このパネルを使用して、管理およびデフォルト・アプリケーション・セキュリティー・ポリシーを構成します。
このセキュリティー構成はすべての管理機能のセキュリティー・ポリシーに適用され、ユーザー・アプリケーションのデフォルト・セキュリティー・ポリシーとして使用されます。
セキュリティー・ドメインは、ユーザー・アプリケーションのセキュリティー・ポリシーをオーバーライドおよびカスタマイズするように定義できます。
このタスクについて
以下の Web サイトを指定することにより、管理コンソールを開始します。
http://server_hostname:port_number/ibm/console
管理セキュリティーを使用可能にするには、以下のステップを実行します。
「グローバル・セキュリティー」パネル上のオプションを使用すると、ご使用環境でのセキュリティーの実行において、以前の WebSphere®
Application Server リリースを上回る柔軟性が提供されます。
手順
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「管理セキュリティーを使用可能にする」オプションを選択します。
- オプション: WebSphere Application Server
で、アプリケーション・ユーザーの認証を必要としない場合は、「アプリケーション・セキュリティーを使用可能にする」オプションをクリアします。
- オプション: Java™ 2 セキュリティー権限チェックを使用可能にしない場合は、「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションをクリアします。
Java
2 セキュリティーが使用可能になっているときに、デフォルト・ポリシーで与えられるよりも多くの Java
2 セキュリティー権限がアプリケーションで要求される場合、アプリケーションの
app.policy ファイルまたは
was.policy ファイルに必要な許可が与えられるまでは、
そのアプリケーションが正しく実行できない可能性があります。
必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。Java 2
セキュリティーに関する詳しい説明については、『Java 2 セキュリティー
および動的ポリシー』資料を参照してください。
注: app.policy ファイルへの更新は、app.policy ファイルが属するノード上のエンタープライズ・アプリケーションのみに適用されます。
- オプション: 「アプリケーションがカスタム許可を認可されたときに警告する」オプションを選択します。 filter.policy ファイルには、J2EE 1.3 仕様に従って、
アプリケーションが持つべきではないアクセス権のリストが入っています。
このポリシー・ファイルに指定されたアクセス権とともに、アプリケーションがインストールされ、このオプションが使用可能な場合には、警告が出されます。
デフォルトは使用可能です。
- オプション: 重要な Java EE Connector Architecture (JCA)
マッピング認証データへのアプリケーションのアクセスを制限する必要がある場合は、「リソース認証データへのアクセスを制限する」オプションを選択します。
詳しくは、グローバル・セキュリティーの設定を参照してください。
- 「認証メカニズムおよび有効期限」メニューからセキュリティーを使用可能にする場合は、どの認証メカニズムをアクティブにするかを選択します。 このリリースの WebSphere Application Server
では、認証メカニズムの選択項目として LTPA や Kerberos が含まれています。
注: SWAM は WebSphere Application Server バージョン バージョン 9.0 では推奨されません。また将来のリリースでは除去される予定です。
- セキュリティーが使用可能な場合に、「ユーザー・アカウント・リポジトリー」メニューを使用して、アクティブなユーザー・レジストリーを指定します。 以下のユーザー・リポジトリーのうちの 1 つについて、設定を構成することができます。
- 統合リポジトリー
- 統合リポジトリー機能により、WebSphere Application Server で複数のレジストリーを使用することができます。これらのレジストリー (ファイル・ベースのレジストリー、LDAP レジストリー、または LDAP レジストリーのサブツリーにすることが可能) は、単一のリポジトリーの下で定義され、理論上結合されます。
- ローカル・オペレーティング・システム
- 実装は、Resource Access Control Facility (RACF®) などの System Authorization Facility (SAF) 準拠レジストリーです。
これは、MVS™ シスプレックスで共有されます。
- スタンドアロン LDAP レジストリー
- ユーザーおよびグループが外部 LDAP ディレクトリーに置かれている場合には、スタンドアロン LDAP レジストリーの設定値が使用されます。 セキュリティーが使用可能になっていて、これらのプロパティーのいずれかが変更されている場合は、
「グローバル・セキュリティー」パネルに移動し、「OK」または「適用」をクリックして変更内容を確認します。
- スタンドアロン・
カスタム・
レジストリー
- スタンドアロン・カスタム・レジストリー・フィーチャーでは、WebSphere Application Server で実装されていないユーザー・レジストリーもサポートしています。UserRegistry インターフェースを実装すると、
製品の環境で使用される任意のユーザー・レジストリーを使用できます。
- オプション: 連邦情報処理標準によって認証された JSSE を使用している場合は、「セキュリティー」> 「SSL 証明書および鍵管理」パネルから「Use the United States Federal Information Processing Standard (FIPS) algorithm」オプションを選択します。 WebSphere Application Server
は、IBMJSSE2 を使用するチャネル・フレームワークをサポートしています。「Use the United States Federal Information Processing
Standard (FIPS) algorithms」
オプションが使用可能な場合、IBMJSSE2 は暗号のサポートに IBMJCEFIPS を使用します。
- 「OK」をクリックします。
このパネルは、セキュリティー構成の最終検証を行います。このパネルの「OK」または「適用」をクリックすると、セキュリティー検証ルーチンが実行され、すべての問題が報告されます。すべてのフィールドへの記入を完了したら、「OK」または「適用」をクリックして、選択した設定を受け入れます。
「保管」をクリックして、これらの設定をファイルに出力して永続的に保管します。
赤字の
情報メッセージが表示された場合は、セキュリティー検証に問題が発生しています。
通常、このメッセージは問題を示しています。
したがって、構成を見直し、ユーザー・レジストリーの設定が正確であること、および正しいレジストリーが選択されていることを確認してください。
または、LTPA 構成が完全に指定されていない可能性もあります。
詳しくは、グローバル・セキュリティーの設定を参照してください。
- オプション: SAF 許可の構成。これらの設定の詳細については、z/OS System Authorization Facility 許可を参照してください。
タスクの結果
エラー・メッセージが表示されない場合、構成は成功です。