[z/OS]

WebSphere Application Server 用のカスタム System Authorization Facility マッピング・モジュールのインストールおよび構成

このタスクを使用して、カスタム System Authorization Facility (SAF) マッピング・モジュールをシステム・ ログイン・モジュールの 1 つに管理コンソールを使用して追加します。

始める前に

プラグ可能なログイン・モジュールを使用して、Java™ Platform, Enterprise Edition (Java EE) ID を Resource Access Control Facility (RACF®) ユーザーにマッピングするには、 プラグ可能なマッピング・モジュールを構成して、その後で、WebSphere® Application Server for z/OS 提供の モジュール com.ibm.ws.security.common.auth.module.MapPlatformSubject を、該当する Java Authentication and Authorization Service (JAAS) システムのログイン構成で構成する必要があります。「SAF Authorization」または「Synch to OS Thread」が構成されている場合、この方法により、 アクティブな WebSphere Application Server レジストリーをスタンドアロンの Lightweight Directory Access Protocol (LDAP) またはスタンドアロンのカスタム・レジストリーとして構成するためのインストールが使用可能になります。

WebSphere Application Server では、フェデレーテッド・リポジトリー機能下のプラットフォーム上のローカル・オペレーティング・システム・レジストリーはサポートされていません。そのため、SAF 管理の RACF レジストリーは、統合リポジトリー機能下ではサポートされていません。

更新 : SAF 管理の RACF レジストリーは、統合リポジトリー機能下で サポートされています。以前のリリースでは、サポートされていませんでした。SAF マッピング・モジュールを 構成して SAF 許可用の SAF ユーザー・レジストリー・アダプターを持つ統合リポジトリーを使用するには、『統合リポジトリー用のカスタム System Authorization Facility マッピング・モジュールの構成』を参照してください。

先に進む前に、マッピング・モジュールを作成して、 SAF ID を取得する方法について熟知しておいてください。詳しくは、ローカルでないオペレーティング・システムによるカスタム System Authorization Facility (SAF) マッピング・モジュールの書き込みを参照してください。サンプル以外のものを使用する場合は、セル内のデプロイメント・マネージャー・ノードなど、セル内のそれぞれのノードごとに、関連するクラスを作成し、 それを <WAS_HOME>/classes ディレクトリーにインストールします。 Java 2 セキュリティーが使用可能になっている場合は、server.policy ファイルが、適切な許可を与えるように更新されていることを確認してください。

注: SAF 分散 ID マッピング機能を使用する場合、マッピング・モジュールを構成する必要はありません。

このタスクについて

カスタム SAF マッピング・モジュール (com.ibm.websphere.security.SampleSAFMappingModule、 またはお客様が作成したマッピング・モジュール) は、以下のそれぞれのシステム・ログイン・モジュール・エントリーに追加し、 以下に示すシステム・ログイン・モジュールでの順序を、2 番目の位置から最後の位置に手動で変更する必要があります。
  • Simple WebSphere Authentication Mechanism (SWAM) の場合は、そのエントリーを SWAM ログイン・モジュールに追加します。
    注: SWAM は、WebSphere Application Server バージョン 9.0 では非推奨であり、将来のリリースで削除される予定です。
  • Lightweight Third Party Authentication (LTPA) の場合は、そのエントリーを WEB_INBOUNDRMI_INBOUND、および DEFAULT ログイン・モジュールに追加します。

    LTPA は、WebSphere Application Server バージョン 9.0 のデフォルトの認証メカニズムです。

注: 基本構成で、認証メカニズムに SWAM を選択した場合は、 SWAM エントリーを更新します。ただし、LTPA を認証メカニズムとして使用する予定なら、 4 つのシステム・ログイン・モジュール・エントリーをすべてセットアップします。 WebSphere Application Server Network Deployment の場合は、LTPA 認証メカニズム構成エントリーを構成すればよいだけです。

手順

  1. カスタム・マッピング・モジュールを構成します。
    1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
    2. 「Java Authentication and Authorization Service」の下で「システム・ログイン」>「login_module_name」とクリックします。
    3. 「追加プロパティー」の下の、「JAAS ログイン・モジュール」>「新規」とクリックします。
    4. Module Classname ファイルで、カスタム・ログイン・モジュールのクラス名を入力します。 (同梱のサンプル・モジュールには、com.ibm.websphere.security.SampleSAFMappingModule を使用してください)。
    5. 適用」をクリックして、新規モジュールをログイン・モジュール・リストに追加します。
  2. 提供された com.ibm.ws.security.common.auth.module.MapPlatformSubject ログイン・モジュールを 構成します。
    1. 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
    2. 「Java認証・承認サービス (JAAS)」の下の「システム・ログイン」> login_module_name」をクリックします。
    3. 「追加プロパティー」の下の、「JAAS ログイン・モジュール」>「新規」とクリックします。
    4. クラス名 com.ibm.ws.security.common.auth.module.MapPlatformSubject を入力します。
    5. 適用」をクリックして、新規モジュールをログイン・モジュール・リストに追加します。
  3. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  4. 「認証」の下の、「Java Authentication and Authorization Service」を展開して、「システム・ログイン」>「login_module_name」をクリックします。
  5. 「追加プロパティー」の下の「JAAS ログイン・モジュール」>「順序の設定」をクリックして、新規マッピング・モジュールが com.ibm.ws.security.common.auth.module.MapPlatformSubject の前にあり、かつ、com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule の後にあることを確認します。

    新規マッピング・モジュールは、com.ibm.ws.security.common.auth.module.MapPlatformSubject の前にあり、かつ、com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule の後になければなりません。

  6. 新規マッピング・モジュールの横のボックスを選択してから、 「上へ移動」をクリックします。マッピング・モジュールが正しい順序になったら、 「適用」をクリックし、次に「保存」をクリックし、 さらに「保存」をクリックします (WebSphere Application Server Network Deployment セルを処理する場合は、 必ず「変更をノードと同期する」を選択してください)。

次のタスク

WebSphere Application Server for z/OS® の構成に必要なシステム・ログイン・モジュールのそれぞれに対して、上記の変更を行ってください。 どのシステム・ログイン・モジュールが必要かという選択は、 お客様の認証メカニズム (SWAM または LTPA) によって決まります。

注: インストールされている SAF ID マッピング・モジュールに構成可能なプロパティーがある場合は、 管理コンソールの JAAS システム・ログイン・パネルでカスタム・プロパティーを作成することにより、 そのプロパティーを更新できます。 SampleSAFMapping モジュールをプロトタイプとして使用し、 カスタム・マッピング・ロジックを提供するように else 節を更新した場合は、 この例を使用してプロパティーを更新します。 この場合は、useWSPrincipleName カスタム・プロパティーを作成して、 変更した SampleSAFMappingModule を使用し、影響を受ける個々の JAAS ログイン構成で、 そのプロパティーを false に設定する必要があります。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「Java Authentication and Authorization Service」の下で「システム・ログイン」>「login_module_name」とクリックします。
  3. 「追加プロパティー」の下の、「JAAS ログイン・モジュール」>「com.ibm.websphere.security.SampleSAFMappingModule」をクリックします。
  4. 「追加プロパティー」の下で、「カスタム・プロパティー」>「新規」をクリックします。
  5. カスタム・プロパティー名 useWSPrincipalName と、値 false を入力します。
  6. 適用」、「保存」、もう一度「保存」をクリックします。

変更した SampleSAFMappingModule を使用するシステム・ログイン・モジュールのそれぞれに対して、 このプロセスを繰り返します。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_installsafmapmods
ファイル名:tsec_installsafmapmods.html