セキュリティーの使用可能化

WebSphere® Application Sever プロファイル作成時にセキュリティーが使用不可だった場合のセキュリティーの構成方法に関する情報を以下に示します。

始める前に

WebSphere Application Server をインストールする場合は、セキュリティーを使用可能にしてからインストールすることをお勧めします。 設計上、このオプションにより、構成がすべて適切であることが保証されます。 セキュリティーを使用可能にすることで、ご使用のサーバーを許可されていないユーザーから保護し、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供することができます。

インフラストラクチャーの観点からセキュリティーを理解しておくと、 さまざまな認証メカニズム、ユーザー・レジストリー、認証プロトコルなどの利点を知ることができて有益です。 ユーザーの要件に合った正しいセキュリティー・コンポーネントを選出することも、セキュリティーの構成の一環です。 以下のセクションは、これらの判断を下す際の一助となるものです。

セキュリティー・コンポーネントについて理解すると、WebSphere Application Server でのセキュリティーの構成に進むことができます。

[z/OS]重要: セキュリティーを使用可能にするのに必要な幾つかのセキュリティー・カスタマイズ・タスクがあります。 これらのタスクは、リソース・アクセス管理機能 (RACF®) などのセキュリティー・サーバーへの更新を要求します。このプロセスに、 セキュリティー・アドミニストレーターを含める必要がある場合もあります。

手順

  1. WebSphere Application Server 管理コンソール を開始します。

    デプロイメント・マネージャーを開始して、ブラウザーに WebSphere Application Server Network Deployment サーバーのアドレスを入力します。デフォルトでは、コンソールは http://your_host.your_domain:9060/ibm/console にあります。

    セキュリティーが使用不可になっている場合は、ユーザー ID を要求するプロンプトが出されます。任意のユーザー ID を使用してログインします。ただし、セキュリティーが有効になっている場合は、 ユーザー ID とパスワードの両方を要求するプロンプトが出されます。定義済みの管理ユーザー ID とパスワードを使用してログインします。

  2. セキュリティー」>「グローバル・セキュリティー」とクリックします。

    セキュリティー構成ウィザードを使用するか、またはセキュリティーを手動で構成します。構成の順序は重要ではありません。

    トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): 管理セキュリティーとアプリケーション・セキュリティーは個別に使用可能に設定する必要があります。 したがって、WebSphere Application Server クライアントでは、アプリケーション・セキュリティーがターゲット・サーバーで使用不可であるかどうかを認識する必要があります。管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーをターゲット・サーバー上で使用可能にする前に、管理セキュリティーがそのサーバーで使用可能になっていることを確認してください。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。gotcha

    手動構成について詳しくは、ユーザーの認証を参照してください。

  3. ユーザー・アカウント・リポジトリーを構成します。 詳しくは、レジストリーまたはリポジトリーの選択を参照してください。「グローバル・セキュリティー」パネルで、統合リポジトリー、ローカル・オペレーティング・システム、スタンドアロンの Lightweight Directory Access Protocol (LDAP) レジストリー、スタンドアロンのカスタム・レジストリーなどの、ユーザー・アカウント・リポジトリーを構成することができます。
    注: インターオペラビリティー用のサーバー ID およびパスワードを指定するか、または WebSphere Application Server インストールが自動的に内部サーバー ID を生成できるようにするかを選択できます。サーバー ID の自動生成に関する詳細については、ローカル・オペレーティング・システムの設定を参照してください。

    すべてのユーザー・レジストリーやリポジトリーに共通の詳細事項の 1 つに、「Primary administrative user name」があります。 この ID は、選択されたリポジトリーの 1 メンバーですが、WebSphere Application Server では特別な権限も持っています。この ID の特権と、管理ロール ID に関連付けられている特権とは同じものです。 この「Primary administrative user name」は、保護された管理方法のすべてにアクセスできます。

    [Windows]この ID は、システムのマシン名と同じ名前であってはなりません。これは、 リポジトリーが、同名のユーザーを照会する際に、マシン固有の情報を戻す場合があるためです。

    スタンドアロン LDAP レジストリーでは、「Primary administrative role name が、 LDAP 管理ロール ID であるだけでなく、リポジトリーのメンバーであることを確認してください。 このエントリーは、検索可能である必要があります。

    [AIX Solaris HP-UX Linux Windows][IBM i]「1 次管理ユーザー名」は、WebSphere Application Server プロセスの実行は行いません。代わりに、プロセス ID が WebSphere Application Server プロセスを実行します。

