基本アプリケーション・サーバー・ノードを管理エージェントに登録する場合のセキュリティーに関する考慮事項

スタンドアロンの基本アプリケーション・サーバーを管理エージェントに登録して、 それらを集中して制御するような場合があります。 ご使用の基本アプリケーション・サーバーが、 現在セキュリティーを使用して構成されている場合は、いくつかの考慮事項があります。 これらのセキュリティーに関する考慮事項は、registerNode コマンドおよび deregisterNode コマンドの使用に関連しています。

registerNode コマンドの目的は、 スタンドアロンの基本ノードを取得し、管理エージェントにより管理されるノードに変換することです。 registerNode コマンドで主となるパラメーターは profilePath であり、これは管理エージェントがノードを検出できるローカル・マシン上の場所を指定します。 portsFile パラメーターには、基本ノードの代わりに 管理エージェントが listen するポートを判別するための鍵が含まれます。 このフォーマットは、manageProfiles コマンド行のフォーマットと同じです。

registerNode コマンドは、管理エージェント自身から実行されます。 このコマンドを使用して、ノードを管理エージェントに登録します。 管理エージェントと登録対象ノードは、同じシステム上に存在する必要があります。 registerNode コマンドは、基本ノードでのみ有効です。 ノードがデプロイメント・マネージャーに統合されている場合、registerNode コマンドはエラーとなり失敗します。

最初に、プロファイル登録の署名者交換プロセスがデフォルトの Secure Sockets Layer (SSL) 構成を処理します。 その中で、プロセスはルート証明書署名者を管理エージェントの NodeDefaultRootStore から取得し、それらをターゲット・プロファイルの NodeDefaultTrustStore に保管します。次にこのプロセスは、ターゲット・プロファイルの NodeDefaultRootStore からルート証明書の署名者を取得し、それらを管理エージェントの NodeDefaultTrustStore に保管します。 署名者は、ターゲット・プロファイルのトラストストアには別名の接頭部「agent_signer」を使用して、管理エージェントのトラストストアには別名の接頭部「<profileName>_signer」を使用して、それぞれ保管されます。

次に、プロファイル登録の署名者交換プロセスは、RSAToken 認証構成を処理します。 この中で、プロセスは管理エージェントの NodeRSATokenRootStore からルート証明書署名者を取得し、それらをターゲット・プロファイルの NodeRSATokenTrustStore に保管します。 次に、プロセスはターゲット・プロファイルの NodeRSATokenRootStore からルート証明書署名者を取得し、それらを管理エージェントの NodeRSATokenTrustStore に保管します。 署名者は、ターゲット・プロファイルのトラストストアには別名の接頭部「agent_signer」を使用して、管理エージェントのトラストストアには別名の接頭部「<profileName>_signer」を使用して、それぞれ保管されます。

さらに、登録プロセスでは、管理エージェントからのすべてのルート証明書の署名者 (SSL および RSAToken) が、ターゲット・プロファイルのクライアント・トラストストア (デフォルトでは ClientDefaultTrustStore) に保管されます。

deregisterNode コマンドは、登録解除プロセスをアクティブにします。これにより、登録プロセス中に交換されたすべての署名者が、管理エージェントおよび基本プロファイルの両方から除去されます。 管理エージェントに未登録とマークされることを除いて、基本ノードの構成は保持されます。 このコマンドは、事前に登録した基本ノードに対してのみ有効です。

registerNode コマンドをセキュリティーを介して実行する際に考慮する必要がある問題を以下に示します。
  • registerNode コマンドなどのシステム管理コマンドを実行する場合、管理クレデンシャルを明示的に指定して操作を実行する必要があります。 registerNode コマンドは、ユーザー ID とパスワードを指定するのに、それぞれ -username パラメーターと -password パラメーターを受け入れます。 指定するユーザー ID とパスワードは、管理ユーザーのものである必要があります。 管理ユーザーとは、例えば、管理者の特権を持っているか、 ユーザー・レジストリーで構成されている管理ユーザー ID を持っているコンソール・ユーザーのメンバーです。 以下に registerNode コマンドの例を示します。

    registerNode -profilePath /WebSphere/AppServer/profiles/default -host localhost -connType SOAP -port 8877 -username WSADMIN -password ADMINPWD

