JACC ポリシーの伝搬

アプリケーションが WebSphere® Application Server にインストールまたはデプロイされると、構成が保存されるときにアプリケーション内のセキュリティー・ポリシー情報がプロバイダーに伝搬されます。 アプリケーション用のコンテキスト ID は、application.xml ファイルに保存され、Java™ Authorization Contract for Containers (JACC) プロバイダーへポリシーを伝搬するために、また Java Platform, Enterprise Edition (Java (J2EE) リソースのアクセス判別のために使用されます。

注: このトピックでは、 1 つ以上のアプリケーション・サーバー・ログ・ファイルを参照します。推奨される代替案として、分散システムや IBM® i システムの SystemOut.logSystemErr.logtrace.logactivity.log ファイルではなく、High Performance Extensible Logging (HPEL) ログおよびトレース・インフラストラクチャーを使用するようにサーバーを構成できます。また HPEL は、ネイティブ z/OS® ロギング機能と連携させて使用することができます。HPEL を使用する場合、LogViewer コマンド・ライン・ツールを サーバー・プロファイルの bin ディレクトリーから使用して、すべてのログ・ファイルにアクセスし、 情報をトレースできます。HPEL の使用について詳しくは、HPEL を使用してのアプリケーションの トラブルシューティングに関する情報を参照してください。

アプリケーションがアンインストールされると、アプリケーション中の セキュリティー・ポリシー情報は構成が保管されるときにプロバイダーから除去されます。

プロバイダーが RoleConfiguration インターフェースを実装した場合、ポリシー・プロバイダーに伝搬されたセキュリティー・ポリシー情報には許可テーブル情報も含まれます。 このインターフェースについて詳しくは、JACC をサポートするインターフェース を参照してください。

アプリケーションがセキュリティー・ポリシー情報を含んでいない場合は、PolicyConfiguration (および、実装されている場合は RoleConfiguration) のオブジェクトは情報を含んでいません。 空の PolicyConfiguration および RoleConfiguration オブジェクトの存 在は、モジュールのセキュリティー・ポリシー情報が存在していないことを示しています。

アプリケーションがインストールされると、アンインストールや再インストールなしで更新することができます。 例えば、新規モジュールを既存のアプリケーションに追加したり、既存モ ジュールを変更することが可能です。 この場合、影響を受けるモジュール中の情報は、デフォルトでプロバイダーに伝搬されます。 モジュールは、そのモジュールのデプロイメント記述子またはモジュール内のアノテーションが更新の一部として変更されるときに影響を受けます。 プロバイダーが RoleConfiguration インターフェースをサポートしている場合は、そのアプリケーションについてのすべての許可テーブルがプロバイダーに伝搬されます。

アプリケーションの更新中にセキュリティー情報がプロバイダーに伝搬されない場合は、Network Deployment 環境のデプロイメント・マネージャーまたは管理対象外ベース・アプリケーション・サーバーで、com.ibm.websphere.security.jacc.propagateonappupdate Java 仮想マシン (JVM) プロパティーを false に設定します。 このプロパティーが false に設定されると、サーバーで既存アプリケーションの更新があってもプロバイダーには伝搬されません。 このプロパティーは、アプリケーションのカスタム・プロパティーを使用 してアプリケーションごとを基本として設定することもできます。 wsadmin ツールを使用してアプリケーションのカスタム・プロパティーを設定できます。 このプロパティーがアプリケーション・レベルで設定されると、そのアプリケーションに対するすべての更新は、プロバイダーに伝搬されません。 アプリケーションに対する更新が完全更新の場合 (例えば、 新規アプリケーションの Enterprise Archive (EAR) ファイルを使用して、 既存のものと置き換える場合)、プロバイダーは、 全アプリケーションのセキュリティー・ポリシー情報によって、 リフレッシュされます。

アプリケーションがインストール され、保管されるとき、プロバイダーでのそのアプリケーションのセキュリティー・ポリシー情報の更新は、デプロイメント・マネージャーから行われます。 同期コマンドが実行され、完了するまで、アプリケーションはそれぞれのノードに伝搬しません。 また、デプロイメント・マネージャーでアプリケーションがアンインストールされて保管されるときに、 JACC プロバイダーからそのアプリケーションのポリシーが除去されます。

ただし、アプリケーションをホストして いる ノードに対してデプロイメント・マネージャーから同期コマンドが実行され、完了するまでは、アプリケーションはそれぞれのノードでまだ実行されます。 この場合、JACC プロバイダーにそのアプリケーションに対するアクセス決定を行うために必要な情報がないため、このアプリケーションへのアクセスは拒否されます。 前述のように、既にインストールされたアプリケーションに対する更新は、デプロイメント・マネージャーからプロバイダーに対しても伝搬されます。 同期が完了するまでは、プロバイダーでの変更は各ノードのアプリケーションとは同期しません。

前述のように、セキュリティー・ポリシー情報は、 保管操作中に JACC プロバイダーに伝搬されます。 SystemOut.log ファイルには、 プロバイダーへの伝搬に成功したか失敗したかが記録されます。 インストール後にログ・ファイルを調べて、 伝搬に問題がなかったことを確認してください。伝搬に何らかの問題があった場合は、Tivoli® Access Manager を JACC プロバイダーとして使用すると、アプリケーションへのアクセスに失敗します。

アプリケーションのセキュリティー・ポリシー情報が正常にプロバイダーへ伝搬されている場合、メッセージ・キー SECJ0415I の監査ステートメントが表示されます。 しかし、セキュリティー・ポリシー情報がプロバイダーに伝搬される際に 問題が生じた場合 (ネットワークに問題が発生した、JACC プロバイダーが 使用できなかった、など)、SystemOut.log ファイルには、 メッセージ・キー SECJ0396E (インストール時) または SECJ0398E (変更時) のエラー・メッセージが記録されます。 アプリケーションのインストールは、 セキュリティー・ポリシーの JACC プロバイダーへの伝搬の失敗によって停止されません。 また、失敗した場合、保存操作中に、例外またはエラー・メッセージは表示されません。 この失敗の原因である問題が修正されたら、propagatePolicyToJaccProvider ツールを実行して、セキュリティー・ポリシー情報をプロバイダーに伝搬してください。その際、アプリケーションは再インストールしないでください。 詳しくは、JACC プロバイダーへのインストール済みアプリケーションのセキュリティー・ポリシーの wsadmin スクリプトを使用した伝搬を参照してください。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jaccpolicyprop
ファイル名:rsec_jaccpolicyprop.html