セキュリティー・ドメインの構成
このページを使用して、このドメインのセキュリティー属性を構成し、このドメインをセル・リソースに割り当てます。各セキュリティー属性に対して、グローバル・セキュリティー設定を使用するか、またはドメインの設定をカスタマイズすることができます。
この管理コンソール・ページを表示するには、
とクリックします。「セキュリティー・ドメイン・コレクション (Security domains collection)」ページで、 既存のドメインを選択して構成するか、新規ドメインを作成するか、または既存のドメインをコピーします。複数のセキュリティー・ドメインの内容と、 それらがこのバージョンの WebSphere® Application Server でどのようにサポートされるかについて理解を深めるには、 複数のセキュリティー・ドメインを参照してください。
名前
ドメインの固有の名前を指定します。最初の送信が行われた後は、この名前を編集することはできません。
ドメイン名は、 セル内で固有でなければならず、無効文字を含むことはできません。
説明
ドメインの説明を指定します。
割り当てられた有効範囲
セル・トポロジーを表示する場合に選択します。セキュリティー・ドメインをセル全体に割り当てることができますが、特定のクラスター、ノード、およびサービス統合バスを選択して、それらをセキュリティー・ドメインに組み込むこともできます。
「すべての有効範囲」を選択した場合、セル・トポロジー全体が表示されます。
「割り当て有効範囲」を選択すると、セル・トポロジーが、現在のドメインに割り当てられているサーバーおよびクラスターとともに表示されます。
すべてのリソースの隣に、明示的に割り当てられたドメインの名前が表示されます。 チェックのマークが付いたボックスは、そのドメインに現在割り当てられているリソースを示します。また、他のリソースを選択して「適用」または「OK」をクリックすることによって、 それらを現在のドメインに割り当てることもできます。
チェックのマークのない (使用不可の) リソースは、 そのリソースが現在のドメインに割り当てられておらず、現在のドメインで 使用できるようにするにはまず別のドメインから除去する必要があることを示しています。
リソースに明示的に割り当てられたドメインがない場合は、 セルに割り当てられているドメインが使用されます。セルにドメインが割り当てられていない場合、リソースはグローバル設定を使用します。
クラスター・メンバーは個別にドメインに割り当てできません。すなわち、クラスター全体で同じドメインが使用されます。
アプリケーション・セキュリティー:
「アプリケーション・セキュリティーを使用可能にする」を選択するかどうかによって、ユーザー・アプリケーションに対するセキュリティーを使用可能または使用不可に設定します。 グローバル・セキュリティー設定を使用するか、またはドメインの設定をカスタマイズすることができます。
この選択を使用不可に設定すると、 セキュリティー・ドメイン内のすべての EJB および Web アプリケーションは、保護されなくなります。 これらのリソースに対するアクセス権限は、ユーザー認証を行わずに付与されます。 この選択を使用可能に設定すると、Java™ EE セキュリティーは、セキュリティー・ドメイン内の EJB および Web アプリケーションのすべてに実行されます。Java EE セキュリティーが実行されるのは、グローバル・セキュリティー構成でグローバル・セキュリティーが使用可能になっている場合だけです (つまり、アプリケーション・セキュリティーを使用可能にする場合は、必ず最初にグローバル・セキュリティーをグローバル・レベルで使用可能にする必要があります)。
アプリケーション・セキュリティーの使用可能化
ご使用の環境内のアプリケーションのセキュリティーを 使用可能にします。このタイプのセキュリティーは、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供します。
WebSphere Application Server の以前のリリースでは、ユーザーがグローバル・セキュリティーを使用可能にした場合、 管理およびアプリケーション・セキュリティーの両方が使用可能になりました。 WebSphere Application Server バージョン 6.1 では、これまでのグローバル・セキュリティーの概念が管理セキュリティーとアプリケーション・セキュリティーに分割され、それぞれを別々に使用可能にすることができます。
このように分割されたため、WebSphere Application Server クライアントで、 ターゲット・サーバーにおいてアプリケーション・セキュリティーが使用不可であるかどうかを認識する必要があります。 管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーを使用可能にするには、管理セキュリティーを使用可能にする必要があります。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。