  • 管理エージェントに対して登録する前に、ノードの管理セキュリティーが使用可能または使用不可に設定されている必要があります。
  • ノードをいったん登録すると、そのノードを登録解除するまで、そのノード (またはその他のすべての登録済みノード) の管理セキュリティーを使用可能または使用不可にすることはできません。
分散サーバー間のセキュリティー相互作用について正しく理解すると、セキュア通信に関する問題を大幅に削減できます。 追加機能を管理する必要があるため、セキュリティーはますます複雑になっています。 管理エージェントを使用することで、セキュリティー性を確保しつつ、追加の機能を管理することができます。

registerNode とセキュリティー設定に関する一般的な質問および答え

管理エージェントに登録した後、ノードのセキュリティー設定を変更できますか。
管理セキュリティーは、管理エージェントとすべての登録ノードで有効にするか、 管理エージェントとすべての登録ノードで無効にする必要があります。 その上で、ノード登録の前または後に、登録ノードと管理エージェントの他のセキュリティー構成が異なってもかまいません。 ただし、管理セキュリティー構成は、管理エージェントと登録ノードの全体で一貫していなければなりません。
ノードを登録した後に管理エージェントのセキュリティー設定を変更できますか。
いいえ。前の質問と答えを参照してください。 変更すると、管理セキュリティー構成が、管理エージェントと登録ノードの全体で一貫しなくなってしまいます。
管理エージェントでセキュリティーが有効になっている場合、ノードでセキュリティーが有効になっている必要がありますか。
はい。管理エージェントで管理セキュリティーが有効になっている場合は、ノードで管理セキュリティーが有効になっている必要があります。
ノードが登録される前に、管理エージェントとノードのセキュリティー設定および値が異なってもかまいませんか。
はい。ただし、管理セキュリティーの値は除きます。
registerNode コマンドでパラメーター -username username / -password password および -nodeusername node_user_name / -nodepassword node_password の正しい使用法はどのような方法ですか。
username / password は、管理エージェントで定義された管理ユーザーとパスワードを参照します。 nodeusername / nodepassword は、登録されるノードで定義された管理ユーザーとパスワードを参照します。
注: nodeusername / nodepassword は、管理エージェントと登録されるノードで管理セキュリティーが有効の場合にのみ必要です。
RegisterNode の使用例:
${WAS_ROOT}/profiles/AA_1/bin/registerNode.sh
-connType SOAP
-port ${soap}
-username $SUSER
-password $SPASS
-profilePath ${WAS_ROOT}/profiles/AS_1_1
-nodeusername $SUSER2
-nodepassword $SPASS2 
[z/OS]
z/OS の特別な考慮事項: z/OS では、管理エージェントのコントローラー・ユーザー ID は、そのデフォルトの UNIX システム・サービス構成グループとして、管理対象のアプリケーション・サーバーの構成グループを持っていなければなりません。 管理エージェントのサーバント・ユーザー ID は、同じグループに接続されている必要があります。 必ずこのようになることを確保する最も単純な方法は、管理エージェントとそのアプリケーション・サーバーを構成する際に、単一構成グループ ID を指定することです。

管理セキュリティーに System Authorization Facility (SAF) ローカル・レジストリーが使用される場合、 registerNode.sh および deregisterNode.sh コマンドを呼び出すために使用されるユーザー ID は、 管理エージェントの管理特権を持っている必要があり、また、管理エージェントおよびそのアプリケーション・サーバーの UNIX システム・サービス構成グループに接続されている必要があります。

証明書の保管に SAF 鍵リングが使用される場合、登録時に署名者の交換は行われません。 必ず、管理エージェントとそれが管理するアプリケーション・サーバーのサーバー証明書が共通の署名者を共用し、 その共通の署名者が、registerNode.sh または deregisterNode.sh の呼び出しに使用される管理者ユーザー ID の鍵リング上に存在するようにしてください。
注: 登録時または登録解除時に使用される鍵リングは、管理エージェントへ関連付けられている鍵リングです。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7register_admin_agent
ファイル名:rsec_7register_admin_agent.html