複数のセキュリティー・ドメインのコピー
ドメイン・コレクションから選択した複数のセキュリティー・ドメインをコピーして、新規ドメインを作成することができます。 これは、既存のドメインに類似したドメインを作成する場合に役立ちます。 ただし、多少の調整を行うこともできます。 既存のドメインをコピーする場合は、新規ドメインに固有のドメイン名を付ける必要があります。
始める前に
管理者ロールに割り当てられたユーザーのみが、新しい複数のセキュリティー・ドメインをコピーまたは作成することができます。 ご使用の環境でグローバル・セキュリティーを使用可能にしてから、複数のセキュリティー・ドメインをコピーする必要があります。
複数のセキュリティー・ドメインの内容と、 それらがこのバージョンの WebSphere® Application Server でどのようにサポートされるかについて理解を深めるには、 複数のセキュリティー・ドメインを参照してください。
このタスクについて
セキュリティー・ドメインは、管理アプリケーションおよびユーザー・アプリケーションでさまざまなセキュリティー設定を使用するためのメカニズムを提供します。 また、複数のセキュリティー設定をサポートする機能も提供するため、 さまざまなアプリケーションがユーザー・レジストリーやログイン構成などの各種セキュリティー属性を使用できます。
- セル内の管理アプリケーションとユーザー・アプリケーションに、異なったセキュリティー属性を構成できます。
- セル内の異なるセキュリティー構成を管理することにより、サーバー構成を集約できます。
- 異なるユーザー・レジストリーを持つアプリケーション間でのアクセスを制限するか、またはレジストリー全体にわたる通信をサポートするようにアプリケーション間の信頼関係を構成します。
管理コンソールを使用して既存のセキュリティー・ドメインをコピーするには、以下のステップを実行します。
手順
- 「セキュリティー」>「セキュリティー・ドメイン」とクリックします。
- オプション: ドメイン・コレクションが大きい場合は、「設定」から表示する最大行数を選択できます。 デフォルトの行数は 20 です。その数値を超える行は、次のページに表示されます。
- コピーするドメインを選択します。
- 「選択済みドメインのコピー... (Copy Selected Domain...)」をクリックして、 コレクションから既存のドメインをコピーします。 オプションとして、「グローバル・セキュリティーのコピー.. (Copy Global Security..)」を選択して、既存のドメインをコピーし、そのグローバル・セキュリティー設定値をそのまま使用する (コレクション選択は無視される) こともできます。 このオプションを選択する場合は、新規ドメイン名も必要です。
- ドメインに固有の名前を指定します。 このフィールドは必須です。ドメイン名は、 セル内で固有でなければならず、無効文字を含むことはできません。
- ドメインに固有の説明を指定します。
- 「適用」をクリックします。 「適用」をクリックすると、セキュリティー・ドメインの詳細ページに戻ります。
- 「割り当て済み有効範囲」で、セキュリティー・ドメインをセル全体に割り当てるか、セキュリティー・ドメインに含める特定のサーバー、クラスター、およびサービス統合バスを選択します。
- 新規ドメインにセキュリティー属性を指定して、そのドメインをセル・リソースに割り当てることにより、セキュリティー構成をカスタマイズします。 以下のようなセキュリティー属性を変更できます。
- アプリケーション・セキュリティー
- アプリケーション・セキュリティーと
Java™ 2
セキュリティーの設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。
「アプリケーション・セキュリティーを使用可能にする」を選択するかどうかによって、 ユーザー・アプリケーションに対するセキュリティーを使用可能または使用不可に設定します。 この選択を使用不可に設定すると、 セキュリティー・ドメイン内のすべての EJB および Web アプリケーションは、保護されなくなります。 これらのリソースに対するアクセス権限は、ユーザー認証を行わずに付与されます。 この選択を使用可能に設定すると、J2EE セキュリティーは、 セキュリティー・ドメイン内の EJB および Web アプリケーションのすべてに実行されます。 J2EE セキュリティーが実行されるのは、グローバル・セキュリティー構成でグローバル・セキュリティーが使用可能になっている場合だけです (つまり、アプリケーション・セキュリティーを使用可能にする場合は、必ず最初にグローバル・セキュリティーをグローバル・レベルで使用可能にする必要があります)。
- Java 2 セキュリティー
- 「Java 2 セキュリティー」を選択して、Java 2 セキュリティーをドメイン・レベルで使用可能または使用不可に設定します。この選択により、Java 2 セキュリティーをプロセス (JVM) レベルで使用可能または使用不可に設定して、すべてのアプリケーション (管理アプリケーションとユーザー・アプリケーションの両方) で Java 2 セキュリティーを使用可能または使用不可にできます。