この選択を使用不可に設定すると、 セキュリティー・ドメイン内のすべての EJB および Web アプリケーションは、保護されなくなります。 これらのリソースに対するアクセス権限は、ユーザー認証を行わずに付与されます。 この選択を使用可能に設定すると、Java EE セキュリティーは、セキュリティー・ドメイン内の EJB および Web アプリケーションのすべてに実行されます。Java EE セキュリティーが実行されるのは、グローバル・セキュリティー構成でグローバル・セキュリティーが使用可能になっている場合だけです (つまり、アプリケーション・セキュリティーを使用可能にする場合は、必ず最初にグローバル・セキュリティーをグローバル・レベルで使用可能にする必要があります)。
Java 2 セキュリティー:
「Java 2 セキュリティーを使用」を選択して、Java 2 セキュリティーをドメイン・レベルで使用可能または使用不可にするか、Java 2 セキュリティーに関連したプロパティーの割り当てまたは追加を実行します。グローバル・セキュリティー設定を使用するか、またはドメインの設定をカスタマイズすることができます。
この選択により、Java 2 セキュリティーをプロセス (JVM) レベルで使用可能または使用不可に設定して、すべてのアプリケーション (管理アプリケーションとユーザー・アプリケーションの両方) で Java 2 セキュリティーを使用可能または使用不可にできます。
グローバル・セキュリティー設定を使用する
使用するグローバル・セキュリティーの設定を指定する場合に選択します。
このドメイン用にカスタマイズする
ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。
Java 2 セキュリティーを使用したローカル・リソースへのアプリケーションのアクセス制限
Java 2 セキュリティー権限検査を使用可能にするか、または使用不可にするかを指定する場合に選択します。 デフォルトでは、ローカル・リソースへのアクセスは制限されません。アプリケーション・セキュリティーが使用可能である場合でも、Java 2 セキュリティーを使用不可にすることができます。
「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションが使用可能で、アプリケーションがデフォルト・ポリシーで付与されるものよりも高い Java 2 セキュリティー権限を要求する場合、そのアプリケーションは、アプリケーションの app.policy ファイルまたは was.policy ファイルのいずれかに必要な許可が付与されるまで、正常に実行することができない可能性があります。必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。
アプリケーションがカスタム許可を認可されたときに警告する
アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 Java API 許可とは、java.* および javax.* パッケージ内にある許可のことです。
アプリケーション・サーバーは、ポリシー・ファイル管理をサポートします。この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。filter.policy ファイルには、Java EE 1.4 仕様に従って、アプリケーションに与えたくない許可のリストが入っています。
リソース認証データへのアクセスを制限する
このオプションは、Java 2 セキュリティーが有効になっていない場合は無効です。
- Java 2 セキュリティーが実行される場合。
- アプリケーション・エンタープライズ・アーカイブ (EAR) ファイル内にある was.policy ファイルで、アプリケーション・コードに accessRuntimeClasses WebSphereRuntimePermission
認可が付与されている場合。例えば、was.policy ファイルに次のような行があれば、
アプリケーション・コードにこの許可が付与されています。
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
「リソース認証データへのアクセスを制限する」オプションにより、WSPrincipalMappingLoginModule 実装のデフォルト・プリンシパル・マッピングに、細分化された Java 2 セキュリティー権限検査が追加されます。「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションと「リソース認証データへのアクセスを制限する」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接、 WSPrincipalMappingLoginModule 実装を使用する Java 2 Platform, Enterprise Edition (Java EE) アプリケーションに、明示的な許可を付与する必要があります。
