レジストリーまたはリポジトリーの選択

ユーザー・レジストリーにはユーザーおよびグループに関する情報が入っています。 WebSphere® Application Server のユーザー・レジストリーは、 ユーザーの認証を行い、 ユーザーおよびグループに関する情報を取得して、 セキュリティー関連の機能 (認証および許可など) を実行します。

始める前に

注: プロファイル作成時、インストールまたはポストインストールの間、管理セキュリティーはデフォルトで使用可能です。 ファイル・ベースのフェデレーテッド・ユーザー・リポジトリーはアクティブ・ユーザー・レジストリーとして構成されます。 異なるユーザー・レジストリーが必要かどうかを決定します。

ユーザー・レジストリー (またはリポジトリー) を構成する前に、どのユーザー・レジストリー (またはリポジトリー) を使用するかを 決めてください。セルのアクティブ・デフォルト・レジストリーを 1 つ構成できます。

このタスクについて

WebSphere Application Server は、複数のタイプのレジストリーとリポジトリーをサポートする実装を提供します。これらのタイプには、ローカル・オペレーティング・システム・レジストリー、 スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリー、 スタンドアロン・カスタム・レジストリー、および統合リポジトリーが含まれます。

WebSphere Application Server では、 ユーザー・レジストリーまたはリポジトリー (統合リポジトリーなど) は、ユーザーの認証を行い、 ユーザーおよびグループに関する情報を検索して、セキュリティー関連の機能 (認証、許可など) を実行します。

WebSphere Application Server では、ユーザー・レジストリーまたはリポジトリーは以下の目的で使用されます。
  • 基本認証、ID アサーション、またはクライアント証明書を使用した、ユーザーの認証。
  • ユーザーおよびグループについての情報を検索し、ユーザーおよびグループのセキュリティー・ロールへのマッピングなど、セキュリティーに関連する管理機能を実行する

[z/OS]WebSphere Application Server は、複数のオペレーティング・システムまたはオペレーティング環境ベースのユーザー・レジストリー (z/OS® SAF レジストリーなど)、および主要な Lightweight Directory Access Protocol (LDAP) ベースのレジストリーの大半をサポートできるように設計されています。 カスタム LDAP フィーチャーを使用すると、 ユーザーおよびグループのフィルターなどの正しい構成情報を設定することにより、 任意の LDAP サーバーをサポートできます。ただし、 これらのカスタム LDAP サーバーはサポートの対象にはなりません。 テストできない可能性が多くあるためです。

[z/OS]正しいレジストリーまたはリポジトリーを構成することは、 ユーザーとグループをアプリケーションのロールに割り当てるための前提条件です。 デフォルトでは、ユーザー・レジストリーまたはリポジトリーが構成されていない場合、 ローカル・オペレーティング・システムの SAF ベース・ユーザー・レジストリーが使用されます。 選択したユーザー・レジストリーまたはリポジトリーがローカル・オペレーティング・システムでない場合は、 最初にユーザー・レジストリーまたはリポジトリーを構成する必要があります。 ユーザー・レジストリーまたはリポジトリーの構成は、通常管理セキュリティーの使用可能化の一環として行われます。 その後サーバーを再始動してから、ユーザーとグループをすべてのアプリケーションのロールに割り当てます。

WebSphere Application Server には、ローカル・オペレーティング・システム・レジストリー、LDAP レジストリー、 および統合リポジトリー・レジストリーのほかにも、 カスタム・レジストリー機能を使用してあらゆるレジストリーをサポートするプラグインも用意されています。 カスタム・レジストリー機能を使用すると、WebSphere Application Server のセキュリティー構成パネルからは使用可能にできないすべてのユーザー・レジストリーを構成できます。

正しいレジストリーまたはリポジトリーを構成することは、 ユーザーとグループをアプリケーションのロールに割り当てるための前提条件です。 ユーザー・レジストリーまたはリポジトリーが構成されていない場合、ローカル・オペレーティング・システムのレジストリーが デフォルトで使用されます。選択したユーザー・レジストリーがローカル・オペレーティング・システム・レジストリーでない場合は、 まずレジストリーまたはリポジトリーの構成を行い (通常、セキュリティーの使用可能化の一環として行われる)、 サーバーを再始動してから、ユーザーとグループをすべてのアプリケーションのロールに割り当てる必要があります。

WebSphere Application Server は以下のユーザー・レジストリーのタイプをサポートします。
  • 統合リポジトリー
  • ローカル・オペレーティング・システム ([z/OS]SAF ベースなど)
    制約事項: ローカル・オペレーティング・システムのレジストリーで透過 LDAP サーバーを構成し、LDAP を使用してそのローカル・オペレーティング・システムでユーザーの認証を行うことは、サポートされていません。
  • スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリー
  • スタンドアロン・ カスタム・ レジストリー
UserRegistry インターフェースは、カスタム・レジストリーおよびユーザー・アカウント・リポジトリーの統合リポジトリー・オプションの両方の実装に使用されます。 このインターフェースは、ユーザーおよびグループの現在の情報がデータベースなどの他のフォーマットで存在し、ローカル・オペレーティング・システムまたは LDAP レジストリーに移動できない場合にも非常に役に立ちます。 そのような場合は、あらゆるセキュリティー関連のオペレーションに対して WebSphere Application Server が既存のレジストリーを使用できるように UserRegistry インターフェースをインプリメントできます。 カスタム・レジストリーの実装プロセスは、ソフトウェアによるものであり、 実装は、その運用に対して WebSphere Application Server リソース管理には依存しないものとされています。 例えば、Application Server のデータ・ソース構成を使用することはできません。 一般に、データベース接続を呼び出し、それらの動作をコード内に直接記述する必要があります。
注: WebSphere Application Server は、 UserRegistry インターフェースを使用してユーザー・レジストリー・プロキシーを実装しています。しかし、戻り値はインターフェースとほとんど違いはありません。 例えば、getUniqueUserId は固有 ID とレルム名をラップして戻します。 次の例のように、戻り値を使用して getUserSecurityName に渡すことはできません。
		// Retrieves the default InitialContext for this server.
javax.naming.InitialContext ctx = new javax.naming.InitialContext();