- ユーザー・レルム
このセクションにより、セキュリティー・ドメインのユーザー・レジストリーを構成できます。 ドメイン・レベルで使用されるすべてのレジストリーを個別に構成できます。詳しくは、複数のセキュリティー・ドメインを参照してください。
- トラスト・アソシエーション
- トラスト・アソシエーション・インターセプター (TAI) をドメイン・レベルで構成すると、便宜上、グローバル・レベルで構成されたインターセプターがドメイン・レベルにコピーされます。ニーズに合わせて、インターセプター・リストをドメイン・レベルで変更できます。 ドメイン・レベルで使用する予定のインターセプターのみを構成してください。
- SPNEGO Web 認証
- Web リソースの認証用に SPNEGO の構成を可能にする SPNEGO Web 認証は、ドメイン・レベルで構成できます。注: WebSphere Application Server バージョン 6.1 では、 保護されているリソースに対する HTTP 要求を安全にネゴシエーションおよび認証するために Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用する TAI が導入されました。この機能は、WebSphere Application Server 7.0 では非推奨でした。SPNEGO フィルターの動的再ロードを提供し、アプリケーション・ログイン方式へのフォールバックを可能にするために、SPNEGO Web 認証が用意されています。
- RMI/IIOP セキュリティー
RMI/IIOP セキュリティー属性は、CSIv2 (Common Secure Interoperability Version 2) プロトコル・プロパティーを参照します。これらの属性をドメイン・レベルで構成すると、便宜上、グローバル・レベルの RMI/IIOP セキュリティー構成がコピーされます。
ドメイン・レベルでは別のものを使用する必要がある属性を変更することができます。 CSIv2 インバウンド通信のトランスポート層設定は、グローバル・レベルとドメイン・レベルの両方で一致している必要があります。 一致していない場合、ドメイン・レベルの属性が、プロセス内のすべてのアプリケーションに適用されます。
- JAAS アプリケーション・ログイン
- Java Authentication and Authorization Service
(JAAS) アプリケーション・ログインに構成設定を指定します。グローバル・セキュリティー設定を使用するか、またはドメインの設定をカスタマイズすることができます。
JAAS アプリケーション・ログイン、JAAS システム・ログイン、および JAAS J2C 認証データ別名は、すべてドメイン・レベルで構成できます。 デフォルトでは、システム内のすべてのアプリケーションは、 グローバル・レベルで構成されている JAAS ログインにアクセスできます。セキュリティー・ランタイムは、最初に、ドメイン・レベルの JAAS ログインがないか確認します。見つからない場合は、グローバル・セキュリティー構成 の JASPI 認証プロバイダーを調べます。セキュリティー・ドメイン内のアプリケーションが排他的に使用するログインを指定する必要がある場合のみ、これらの JAAS ログインのいずれかをドメインで構成します。
- JAAS システム・ログイン
- JAAS システム・ログインの構成設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの構成設定をカスタマイズすることもできます。
JAAS アプリケーション・ログイン、JAAS システム・ログイン、および JAAS J2C 認証データ別名は、すべてドメイン・レベルで構成できます。デフォルトでは、システム内のすべてのアプリケーションは、 グローバル・レベルで構成されている JAAS ログインにアクセスできます。セキュリティー・ランタイムは、最初に、ドメイン・レベルで JAAS ログインがないか確認します。見つからない場合は、グローバル・セキュリティー構成内の JAAS ログインを調べます。セキュリティー・ドメイン内のアプリケーションが排他的に使用するログインを指定する必要がある場合にのみ、これらの JAAS ログインのいずれかをドメインで構成します。
- JAAS J2C 認証
- JAAS J2C 認証データの構成設定を指定します。
グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。
JAAS アプリケーション・ログイン、JAAS システム・ログイン、および JAAS J2C 認証データ別名は、すべてドメイン・レベルで構成できます。デフォルトでは、システム内のすべてのアプリケーションは、 グローバル・レベルで構成されている JAAS ログインにアクセスできます。セキュリティー・ランタイムは、最初に、ドメイン・レベルで JAAS ログインがないか確認します。見つからない場合は、グローバル・セキュリティー構成内の JAAS ログインを調べます。セキュリティー・ドメイン内のアプリケーションが排他的に使用するログインを指定する必要がある場合にのみ、これらの JAAS ログインのいずれかをドメインで構成します。