通知 | 値 |
---|---|
デフォルト: | 使用不可 |
ユーザー・レルム:
このセクションにより、セキュリティー・ドメインのユーザー・レジストリーを構成できます。 ドメイン・レベルで使用されるすべてのレジストリーは、個別に構成できます。
レジストリーをドメイン・レベルで構成する場合は、そのレジストリーに独自のレルム名を定義することもできます。レルム名は、レジストリーを区別します。レルム名は、複数の環境 (ユーザーにプロンプトを表示する Java クライアント・ログイン・パネル内、認証キャッシュ内、およびネイティブ許可の使用時) で使用されます。
システムは、グローバル構成レベルでユーザー・レジストリー用のレルムを作成します。以前のリリースの WebSphere Application Server では、システムには 1 つのユーザー・レジストリーしか構成されません。セキュリティー・ドメインが複数ある場合は、システム内に複数のレジストリーを構成できます。 これらのドメインでレルムを固有にするには、セキュリティー・ドメインに対して独自のレルム名を構成します。作成されるレルム名が固有であることが明確な場合は、システムにその固有のレルム名を作成させることもできます。後者の場合、レルム名は使用されているレジストリーに基づきます。
トラスト・アソシエーション:
トラスト・アソシエーションの設定を指定する場合に選択します。トラスト・アソシエーションは、 リバース・プロキシー・サーバーをアプリケーション・サーバーに接続するのに使用されます。
トラスト・アソシエーションにより、 IBM® WebSphere Application Server セキュリティーとサード・パーティー製セキュリティー・サーバーとを統合することができます。 具体的には、 リバース・プロキシー・サーバーがフロントエンド認証サーバーとして機能できるようになる一方で、この製品は、 製品自体の許可ポリシーを、プロキシー・サーバーから渡されたクレデンシャルに適用します。
Tivoli® Access Manager のトラスト・アソシエーション・インターセプターは、グローバル・レベルでしか構成できません。ドメイン構成もそれらのインターセプターを使用できますが、異なるバージョンのトラスト・アソシエーション・インターセプターを持つことはできません。システムに存在できるのは、Tivoli Access Manager のトラスト・アソシエーション・インターセプターの 1 つのインスタンスのみです。
インターセプター
リバース・プロキシー・サーバーのトラスト情報へアクセスするか、またはこの情報を指定する場合に選択します。
トラスト・アソシエーションを使用可能にする
IBM WebSphere Application Server セキュリティーと サード・パーティー製セキュリティー・サーバーの統合を有効にする場合に選択します。具体的には、 リバース・プロキシー・サーバーがフロントエンド認証サーバーとして機能できるようになる一方で、この製品は、 製品自体の許可ポリシーを、プロキシー・サーバーから渡されたクレデンシャルに適用します。
SPNEGO Web 認証:
Simple and Protected GSS-API Negotiation (SPNEGO) の設定を Web 認証メカニズムとして指定します。
SPNEGO Web 認証を使用する場合、Web リソースの認証のために SPNEGO をドメイン・レベルで構成することができます。
RMI/IIOP セキュリティー:
Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) の設定を指定します。
オブジェクト・リクエスト・ブローカー (ORB) は、 Internet InterORB Protocol (IIOP) を使用して、クライアントとサーバーの間の対話を管理します。 ORB によって、クライアントはネットワーク分散環境でサーバーに対して 要求を行い、応答を受け取ることができます。
これらの属性をドメイン・レベルで構成すると、便宜上、グローバル・レベルの RMI/IIOP セキュリティー構成がコピーされます。ドメイン・レベルでは別のものを使用する必要がある属性を変更することができます。 CSIv2 インバウンド通信のトランスポート層設定は、グローバル・レベルとドメイン・レベルの両方で一致している必要があります。 それらが異なっている場合は、ドメイン・レベルの属性がプロセス内のすべてのアプリケーションに適用されます。
