デフォルト・メッセージングを使用している場合の外部スケジューラー・インターフェースの保護

外部スケジューラー・インターフェースをセキュアにするためには、 JobSchedulerMDI システム・アプリケーションとそのアプリケーションが使用する JMS リソースをセキュアにする必要があります。

このタスクについて

次の図に、必要な操作とそれを適用する環境成果物を示します。この図に示された ステップは、手順のステップに対応しています。

ジョブ・スケジューラーのメッセージ駆動型インターフェースを保護するためのステップ。

以下に、外部スケジューラー・インターフェースをセキュアにする手順を説明します。

手順

  1. 管理コンソールで、ジョブ・スケジューラー・バスのセキュリティーを使用可能にします。
    1. 「bus_name」 > 「バス・セキュリティー」 > bus_nameを選択します。
    2. バス・セキュリティーを使用可能にする」チェック・ボックスにチェック・マークを付けます。
    3. 「OK」をクリックし、「保存」をクリックして構成を保存します。
  2. JAAS 別名を定義します。

    JobSchedulerMDI アプリケーション用の JMS アクティベーション・スペック は JAAS 別名を必要とします。この別名に 定義されたユーザー ID とパスワードは、ジョブ・スケジューラー のインバウンド JMS キュー (com.ibm.ws.grid.InputQueue) へのアクセスを表します。また、JobSchedulerMDI アプリケーション は、ジョブ・スケジューラーがクライアントとの通信に使用する アウトバウンド・キューに対する認証のために、この JAAS 別名をプログラマチックに 使用します。アウトバウンド・キューは、com.ibm.ws.grid.OutputQueue です。JAAS 別名は管理コンソールで次のようにして定義します。

    1. Select 「セキュリティー」 > 「グローバル・セキュリティー」 > 「Java 認証・承認 サービス」 > 「J2C 認証データ」 > 「新規」を選択します。
    2. JAAS 別名を定義します。

      任意の JAAS 別名を指定してください。 ジョブ・スケジューラーのインバウンド JMS キュー (com.ibm.ws.grid.InputQueue) へのアクセスを提供し、アウトバウンド・キュー (com.ibm.ws.grid.OutputQueue) に対する認証が可能なユーザー ID とパスワードを指定します。

    3. 「OK」をクリックしてから、 「保存」をクリックして、構成を保存します。
    4. activationSpec (com.ibm.ws.grid.ActivationSpec) に JAAS 別名を割り当てます。
  3. エンジン間認証別名を設定します。
    1. 「サービス統合」 > 「バス」 > 「bus_name」を選択します。
    2. エンジン間認証別名リストから、前のステップで定義した JAAS 別名を選択します。
    3. 「OK」をクリックし、「保存」をクリックして構成を保存します。
  4. コンテナー管理認証別名を設定します。
    1. 「リソース」 > 「リソース・アダプター」 > 「J2C 接続ファクトリー」 > 「com.ibm.ws.grid.ConnectionFactory」を選択します。
    2. コンテナー管理認証別名リストから、前のステップで定義した JAAS 別名を選択します。
    3. 「OK」をクリックし、「保存」をクリックして構成を保存します。
  5. ロールを割り当てます。

    バスおよび入出力バス宛先へのアクセス権限を与えるためにロールを割り当てる必要があります。このようなロールの割り当ては、管理コンソールで「セキュリティー」 > 「バス・セキュリティー」 > bus_name > 「使用不可」 > 「バス・コネクター・ロールを持つユーザーおよびグループ」を選択して実行できます。

    また、次のいずれかの wsadmin コマンドを使用してロールを割り当てることもできます。

    • $AdminTask addUserToBusConnectorRole {-bus busName -user username}
    • $AdminTask addGroupToBusConnectorRole {-bus busName -group groupname}

    以下のロールを割り当てます。

    1. JobSchedulerBus BusConnector ロールを次のユーザー ID に割り当てます。
      • com.ibm.ws.grid.ActivationSpec。これによって、ジョブ・スケジューラーはバスへのアクセスを許可されます。
      • WSGrid が入力キューへのクライアント・アクセスの認証に使用している各 ID (ステップ 4 を参照)。 これによって、WSGrid 呼び出し側 はバスへのアクセスを許可されます。
    2. com.ibm.ws.grid.InputQueue 宛先へのアクセスを許可します。

      sender ロール、receiver ロール、および browser ロールを 同じユーザー ID に割り当てることによって、この宛先へのアクセスを許可します。これらの ID は、 前のステップで BusConnector ロールを割り当てたのと同じ ID です。アクセスの 許可は、wsadmin コマンドでのみ行うことができます。

      • Jacl の場合:
        $AdminTask addUserToDestinationRole {-type queue –bus JobSchedulerBus 
          -destination com.ibm.ws.grid.InputQueue -role Sender -user userName}
        または
        $AdminTask addGroupToDestinationRole {-type queue –bus JobSchedulerBus
          -destination com.ibm.ws.grid.InputQueue -role Sender –group groupName}
      • Jython の場合:
         AdminTask.setInheritDefaultsForDestination('-bus WSS.JobScheduler.Bus -type queue
          -destination com.ibm.ws.grid.InputQueue -inherit false')

      receiver および browser ロールに対して繰り返します。

    3. com.ibm.ws.grid.OutputQueue

      前のステップで、com.ibm.ws.grid.InputQueue に割り当てたのと同じロールを宛先 com.ibm.ws.grid.OutputQueue に割り当てることにより、この宛先へのアクセスを許可します。

  6. クライアントから入力キューへのアクセスを認証します。
    1. WSGrid の入力制御プロパティー・ファイルで、ユーザー ID とパスワードのプロパティーを指定します。
      submitter-userid=username
      submitter-password=password
    2. オプション: WebSphere® PropFilePasswordEncoder ユーティリティーを使用して、パスワードをエンコードします。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tgrid_cgexsched
ファイル名:tgrid_cgexsched.html