    [AIX Solaris HP-UX Linux Windows]プロセス ID は、そのプロセスの始動方法によって決まります。 例えば、コマンド行を使用してプロセスを始動する場合は、システムにログインするユーザー ID がプロセス ID になります。 サービスとして実行している場合、システムにログインする ユーザー ID は、サービスを実行しているユーザー ID です。 ローカル・オペレーティング・システム・レジストリーを選択する場合は、プロセス ID に、 オペレーティング・システム API を呼び出すための特別な権限が必要です。 プロセス ID には、以下のプラットフォーム固有の特権がなければなりません。
    • [Windows]オペレーティング・システムの一部として機能特権
    • [AIX HP-UX Solaris]ルート特権

    [IBM i]デフォルトの構成では、WebSphere Application Server プロセスは、QEJBSVR システム提供ユーザー・プロファイルで実行されます。

    [z/OS]WebSphere Application Server for z/OS® で、スタンドアロンのローカル・オペレーティング・システム・レジストリーを使用すると、サーバーのユーザー ID は、管理コンソールを使用してではなく、z/OS オペレーティング・システムの STARTED クラスを介して設定されます。

  4. ユーザー・アカウント・リポジトリーを構成した後、「Set as current」オプションを選択します。適用」をクリックした場合に「管理セキュリティーを使用可能にする 」オプションが設定されていると検査が実行され、管理ユーザー ID が構成済みで、アクティブ・ユーザー・レジストリーに存在するかどうかが検査されます。 管理ユーザー ID は、「アクティブ・ユーザー・レジストリー」パネルまたはコンソール・ユーザーのリンクから指定できます。 アクティブ・ユーザー・レジストリーに対して管理 ID が構成されていないと、検査に失敗します。
    注: ユーザー・レジストリーを切り替える場合は、 admin-authz.xml ファイルから既存の管理 ID とアプリケーション名が除去されます。 admin-authz.xml ファイルに存在する ID の例外がログに記録されますが、現行のユーザー・レジストリーには存在しません。
  5. [z/OS]オプション: 外部許可プロバイダーを WebSphere 許可、System Authorization Facility (SAF) 許可、または外部 JACC プロバイダーのいずれかに構成および変更できます。 詳しくは、z/OS System Authorization Facility 許可および外部 JACC プロバイダーの使用可能化を参照してください。許可プロバイダーを変更するには、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
  6. 認証メカニズムを構成します。

    「認証メカニズムおよび有効期限」で、Lightweight Third-Party Authentication (LTPA) または Kerberos を構成します。Kerberos は今回の WebSphere Application Server のリリースで新しく採用されています。 LTPA クレデンシャルは、他のマシンに転送できます。 セキュリティー上の理由で、クレデンシャルには有効期限がありますが、期限日付はコンソールで構成することができます。 LTPA クレデンシャルにより、ブラウザーでさまざまな製品サーバーにアクセスできます。 これは、何度も認証を行う必要がないことを意味します。 詳しくは、Lightweight Third Party Authentication メカニズムの構成を参照してください。

    [z/OS]注: 認証メカニズムとして Simple WebSphere Authentication Mechanism (SWAM) を構成することができます。 ただし、SWAM は WebSphere Application Server バージョン 9.0 では推奨されません。また将来のリリースでは除去される予定です。SWAM のクレデンシャルは、他のマシンに転送することはできません。そのため、有効期限が切れることはありません。

    シングル・サインオン (SSO) のサポートが必要な場合には、 Web ユーザー認証を最小化するためのシングル・サインオンの実装の項目を参照してください。 シングル・サインオン (SSO) がサポートされていると、認証を複数回行わなくても、 ブラウザーでさまざまな製品サーバーにアクセスすることができます。 フォーム・ベースのログインの場合は、LTPA の使用時に SSO を構成する必要があります。

  7. オプション: セル間のシングル・サインオン (SSO) 用に LTPA 鍵をインポートしてエクスポートします。 詳しくは、以下の項目を参照してください。
    トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): 接続先のセルの 1 つがバージョン 6.0.x システム上に存在する場合、詳しくは、バージョン 6.0.x インフォメーション・センターにある 『Lightweight Third Party Authentication キーの構成』のトピックを参照してください。gotcha
  8. 必要な場合は、Java™ クライアントからの特別なセキュリティー要件の認証プロトコルを構成します。