プロセスが、異なるレルムを使用して別のプロセスと通信している場合、アウトバウンド・トラステッド認証レルムのリストにダウンストリーム・サーバーがリストされていない限り、LTPA 認証および伝搬トークンはそのダウンストリーム・サーバーに伝搬されます。アウトバウンド・トラステッド認証レルムのリストにダウンストリーム・サーバーをリストするには、「CSIv2 アウトバウンド通信 (CSIv2 outbound communication)」パネルの「トラステッド認証レルム - アウトバウンド」リンクを使用します。
CSIv2 インバウンド通信
オブジェクト管理グループ (OMG) 共通セキュア・インターオペラビリティー (CSI) 認証プロトコルを使用して、受信された要求の認証設定およびこのサーバーによって受け入れられた接続のトランスポート設定を指定する場合に選択します。
WebSphere Application Server によって、インバウンド認証要求およびアウトバウンド認証要求の両方に対して、Internet Inter-ORB Protocol (IIOP) 認証を指定できます。 インバウンド要求の場合、基本認証などの受け入れられた認証タイプを指定できます。
CSIv2 アウトバウンド通信
オブジェクト管理グループ (OMG) 共通セキュア・インターオペラビリティー (CSI) 認証プロトコルを使用して、送信された要求の認証設定およびサーバーによって開始された接続のトランスポート設定を指定する場合に選択します。
WebSphere Application Server によって、インバウンド認証要求およびアウトバウンド認証要求の両方に対して、Internet Inter-ORB Protocol (IIOP) 認証を指定できます。 アウトバウンド要求の場合、認証タイプ、ID アサーション、またはダウンストリーム・サーバーへの要求で使用するログイン構成などのプロパティーを指定できます。
JAAS アプリケーション・ログイン
JAAS によって使用されるログイン構成を定義する場合に選択します。
JAAS アプリケーション・ログイン、JAAS システム・ログイン、および JAAS J2C 認証データ別名は、すべてドメイン・レベルで構成できます。デフォルトでは、システム内のすべてのアプリケーションは、 グローバル・レベルで構成されている JAAS ログインにアクセスできます。 セキュリティー・ランタイムは、最初に、ドメイン・レベルの JAAS ログインがないか確認します。 見つからない場合は、グローバル・セキュリティー構成の JAAS ログインを調べます。セキュリティー・ドメイン内のアプリケーションが排他的に使用するログインを指定する必要がある場合のみ、これらの JAAS ログインのいずれかをドメインで構成します。
JAAS およびカスタム・プロパティーの場合にのみ、グローバル属性をあるドメイン用にカスタマイズしても、ユーザー・アプリケーションはそれらの属性を使用することができます。
ClientContainer、DefaultPrincipalMapping、および WSLogin ログイン構成は、他のアプリケーションで使用される場合があるため、除去しないでください。これらの構成が除去されると、 他のアプリケーションに障害が起こる可能性があります。
グローバルおよびドメイン固有のログインを使用する
ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。
JAAS システム・ログイン:
JAAS システム・ログインの構成設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの構成設定をカスタマイズすることもできます。
システム・ログイン
システム・リソースによって使用される JAAS ログイン構成 (認証メカニズム、プリンシパル・マッピング、およびクレデンシャル・マッピング) を定義する場合に選択します。
JAAS J2C 認証データ:
JAAS J2C 認証データの設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。
Java 2 Platform, Enterprise Edition (Java EE) コネクター認証データ・エントリーは、リソース・アダプターおよび Java DataBase Connectivity (JDBC) データ・ソースによって使用されます。
グローバルおよびドメイン固有のエントリーを使用する
ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。
Java Authentication SPI (JASPI)
Java Authentication SPI (JASPI) 認証プロバイダーおよび関連する認証モジュールの構成設定を指定します。 グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。 ドメインの JASPI 認証プロバイダーを構成するには、「このドメイン用にカスタマイズする (Customize for this domain)」を選択してから、 JASPI を有効にすることができます。「プロバイダー」を選択して、 JASPI 認証プロバイダーを作成または編集します。
