レジストリーまたはリポジトリーの選択
ユーザー・レジストリーにはユーザーおよびグループに関する情報が入っています。 WebSphere® Application Server のユーザー・レジストリーは、 ユーザーの認証を行い、 ユーザーおよびグループに関する情報を取得して、 セキュリティー関連の機能 (認証および許可など) を実行します。
始める前に
ユーザー・レジストリー (またはリポジトリー) を構成する前に、どのユーザー・レジストリー (またはリポジトリー) を使用するかを 決めてください。セルのアクティブ・デフォルト・レジストリーを 1 つ構成できます。
このタスクについて
WebSphere Application Server は、複数のタイプのレジストリーとリポジトリーをサポートする実装を提供します。これらのタイプには、ローカル・オペレーティング・システム・レジストリー、 スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリー、 スタンドアロン・カスタム・レジストリー、および統合リポジトリーが含まれます。
WebSphere Application Server では、 ユーザー・レジストリーまたはリポジトリー (統合リポジトリーなど) は、ユーザーの認証を行い、 ユーザーおよびグループに関する情報を検索して、セキュリティー関連の機能 (認証、許可など) を実行します。
- 基本認証、ID アサーション、またはクライアント証明書を使用した、ユーザーの認証。
- ユーザーおよびグループについての情報を検索し、ユーザーおよびグループのセキュリティー・ロールへのマッピングなど、セキュリティーに関連する管理機能を実行する
WebSphere Application Server
は、複数のオペレーティング・システムまたはオペレーティング環境ベースのユーザー・レジストリー
(z/OS® SAF レジストリーなど)、および主要な Lightweight Directory Access Protocol (LDAP)
ベースのレジストリーの大半をサポートできるように設計されています。
カスタム LDAP フィーチャーを使用すると、
ユーザーおよびグループのフィルターなどの正しい構成情報を設定することにより、
任意の LDAP サーバーをサポートできます。ただし、
これらのカスタム LDAP サーバーはサポートの対象にはなりません。
テストできない可能性が多くあるためです。
正しいレジストリーまたはリポジトリーを構成することは、
ユーザーとグループをアプリケーションのロールに割り当てるための前提条件です。
デフォルトでは、ユーザー・レジストリーまたはリポジトリーが構成されていない場合、
ローカル・オペレーティング・システムの SAF
ベース・ユーザー・レジストリーが使用されます。
選択したユーザー・レジストリーまたはリポジトリーがローカル・オペレーティング・システムでない場合は、
最初にユーザー・レジストリーまたはリポジトリーを構成する必要があります。
ユーザー・レジストリーまたはリポジトリーの構成は、通常管理セキュリティーの使用可能化の一環として行われます。
その後サーバーを再始動してから、ユーザーとグループをすべてのアプリケーションのロールに割り当てます。
WebSphere Application Server には、ローカル・オペレーティング・システム・レジストリー、LDAP レジストリー、 および統合リポジトリー・レジストリーのほかにも、 カスタム・レジストリー機能を使用してあらゆるレジストリーをサポートするプラグインも用意されています。 カスタム・レジストリー機能を使用すると、WebSphere Application Server のセキュリティー構成パネルからは使用可能にできないすべてのユーザー・レジストリーを構成できます。
正しいレジストリーまたはリポジトリーを構成することは、 ユーザーとグループをアプリケーションのロールに割り当てるための前提条件です。 ユーザー・レジストリーまたはリポジトリーが構成されていない場合、ローカル・オペレーティング・システムのレジストリーが デフォルトで使用されます。選択したユーザー・レジストリーがローカル・オペレーティング・システム・レジストリーでない場合は、 まずレジストリーまたはリポジトリーの構成を行い (通常、セキュリティーの使用可能化の一環として行われる)、 サーバーを再始動してから、ユーザーとグループをすべてのアプリケーションのロールに割り当てる必要があります。
- 統合リポジトリー
- ローカル・オペレーティング・システム (
SAF ベースなど)
制約事項: ローカル・オペレーティング・システムのレジストリーで透過 LDAP サーバーを構成し、LDAP を使用してそのローカル・オペレーティング・システムでユーザーの認証を行うことは、サポートされていません。 - スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリー
- スタンドアロン・ カスタム・ レジストリー
// Retrieves the default InitialContext for this server.
javax.naming.InitialContext ctx = new javax.naming.InitialContext();
// Retrieves the local UserRegistry object.
com.ibm.websphere.security.UserRegistry reg =
(com.ibm.websphere.security.UserRegistry) ctx.lookup("UserRegistry");
// Retrieves the registry uniqueID based on the userName that is specified
// in the NameCallback.