    [AIX Solaris HP-UX Linux Windows][IBM i]「グローバル・セキュリティー」パネルのリンクを使用して、 Common Secure Interoperability バージョン 2 (CSIv2) を構成することができます。Security Authentication Service (SAS) プロトコルは、 前の製品リリースとの後方互換性が提供されますが、推奨されません。 ご使用の環境に WebSphere Application Server の旧バージョンを使用するサーバーが含まれていて、SAS プロトコルをサポートする場合は、「グローバル・セキュリティー」パネルに「SAS プロトコルにリンク (Links to the SAS protocol)」パネルが表示されます。CSIv2 または SAS の構成について詳しくは、 Common Secure Interoperability バージョン 2 (CSIV2) のインバウンドおよびアウトバウンド通信設定の構成の項目を参照してください。

    [z/OS]「グローバル・セキュリティー」パネルのリンクを使用して、 Common Secure Interoperability バージョン 2 (CSIv2) を構成することができます。z/OS Security Authentication Service (z/SAS) プロトコルは、前の製品リリースとの後方互換性が提供されますが、推奨されません。 ご使用の環境に WebSphere Application Server の旧バージョンを使用するサーバーが含まれていて、SAS プロトコルをサポートする場合は、「グローバル・セキュリティー」パネルに「z/SAS プロトコルにリンク (Links to the z/SAS protocol)」パネルが表示されます。CSIv2 または z/SAS の構成について詳しくは、 Common Secure Interoperability バージョン 2 (CSIV2) のインバウンドおよびアウトバウンド通信設定の構成の項目を参照してください。
    重要: z/SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
    [AIX Solaris HP-UX Linux Windows][IBM i]重要: IBM® は Secure Authentication Service (SAS) IIOP セキュリティー・プロトコルの出荷やサポートを既に終了しています。 Common Secure Interoperability バージョン 2 (CSIv2) プロトコルを使用することをお勧めします。
    [z/OS]重要: IBM は z/OS Secure Authentication Service (z/SAS) IIOP セキュリティー・プロトコルの出荷やサポートを既に終了しています。 Common Secure Interoperability バージョン 2 (CSIv2) プロトコルを使用することをお勧めします。CSIv2 は、バージョン 4 クライアントを除いて、WebSphere Application Server の旧バージョンと相互運用します。
  9. [AIX Solaris HP-UX Linux Windows][IBM i]Secure Socket Layers (SSL) はデフォルトで事前に構成済みです。カスタムの SSL 要件がない限り、変更は必要ありません。 SSL 構成は、変更するか、新規に作成できます。 この操作により、インターネットを介して送信されるメッセージの保全性が保護されます。 この製品では、SSL を使用する WebSphere Application Server の各機能が利用できる SSL 構成を集中ロケーションで構成できます。構成できる SSL 構成には、LDAP レジストリー、Web コンテナー、および RMI/IIOP 認証プロトコル (CSIv2) があります。詳しくは、Secure Sockets Layer 構成の作成を参照してください。構成を変更、または新規構成を作成した後、「SSL configurations」パネルでその構成を指定します。 「SSL configurations」パネルを表示するには、以下のステップを実行します。
    1. セキュリティー」>「SSL 証明書および鍵管理」とクリックします。
    2. 「構成設定」の下で「エンドポイント・セキュリティー構成の管理」>「configuration_name」をクリックします。
    3. 各スコープの関連項目 (例えば、ノード、クラスター、サーバーなど) で、多くの構成リンクから、 アクセスするリソースにスコープ可能なリンクを 1 つ選択します。

    DefaultSSLConfig ファイルを編集するか、または新規のエイリアス名で新規の SSL 構成を作成することができます。 新規の鍵ストア・ファイルとトラストストア・ファイルに新規のエイリアス名を作成する場合は 、SSL 構成エイリアス DefaultSSLConfig を参照するロケーションをすべて変更します。以下に、WebSphere Application Server 構成における SSL 構成レパートリー別名の使用場所をリストします。