認証メカニズムの属性:
ドメイン・レベルで適用する必要のある各種キャッシュ設定を指定します。
- 認証キャッシュの設定 - 認証キャッシュの設定値を指定する場合に使用します。このパネルで指定した構成は、このドメインにのみ適用されます。
- LTPA タイムアウト - ドメイン・レベルの別の LTPA タイムアウト値を構成できます。デフォルトのタイムアウト値は 120 分です。この値はグローバル・レベルで設定されます。LTPA タイムアウトがドメイン・レベルで設定されると、ユーザー・アプリケーションへのアクセス時にセキュリティー・ドメインで作成されるトークンは、この有効期限の時間に基づいて作成されます。
- レルム修飾されたユーザー名を使用 - この選択が有効になっている場合、getUserPrincipal( ) などのメソッドによって返されるユーザー名は、セキュリティー・ドメイン内のアプリケーションが使用するセキュリティー・レルム (ユーザー・レジストリー) で修飾されます。
許可プロバイダー:
許可プロバイダーの設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。
外部のサード・パーティー JACC (Java Authorization Contract for Containers) プロバイダーをドメイン・レベルで構成できます。Tivoli Access Manager の JACC プロバイダーは、グローバル・レベルでしか構成できません。 セキュリティー・ドメインは、 別の JACC プロバイダーまたは組み込みのネイティブ許可によって許可プロバイダーをオーバーライドしない場合、 そのプロバイダーを引き続き使用できます。
「デフォルト許可」または「JAAC プロバイダーを使用する外部許可」を選択します。「構成」ボタンは、「JAAC プロバイダーを使用した外部許可 (External authorization using a JAAC provider)」が選択されている場合にのみ使用できます。
System Authorization Facility (SAF) の許可の場合、ドメイン・レベルで SAF プロファイル・プレフィックスを設定すると、そのサーバー内のすべてのアプリケーション (管理およびユーザーの両方)でそのプレフィックスを使用可能または使用不可にできるように、そのプレフィックスがサーバー・レベルで適用されます。
![[z/OS]](../images/ngzos.gif)
アプリケーション・サーバーと z/OS スレッド ID の同期化を使用可能にする
アプリケーションがこの機能を要求するようコーディングされている場合に、オペレーティング・システムのスレッド ID を、アプリケーション・サーバーのランタイムで使用される Java 2 Platform, Enterprise Edition (Java EE) ID と同期化できるようにするかどうかを示すために選択します。
オペレーティング・システム識別と Java EE 識別を同期化すると、オペレーティング・システム識別は、 認証呼び出し元、あるいはサーブレットまたは Enterprise JavaBeans (EJB) ファイルでの代行 RunAs 識別と同期化されます。 この同期化または関連とは、サーバー領域識別ではなく、呼び出し元またはセキュリティー・ロールの ID が、ファイルへのアクセスなどの z/OS® システム・サービス要求に使用されることを意味します。
この値がドメイン・レベルで設定された場合、サーバー・レベルで適用されるので、すべてのアプリケーション (管理およびユーザーの両方)が、この値をそのサーバー内で使用可能または使用不可にできます。
カスタム・プロパティー
データの名前と値のペアを指定する場合に選択します。ここで、名前はプロパティー・キーで、値はストリングです。
新規のカスタム・プロパティー、またはグローバル・レベルのものとは異なるカスタム・プロパティーをドメイン・レベルで設定します。 デフォルトでは、グローバル・セキュリティー構成にあるすべてのカスタム・プロパティーは、システム内のすべてのアプリケーションがアクセスできます。セキュリティー・ランタイム・コードは、最初に、ドメイン・レベルにカスタム・プロパティーがないか確認します。見つからない場合は、グローバル・セキュリティー構成のカスタム・プロパティーを取得しようとします。
Web サービス・バインディング
「デフォルトのポリシー・セット・バインディング (Default policy set bindings)」をクリックして、ドメインのデフォルトのプロバイダー・バインディングとクライアント・バインディングを設定します。