- Java Authentication SPI (JASPI)
Java Authentication SPI (JASPI) 認証プロバイダーの構成設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。 ドメインの JASPI 認証プロバイダーを構成するには、 「このドメイン用にカスタマイズする」を選択して JASPI を使用可能にします。 「プロバイダー」を選択して、 ドメインのプロバイダーを定義します。
注: JASPI 認証プロバイダーは、ドメイン・レベルで構成されたプロバイダーで有効にすることができます。デフォルトでは、システム内のすべてのアプリケーションは、グローバル・レベルで構成されている JASPI 認証プロバイダーにアクセスできます。セキュリティー・ランタイムは、初めにドメイン・レベルの JASPI 認証プロバイダーがあるかどうかを検査します。 見つからない場合は、グローバル・セキュリティー構成内の JAAS ログインを調べます。 プロバイダーをそのセキュリティー・ドメイン内のアプリケーションだけで使用する場合にのみ、JASPI 認証プロバイダーをドメインで構成してください。
- 認証メカニズムの属性
ドメイン・レベルで適用する必要がある各種のキャッシュ設定を指定します。
「認証キャッシュ設定 (Authentication cache settings)」を選択して、認証キャッシュ設定を指定します。 このパネルで指定した構成は、このドメインにのみ適用されます。
「LTPA タイムアウト」を選択して、ドメイン・レベルで異なる LTPA タイムアウト値を 構成します。デフォルトのタイムアウト値は 120 分です。この値はグローバル・レベルで設定されます。LTPA タイムアウトがドメイン・レベルで設定されると、ユーザー・アプリケーションへのアクセス時にセキュリティー・ドメインで作成されるトークンは、この有効期限の時間に基づいて作成されます。
「レルム修飾ユーザー名の使用 (Use realm-qualified user names)」が使用可能な場合、 getUserPrincipal( ) などのメソッドが返すユーザー名は、セキュリティー・ドメイン内のアプリケーションが使用するセキュリティー・レルム (ユーザー・レジストリー) で修飾されます。
- 許可プロバイダー
外部のサード・パーティー JACC (Java Authorization Contract for Containers) プロバイダーをドメイン・レベルで構成できます。Tivoli® Access Manager の JACC プロバイダーは、グローバル・レベルでしか構成できません。 セキュリティー・ドメインは、 別の JACC プロバイダーまたは組み込みのネイティブ許可によって許可プロバイダーをオーバーライドしない場合、 そのプロバイダーを引き続き使用できます。
さらに、以下のような SAF 許可オプションをセキュリティー・ドメイン・レベルで構成することもできます。
- 非認証ユーザー ID
- SAF プロファイル・マッパー
- SAF 委任を使用可能にするかどうか
- WebSphere Application Server へのアクセスを制限するために APPL プロファイルを使用するかどうか
- 許可に失敗したメッセージを抑止するかどうか
- SMF 監査レコード計画
- SAF プロファイル・プレフィックス
SAF 許可オプションについて詳しくは、 z/OS System Authorization Facility 許可を参照してください。
- z/OS® セキュリティー・オプション
- z/OS 固有のセキュリティー・オプションをプロセス (JVM) レベルで設定して、すべてのアプリケーション (管理とユーザーの両方) がこれらのオプションを使用可能または使用不可に設定できるようにします。 プロパティーには以下のようなものがあります。
- アプリケーション・サーバーと z/OS スレッド ID の同期化を使用可能にする
- 接続マネージャーの RunAs スレッド ID を使用可能にする
z/OS セキュリティー・オプションについて詳しくは、 z/OS セキュリティー・オプションを参照してください。
- カスタム・プロパティー
- 新規のカスタム・プロパティー、またはグローバル・レベルのものとは異なるカスタム・プロパティーをドメイン・レベルで設定します。デフォルトでは、グローバル・セキュリティー構成のカスタム・プロパティーはすべて、 セル内のすべてのアプリケーションからアクセスできます。 セキュリティー・ランタイム・コードは、最初に、ドメイン・レベルにカスタム・プロパティーがないか確認します。 見つからない場合は、グローバル・セキュリティー構成のカスタム・プロパティーを取得しようとします。
- 「適用」をクリックします。
- 構成変更を保存したら、サーバーを再始動して変更内容を有効にします。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_copy
ファイル名:tsec_sec_domains_copy.html