String uniqueid = reg.getUniqueUserId(userName);
// Strip the realm name and get real uniqueID
String uid = com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID (uniqueID);
// Retrieves the security name from the user registry based on the uniqueID.
String securityName = reg.getUserSecurityName(uid);
この構文解析機能には、Service Provider Interface (SPI) を使用できます。$AdminApp deleteUserAndGroupEntries yourAppName
ここで、yourAppName はアプリケーション名です。
この操作を行う前に、これまでのアプリケーションをバックアップすることをお勧めします。
ただし、以下の条件の両方があてはまる場合は、ユーザーとグループの情報を削除しないで、
レジストリーを切り替えることができます。
- すべてのアプリケーションのすべてのユーザー名とグループ名 (RunAs ロール・ユーザーのパスワード を含む) が両方のユーザー・レジストリーで一致します。
- アプリケーションのバインディング・ファイルには、各ユーザー・レジストリーはもとより同じユーザーやグループ名に対しても固有なアクセス ID が含まれていません。
デフォルトでは、アプリケーションのバインディング・ファイル にアクセス ID は含まれていません。これらの ID は、アプリケーションの開始時に生成されます。ただし、以前のリリースから既存のアプリケーションをマイグレーションした場合、 またはパフォーマンスを向上させるために wsadmin スクリプトを使用して、 アプリケーションのアクセス ID を追加した場合は、既存のユーザー情報とグループ情報を除去し、 新規ユーザー・レジストリーを構成した後で、それらを追加する必要があります。
アクセス ID の更新について詳しくは、『AdminApp オブジェクトのコマンド (Commands for the AdminApp object)』で『updateAccess IDs』を参照してください。
![[AIX]](../images/aixlogo.gif)
- ˋ
- #
- =
- \
- :
- "
- ,
- /
- ?
- '
- スペース文字
サポートされていない非英数字がすべて記載されたリストについては、IBM AIX オペレーティング・システムに関する資料を参照してください。
![[HP-UX]](../images/hpux.gif)
- ˋ
- :
- "
- /
- スペース文字
以下のステップのいずれかを完了し、 ユーザー・レジストリーを構成します。
手順
- ローカル・オペレーティング・システムのレジストリーの構成
- Lightweight Directory Access Protocol ユーザー・レジストリーの構成
- スタンドアロン・カスタム・レジストリーの構成.
- 統合リポジトリー 構成におけるレルムの管理
次のタスク
- セキュリティーを使用可能にする場合は、必ず以降のステップを完了してください。 「グローバル・セキュリティー」パネルで「ユーザー・アカウント・リポジトリー」が正しいレジストリーまたは リポジトリーに設定されていることを確認します。最終ステップとして、「グローバル・セキュリティー」パネルで「適用」を クリックして、ユーザー ID とパスワードを検証してください。 すべての WebSphere Application Server を保存し、停止してから始動します。
- ユーザー・レジストリー・パネルで行った変更内容を有効にするには、「グローバル・セキュリティー」
パネルで「適用」をクリックして、変更内容を確認する必要があります。
検証後、構成を保存し、すべての WebSphere Application Server (セル、ノード、およびすべての
アプリケーション・サーバーを含む) を停止して始動してください。
WebSphere Application Server プロセス間で矛盾が生じることを防ぐため、レジストリーまたはリポジトリーへの変更は、
必ずすべてのプロセスが稼働しているときに行うようにしてください。
プロセスのいずれかがダウンしている場合は、
同期を強制して、そのプロセスが後で開始されるようにしてください。
サーバーが問題なく始動したら、セットアップは正しく行われたことになります。
ローカル・オペレーティング・システム経由の System Authorization Facility (SAF) をレジストリーまたはリポジトリーとして 選択する場合、バインディング・ファイルの値は無視されます (RunAs ロール・ユーザーのユーザー ID とパスワード (またはパスワード句) は例外)。