをドメイン・レベルで使用可能または使用不可に設定します。この選択により、Java 2 セキュリティーをプロセス (JVM) レベルで使用可能または使用不可に設定して、すべてのアプリケーション (管理アプリケーションとユーザー・アプリケーションの両方) で Java 2 セキュリティーを使用可能または使用不可にできます。
    ユーザー・レルム

    このセクションにより、セキュリティー・ドメインのユーザー・レジストリーを構成できます。 ドメイン・レベルで使用されるすべてのレジストリーを個別に構成できます。詳しくは、複数のセキュリティー・ドメインを参照してください。

    トラスト・アソシエーション
    トラスト・アソシエーション・インターセプター (TAI) をドメイン・レベルで構成すると、便宜上、グローバル・レベルで構成されたインターセプターがドメイン・レベルにコピーされます。ニーズに合わせて、インターセプター・リストをドメイン・レベルで変更できます。 ドメイン・レベルで使用する予定のインターセプターのみを構成してください。
    SPNEGO Web 認証
    SPNEGO Web 認証は、Web リソース認証用の SPNEGO の構成を可能にし、ドメイン・レベルで構成できます。
    注: WebSphere Application Server バージョン 6.1 では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されているリソースに対する HTTP 要求を安全にネゴシエーションし、認証する TAI が導入されました。 この機能は、WebSphere Application Server 7.0 では非推奨でした。SPNEGO フィルターの動的再ロードを提供し、アプリケーション・ログイン方式へのフォールバックを可能にするために、SPNEGO Web 認証が用意されています。
    RMI/IIOP セキュリティー

    RMI/IIOP セキュリティー属性は、CSIv2 (Common Secure Interoperability Version 2) プロトコル・プロパティーを参照します。これらの属性をドメイン・レベルで構成すると、便宜上、グローバル・レベルの RMI/IIOP セキュリティー構成がコピーされます。

    ドメイン・レベルでは別のものを使用する必要がある属性を変更することができます。 CSIv2 インバウンド通信のトランスポート層設定は、グローバル・レベルとドメイン・レベルの両方で一致している必要があります。 一致していない場合、ドメイン・レベルの属性が、プロセス内のすべてのアプリケーションに適用されます。

    JAAS アプリケーション・ログイン
    Java Authentication and Authorization Service (JAAS) アプリケーション・ログインに構成設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。
    注: JAAS アプリケーション・ログイン、JAAS システム・ログイン、および JAAS J2C 認証データ別名は、すべてドメイン・レベルで構成できます。デフォルトでは、システム内のすべてのアプリケーションは、 グローバル・レベルで構成されている JAAS ログインにアクセスできます。 セキュリティー・ランタイムは、最初に、ドメイン・レベルで JAAS ログインがないか確認します。 見つからない場合は、グローバル・セキュリティー構成内の JAAS ログインを調べます。 セキュリティー・ドメイン内のアプリケーションが排他的に使用するログインを指定する必要がある場合のみ、これらの JAAS ログインのいずれかをドメインで構成します。
    JAAS システム・ログイン
    JAAS システム・ログインの構成設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの構成設定をカスタマイズすることもできます。
    JAAS J2C 認証
    JAAS J2C 認証データの構成設定を指定します。 グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。
    Java Authentication SPI (JASPI)

    Java Authentication SPI (JASPI) 認証プロバイダー および関連する認証モジュールの構成設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。 ドメインの JASPI 認証プロバイダーを構成するには、 「このドメイン用にカスタマイズする」を選択して JASPI を使用可能にします。 「プロバイダー」を選択して、 ドメインのプロバイダーを定義します。