		// Retrieves the local UserRegistry object.
		com.ibm.websphere.security.UserRegistry reg =
         (com.ibm.websphere.security.UserRegistry) ctx.lookup("UserRegistry");

// Retrieves the registry uniqueID based on the userName that is specified
     // in the NameCallback.
String uniqueid = reg.getUniqueUserId(userName);
// Strip the realm name and get real uniqueID
String uid = com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID (uniqueID);

// Retrieves the security name from the user registry based on the uniqueID.
		String securityName = reg.getUserSecurityName(uid);
この構文解析機能には、Service Provider Interface (SPI) を使用できます。
アプリケーションでユーザーとグループを割り当てた後、 ユーザー・レジストリーを変更する必要がある場合は、管理コンソールか wsadmin スクリプトを使用して、 アプリケーションからすべてのユーザーと グループ (RunAs ロールを含む) を削除し、レジストリーを変更してそれらを再割り当てします。 以下の wsadmin コマンドは、Jacl を使用し、 すべてのユーザーとグループを任意のアプリケーションから除去します。
$AdminApp deleteUserAndGroupEntries yourAppName
ここで、yourAppName はアプリケーション名です。 この操作を行う前に、これまでのアプリケーションをバックアップすることをお勧めします。 ただし、以下の条件の両方があてはまる場合は、ユーザーとグループの情報を削除しないで、 レジストリーを切り替えることができます。
  • すべてのアプリケーションのすべてのユーザー名とグループ名 (RunAs ロール・ユーザーのパスワード を含む) が両方のユーザー・レジストリーで一致します。
  • アプリケーションのバインディング・ファイルには、各ユーザー・レジストリーはもとより同じユーザーやグループ名に対しても固有なアクセス ID が含まれていません。

デフォルトでは、アプリケーションのバインディング・ファイル にアクセス ID は含まれていません。これらの ID は、アプリケーションの開始時に生成されます。ただし、以前のリリースから既存のアプリケーションをマイグレーションした場合、 またはパフォーマンスを向上させるために wsadmin スクリプトを使用して、 アプリケーションのアクセス ID を追加した場合は、既存のユーザー情報とグループ情報を除去し、 新規ユーザー・レジストリーを構成した後で、それらを追加する必要があります。

アクセス ID の更新について詳しくは、『AdminApp オブジェクトのコマンド (Commands for the AdminApp object)』で『updateAccess IDs』を参照してください。

重要: WebSphere Application Server では、異なるオペレーティング・システムのさまざまなユーザー・レジストリーおよびリポジトリーをサポートします。ユーザー認証プロセス時に、ユーザー名またはパスワードに非英数字を使用することができます。 この非英数字の使用に関する制約事項は、基礎となるオペレーティング・システムおよびユーザー・レジストリーのタイプに応じて異なります。 サポートされていない非英数字について詳しくは、ご使用のオペレーティング・システムおよびユーザー・レジストリーまたはリポジトリーに関する資料を参照してください。
[AIX]例えば、ユーザー名の値に使用できない文字には以下のようなものがあります。
  • ˋ
  • #
  • =
  • \
  • :
  • "
  • ,
  • /
  • ?
  • '
  • スペース文字

サポートされていない非英数字がすべて記載されたリストについては、IBM AIX オペレーティング・システムに関する資料を参照してください。

[HP-UX]例えば、ユーザー名の値に使用できない文字には以下のようなものがあります。
  • ˋ
  • :
  • "
  • /
  • スペース文字

以下のステップのいずれかを完了し、 ユーザー・レジストリーを構成します。

手順

次のタスク

  1. セキュリティーを使用可能にする場合は、必ず以降のステップを完了してください。 「グローバル・セキュリティー」パネルで「ユーザー・アカウント・リポジトリー」が正しいレジストリーまたは リポジトリーに設定されていることを確認します。最終ステップとして、「グローバル・セキュリティー」パネルで「適用」を クリックして、ユーザー ID とパスワードを検証してください。 すべての WebSphere Application Server を保存し、停止してから始動します。
  2. ユーザー・レジストリー・パネルで行った変更内容を有効にするには、「グローバル・セキュリティー」 パネルで「適用」をクリックして、変更内容を確認する必要があります。 検証後、構成を保存し、すべての WebSphere Application Server (セル、ノード、およびすべての アプリケーション・サーバーを含む) を停止して始動してください。 WebSphere Application Server プロセス間で矛盾が生じることを防ぐため、レジストリーまたはリポジトリーへの変更は、 必ずすべてのプロセスが稼働しているときに行うようにしてください。 プロセスのいずれかがダウンしている場合は、 同期を強制して、そのプロセスが後で開始されるようにしてください。

    サーバーが問題なく始動したら、セットアップは正しく行われたことになります。

  3. [z/OS]ローカル・オペレーティング・システム経由の System Authorization Facility (SAF) をレジストリーまたはリポジトリーとして 選択する場合、バインディング・ファイルの値は無視されます (RunAs ロール・ユーザーのユーザー ID とパスワード (またはパスワード句) は例外)。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_useregistry
ファイル名:tsec_useregistry.html