LTPA の構成と鍵の処理
セキュリティーを初めてセットアップする場合は、Lightweight Third Party Authentication (LTPA) を構成する必要があります。LTPA は WebSphere® Application Server のデフォルトの認証メカニズムです。 LTPA を構成した後、LTPA 鍵を手動または自動で生成することができます。
手順
- LTPA を構成し、最初のいくつかの LTPA 鍵を生成します。
- 初めてセキュリティーをセットアップするときは、管理コンソールを使用して LTPA または Kerberos を構成してください。LTPA 鍵は、最初は自動的に生成されます。詳しくは、『Lightweight Third Party Authentication メカニズムの構成』の項目を参照してください。 複数のノードおよびセルに分散されているアプリケーション・サーバーは、
LTPA プロトコルを使用することによって、安全に通信を行うことができます。
鍵セット・グループに、鍵セットのリストと LTPA 認証鍵生成スケジュールが含まれています。各鍵セットには、鍵ストアの鍵への鍵参照が含まれ
ています。
鍵を自動的に生成するには、各鍵セットが鍵セット・グループのメンバーでなければなりません。
詳しくは、『Lightweight Third Party Authentication 鍵セットおよび鍵セット・グループ』の項目を参照してください。
特定の鍵構成の複数の鍵は、一緒に生成する必要があります。LTPA 鍵ペアは 1 つの鍵セットで参照されますが、秘密鍵は別の鍵セットに存在します。 鍵セット・グループが作成されると、2 つの鍵セットが鍵セット・グループのメンバーとして追加されます。 鍵セット・グループの設定は、両方の鍵セットの鍵が一緒に自動的に生成されるか、手動で生成されるかを決定します。
鍵セット・グループには、次の属性が含まれています。- メンバー鍵セット
- メンバー鍵セット内での手動鍵生成か、自動鍵生成かの選択
- 自動鍵生成のスケジュール
- 初めてセキュリティーをセットアップするときは、管理コンソールを使用して LTPA または Kerberos を構成してください。LTPA 鍵は、最初は自動的に生成されます。詳しくは、『Lightweight Third Party Authentication メカニズムの構成』の項目を参照してください。 複数のノードおよびセルに分散されているアプリケーション・サーバーは、
LTPA プロトコルを使用することによって、安全に通信を行うことができます。
鍵セット・グループに、鍵セットのリストと LTPA 認証鍵生成スケジュールが含まれています。各鍵セットには、鍵ストアの鍵への鍵参照が含まれ
ています。
鍵を自動的に生成するには、各鍵セットが鍵セット・グループのメンバーでなければなりません。
- 鍵を手動または自動で生成し、活動中の鍵の数を制御します。
- WebSphere Application
Server は、最初のサーバーの始動時に Lightweight Third Party
Authentication (LTPA) 鍵を自動的に生成します。
追加の鍵は、「認証メカニズムおよび有効期限」パネルで必要に応じて生成できます。 鍵セット・グループのメンバーである鍵セットに対する新規 LTPA 鍵の自動生成を使用不可にすることができます。自動生成では、鍵セット・グループ (1 つ以上の鍵セットが管理される)
の構成時に指定したスケジュールで新規鍵が作成されます。WebSphere Application
Server では、
鍵セット・グループを使用して、暗号鍵または複数の同期済み鍵セットが自動的に生成されます。
鍵を手動で生成することや鍵生成を使用可能または使用不可にすることは、ノード・エージェントおよびアプリケーション・サーバーをリサイクルして新規鍵を受け入れるようにするために必要なタスクです。ダウンしているノード・エージェントが ある場合は、デプロイメント・マネージャーからセキュリティー構成の同期を取るために、 ノード・エージェント・マシンから手動のファイル同期ユーティリティーを実行する必要があります。
鍵の別名の接頭部に基づく鍵ストア内の LTPA 鍵は、鍵セットによって管理されます。鍵の別名の接頭部は、 新規鍵を生成して鍵ストアに保管するときに、自動的に生成されます。鍵ストアには、任意の鍵の別名の接頭部に対して、 複数の鍵バージョンが含まれています。鍵セット構成内で活動中にする鍵の最大数を指定できます。
詳しくは、『Lightweight Third Party Authentication 鍵の生成』の項目を参照してください。
- WebSphere Application
Server は、最初のサーバーの始動時に Lightweight Third Party
Authentication (LTPA) 鍵を自動的に生成します。
追加の鍵は、「認証メカニズムおよび有効期限」パネルで必要に応じて生成できます。 鍵セット・グループのメンバーである鍵セットに対する新規 LTPA 鍵の自動生成を使用不可にすることができます。自動生成では、鍵セット・グループ (1 つ以上の鍵セットが管理される)
の構成時に指定したスケジュールで新規鍵が作成されます。WebSphere Application
Server では、
鍵セット・グループを使用して、暗号鍵または複数の同期済み鍵セットが自動的に生成されます。
- 鍵のインポートとエクスポートを行います。
- 複数の WebSphere Application Server ドメインまたはセルにわたる WebSphere® Application Server でのシングル・サインオン (SSO) をサポートするには、それらのドメイン間で LTPA 鍵とパスワードを共有する必要があります。
他のドメインから LTPA 鍵をインポートして、その鍵を他のドメインにエクスポートできます。 注: 別のセルとの間で鍵をインポートまたはエクスポートする場合は、 鍵の自動生成を使用不可にする必要があります。 この使用不可の設定により、インポートされた鍵は失われ、エクスポートされた鍵はやがてこのセルと相互運用できなくなります。
ノード・エージェントおよびアプリケーション・サーバーをリサイクルして、 新規鍵を受け入れる必要があります。 ダウンしているノード・エージェントが ある場合は、デプロイメント・マネージャーからセキュリティー構成の同期を取るために、 ノード・エージェント・マシンから手動のファイル同期ユーティリティーを実行する必要があります。
詳しくは、『Lightweight Third Party Authentication 鍵のインポート』および『Lightweight Third Party Authentication 鍵のエクスポート』の項目を参照してください。
- 複数の WebSphere Application Server ドメインまたはセルにわたる WebSphere® Application Server でのシングル・サインオン (SSO) をサポートするには、それらのドメイン間で LTPA 鍵とパスワードを共有する必要があります。
他のドメインから LTPA 鍵をインポートして、その鍵を他のドメインにエクスポートできます。
- 複数のセルから鍵を管理します。
- 共有鍵を指定し、サーバー間での情報交換に使用される認証メカニズムを、複数の WebSphere® Application Server セル間で LTPA 鍵のインポートとエクスポートを行うように構成することができます。 行った変更をアクティブにするためには、サーバーを再始動する必要があります。
詳しくは、『複数の WebSphere Application Server セルからの LTPA 鍵の管理』の項目を参照してください。
- 共有鍵を指定し、サーバー間での情報交換に使用される認証メカニズムを、複数の WebSphere® Application Server セル間で LTPA 鍵のインポートとエクスポートを行うように構成することができます。 行った変更をアクティブにするためには、サーバーを再始動する必要があります。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ltpa_and_keys
ファイル名:tsec_ltpa_and_keys.html