    注: JASPI 認証プロバイダーは、ドメイン・レベルで構成されたプロバイダーで有効にすることができます。 デフォルトでは、システム内のすべてのアプリケーションは、グローバル・レベルで構成されている JASPI 認証プロバイダーにアクセスできます。セキュリティー・ランタイムは、初めにドメイン・レベルの JASPI 認証プロバイダーがあるかどうかを検査します。見つからない場合は、グローバル・セキュリティー構成 の JASPI 認証プロバイダーを調べます。プロバイダーをそのセキュリティー・ドメイン内のアプリケーションだけで使用する場合にのみ、JASPI 認証プロバイダーをドメインで構成してください。
    認証メカニズムの属性

    ドメイン・レベルで適用する必要がある各種のキャッシュ設定を指定します。

    認証キャッシュ設定 (Authentication cache settings)」を選択して、認証キャッシュ設定を指定します。 このパネルで指定した構成は、このドメインにのみ適用されます。

    LTPA タイムアウト」を選択して、ドメイン・レベルで異なる LTPA タイムアウト値を 構成します。デフォルトのタイムアウト値は 120 分です。この値はグローバル・レベルで設定されます。LTPA タイムアウトがドメイン・レベルで設定されると、ユーザー・アプリケーションへのアクセス時にセキュリティー・ドメインで作成されるトークンは、この有効期限の時間に基づいて作成されます。

    レルム修飾ユーザー名の使用 (Use realm-qualified user names)」が使用可能な場合、 getUserPrincipal( ) などのメソッドが返すユーザー名は、セキュリティー・ドメイン内のアプリケーションが使用するセキュリティー・レルム (ユーザー・レジストリー) で修飾されます。

    許可プロバイダー

    外部のサード・パーティー JACC (Java Authorization Contract for Containers) プロバイダーをドメイン・レベルで構成できます。Tivoli® Access Manager の JACC プロバイダーは、グローバル・レベルでしか構成できません。 セキュリティー・ドメインは、 別の JACC プロバイダーまたは組み込みのネイティブ許可によって許可プロバイダーをオーバーライドしない場合、 そのプロバイダーを引き続き使用できます。

    [z/OS]さらに、以下のような SAF 許可オプションをセキュリティー・ドメイン・レベルで構成することもできます。
    • 非認証ユーザー ID
    • SAF プロファイル・マッパー
    • SAF 委任を使用可能にするかどうか
    • WebSphere Application Server へのアクセスを制限するために APPL プロファイルを使用するかどうか
    • 許可に失敗したメッセージを抑止するかどうか
    • SMF 監査レコード計画
    • SAF プロファイル接頭部

    [z/OS]SAF 許可オプションについて詳しくは、 z/OS System Authorization Facility 許可を参照してください。

    [z/OS]
    z/OS® セキュリティー・オプション
    z/OS 固有のセキュリティー・オプションをプロセス (JVM) レベルで設定して、すべてのアプリケーション (管理とユーザーの両方) がこれらのオプションを使用可能または使用不可に設定できるようにします。 プロパティーには以下のようなものがあります。
    • アプリケーション・サーバーと z/OS スレッド ID の同期化を使用可能にする
    • 接続マネージャーの RunAs スレッド ID を使用可能にする

    z/OS セキュリティー・オプションについて詳しくは、 z/OS セキュリティー・オプションを参照してください。

    カスタム・プロパティー
    新規のカスタム・プロパティー、またはグローバル・レベルのものとは異なるカスタム・プロパティーをドメイン・レベルで設定します。デフォルトでは、グローバル・セキュリティー構成のカスタム・プロパティーはすべて、 セル内のすべてのアプリケーションからアクセスできます。 セキュリティー・ランタイム・コードは、最初に、ドメイン・レベルにカスタム・プロパティーがないか確認します。 見つからない場合は、グローバル・セキュリティー構成のカスタム・プロパティーを取得しようとします。
  5. セキュリティー属性を構成して、ドメインを 1 つ以上の有効範囲に割り当てたら、 「適用」または「OK」をクリックします。
  6. すべてのサーバーおよびクラスターを再始動して、変更内容を有効にします。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_config
ファイル名:tsec_sec_domains_config.html