    HTTP および Java Message Service (JMS) を含む、新規ネットワーク入出力チャネル・チェーンを使用するトランスポートの場合は、各サーバーの以下のロケーションで、SSL 構成レパートリー・エイリアスを変更することができます。
    • サーバー」>「アプリケーション・サーバー」>「server_name 」とクリックします。 「通信」の下の「ポート」をクリックします。SSL が使用可能になっているトランスポート・チェーンを位置指定し、「View associated transports」をクリックします。「transport_channel_name」をクリックします。「トランスポート・チャネル」の下の「SSL インバウンド・チャネル (SSL_2)」をクリックします。
    • システム管理」>「デプロイメント・マネージャー」とクリックします。「追加プロパティー」の下の「ポート」をクリックします。 SSL が使用可能になっているトランスポート・チェーンを位置指定し、「View associated transports」をクリックします。「transport_channel_name」をクリックします。「トランスポート・チャネル」の下の「SSL インバウンド・チャネル (SSL_2)」をクリックします。
    • 「システム管理」>「ノード・エージェント」>node_agent_name」とクリックします。「追加プロパティー」の下の「ポート」をクリックします。 SSL が使用可能になっているトランスポート・チェーンを位置指定し、「View associated transports」をクリックします。「transport_channel_name」をクリックします。「トランスポート・チャネル」の下の「SSL インバウンド・チャネル (SSL_2)」をクリックします。
    オブジェクト・リクエスト・ブローカー (ORB) SSL トランスポートの場合は、以下のロケーションにある SSL 構成レパートリー・エイリアスを変更することができます。これらは、WebSphere Application Server ではサーバー・レベル、WebSphere Application Server Network Deployment ではセル・レベルの構成です。
    • 「セキュリティー」>「グローバル・セキュリティー」とクリックします。「RMI/IIOP セキュリティー」の下の「CSIv2 インバウンド通信」をクリックします。
    • 「セキュリティー」>「グローバル・セキュリティー」とクリックします。「RMI/IIOP セキュリティー」の下の 「CSIv2 アウトバウンド通信」をクリックします。

    Lightweight Directory Access Protocol (LDAP) SSL トランスポートの場合は、「セキュリティー」>「グローバル・セキュリティー」とクリックして、SSL 構成レパートリー・エイリアスを変更することができます。「ユーザー・アカウント・リポジトリー」において、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択します。

  10. [z/OS]許可を設定します。カスタマイズ時に z/OS セキュリティー製品の使用を選択すると、 デフォルトで、System Authorization Facility (SAF) 許可 (EJBROLE プロファイル) を使用するように設定されます。 それ以外の場合、デフォルトは WebSphere Application Server 許可です。 オプションで、Java Authorization Contract for Containers (JACC) 外部許可を設定できます。 ネーミング・ロールへのアクセスの制御に SAF 許可を使用する場合の特殊な考慮事項または許可プロバイダーを参照してください。
  11. [z/OS]使用する WebSphere Application Server の Secure Sockets Layer (SSL) レパートリーを確認します。WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドにより生成されるサンプルのカスタマイズ・ジョブは、RACF がセキュリティー・サーバーの場合に使用できる SSL 鍵リングを作成するためのサンプル・ジョブを生成します。 これらのジョブは、ご使用のインストール・システムに固有の RACF 認証局証明書およびこの認証局により署名されたサーバー証明書のセットを作成します。 アプリケーション・サーバー・コントローラーで開始される タスク ID は、以下の証明書を含む SAF 鍵リングを持っています。 同様に、WebSphere Application Server Network Deployment 環境では、デプロイメント・マネージャーのユーザー ID が所有する RACF 鍵リング、およびノード・エージェントのユーザー ID が作成されます。

    RACF 鍵リングは、レパートリーの鍵リング名およびサーバー制御プロセスの MVS™ ユーザー ID の両方により一意に識別されます。 異なる WebSphere Application Server コントローラー・プロセスが固有の MVS ユーザー ID を持っている場合は、これらが同じレパートリーを共有している場合であっても、RACF 鍵リングおよび秘密鍵が生成されるように気をつけなければなりません。

    構成可能な SSL レパートリーには、次の 2 種類があります。
    • システム SSL レパートリーは、HTTPS および Internet InterORB Protocol (IIOP) 通信で使用され、ネイティブのトランスポートが使用します。 セキュリティーを使用可能にしてから 管理コンソールを使用する場合は、必ず HTTP に対してシステム SSL タイプのレパートリーを定義し、選択する必要があります。IIOP セキュリティーが SSL トランスポートを要求しているか、SSL トランスポートをサポートしている場合、またはセキュア Remote Method Invocation (RMI) コネクターが管理要求に対して選択されている場合は、システム SSL レパートリーを定義し、それを選択する必要があります。
    • Java Secure Socket Extension (JSSE) レパートリーは、Java ベースの SSL 通信用です。

    HTTP または IIOP プロトコルを使用するため、ユーザーは、システム SSL レパートリーを構成する必要があり、Java Management Extensions (JMX) コネクターは SSL を使用するように構成されなければなりません。 SOAP HTTP コネクターが選択されている場合、 管理サブシステムには JSSE レパートリーが選択されなければなりません。WebSphere Application Server Network Deployment 環境で、「システム管理」>「デプロイメント・マネージャー」>「管理サービス」>「JMX コネクター」>「SOAP コネクター」>「カスタム・プロパティー」>「sslConfig」とクリックします。

    SSL レパートリーのセットは、z/OS のインストール・ダイアログでセットアップされます。 これらのダイアログは、RACF コマンドの生成時にカスタマイズ・プロセスにより移植された SAF 鍵リングおよびファイルを参照するように構成されています。
    表 1. z/OS インストール・ダイアログでの SSL レパートリーのセットアップ.

    次の表に、z/OS のインストール・ダイアログでセットアップされる SSL レパートリーをリストします。

    レパートリー名 タイプ デフォルト使用
    [z/OS]NodeDefaultSSLSettings [z/OS]JSSE [z/OS](Base のみ) SOAP JMX コネクター、SOAP クライアント、 Web コンテナー HTTP トランスポート用の構成
    [z/OS]CellDefaultSSLSettings [z/OS]JSSE [z/OS](Network Deployment のみ) SOAP JMX コネクター、SOAP クライアント、 Web コンテナー HTTP トランスポート用の構成
    [z/OS]DefaultIIOPSSL [z/OS]SSSL [z/OS]DAEMON SSL が有効である場合のみ使用

    これらの設定がニーズを満たしている場合は、追加のアクションは必要ありません。これらの設定を作成 または変更する場合は、参照される鍵ストア・ファイルが作成されていることを確認する必要があります。

  12. 「セキュリティー」>「グローバル・セキュリティー」をクリックし、残りのセキュリティー設定を構成して、セキュリティーを使用可能にします。 これらの設定について詳しくは、 グローバル・セキュリティーの設定を参照してください。

    詳細については、サーバーおよび管理セキュリティーを参照してください。

  13. OK」または「適用」をクリックして完了したセキュリティー構成を検証します。 問題が発生すると、赤字で表示されます。
  14. 妥当性検査上の問題がなければ、「保存」をクリックして、 サーバーが再始動するときに使用するファイルに設定値を保存します。 保存することによって、設定値は構成リポジトリーに書き込まれます。
    重要:保存」をクリックする前に「グローバル・セキュリティー」パネルで 「適用」または「OK」をクリックしない場合には、変更内容はリポジトリーに書き込まれません。 管理コンソールを開始する場合は、サーバーを再始動してすべての変更内容を有効にする必要があります。

    保存アクションにより、デプロイメント・マネージャーは、WebSphere Application Server が再始動した後、変更された設定を使用することができます。詳しくは、レルムのセキュリティーの使用可能化を参照してください。デプロイメント・マネージャーの構成は、 スタンドアロンの Base アプリケーション・サーバーとは異なります。構成は、すべてのノード・エージェントと同期されるまでは、一時的にデプロイメント・マネージャーに保管されます。

    また、ドメイン内ですべてのノード・エージェントが稼働中であることを確認してください。 このプロセスの間、すべてのアプリケーション・サーバーを停止します。 ダウンしているノード・エージェントが ある場合は、デプロイメント・マネージャーからセキュリティー構成の同期を取るために、 ノード・エージェント・マシンから手動のファイル同期ユーティリティーを実行する必要があります。 これを行わないと、デプロイメント・マネージャーでセキュリティーが使用可能になった後で、 誤動作しているノード・エージェントはそのデプロイメント・マネージャーと通信しません。

  15. WebSphere Application Server 管理コンソール を開始します。

    デプロイメント・マネージャーを開始して、ブラウザーに WebSphere Application Server Network Deployment サーバーのアドレスを入力します。 デフォルトでは、コンソールは http://your_host.your_domain:9060/ibm/console にあります。

    現在セキュリティーが使用不可になっている場合は、いずれかのユーザー ID でログインします。 現在セキュリティーが使用可能になっている場合は、定義済みの管理 ID とパスワードでログインします。この ID は、 通常ユーザー・レジストリーの構成時に指定するサーバー・ユーザー ID です。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_csec2
ファイル名:tsec_csec2.html