サーバーおよび管理セキュリティー
管理セキュリティー という用語は、WebSphere® の管理機能を使用するユーザーの認証の提供、Secure Sockets Layer (SSL) の使用、およびユーザー・アカウント・リポジトリーの選択を意味します。
![[z/OS]](../images/ngzos.gif)
- 他の多数の z/OS コネクター・サービスとの ID の共有
- SAF 委任を使用し、構成の多数のロケーションでユーザー ID およびパスワードを保管する必要性を最小化
- 追加の監査機能の使用
場合によっては、レルムは、ローカル OS ユーザー・レジストリーのマシン名とすることができます。
この場合、すべてのアプリケーション・サーバーは、同じ物理マシン上に常駐していなければなりません。
また場合によっては、レルムは、Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーのマシン名にすることもできます。
LDAP が分散ユーザー・レジストリーであるため、これによって、WebSphere Application Server Network Deployment 環境での複数ノード構成が可能になります。セキュリティー・ドメインの基本的な要件は、
セキュリティー・ドメイン内の 1 つのサーバーのレジストリーによって戻されるアクセス ID が、
同じセキュリティー・ドメイン内の他のどのサーバーのレジストリーから戻されるアクセス ID とも同じであることです。
アクセス ID はユーザーを一意的に識別するもので、
リソースに対してアクセスが許可されているかどうかを判別する許可で使用されます。
- Java 2 セキュリティー・マネージャー
- Java Authentication and Authorization Service (JAAS)
- Java 2 コネクター認証データ・エントリー
Common Secure Interoperability Version 2 (CSIv2) および Secure Authentication Service (SAS) 認証プロトコル (Internet Inter-ORB Protocol を介して実行される Remote Method Invocation (RMI/IIOP) セキュリティー)
Common Secure Interoperability Version 2 (CSIv2) および z/OS Secure Authentication Service (z/SAS) 認証プロトコル (Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) セキュリティー)
- その他各種の属性。
サーバー・レベルで
構成の一部をオーバーライドすることができます。
1 つのノード内に複数ノードおよび複数サーバーが存在可能な場合、
属性の一部をサーバー・レベルで構成できます。
サーバー・レベルで構成可能な属性には、サーバーのセキュリティー使用可能化、Java 2 セキュリティー・マネージャー使用可能化、および CSIv2/SAS 認証プロトコル (RMI/IIOP セキュリティー) があります。
管理セキュリティー が使用可能であっても、
個々のアプリケーション・サーバーでセキュリティーを使用不可にすることができます。
ただし、管理セキュリティー が使用不可になっている間に、
個々のアプリケーション・サーバーのセキュリティーを使用可能にすることはできません。
1 つのノード内に複数ノードおよび複数サーバーが存在可能な場合、
属性の一部をサーバー・レベルで構成できます。
サーバー・レベルで構成可能な属性には、サーバーのセキュリティー使用可能化、Java 2 セキュリティー・マネージャー使用可能化、および CSIv2 と z/SAS 認証プロトコル (RMI/IIOP セキュリティー) があります。
管理セキュリティー が使用可能であっても、
個々のアプリケーション・サーバーでセキュリティーを使用不可にすることができます。
ただし、管理セキュリティー が使用不可になっている間に、
個々のアプリケーション・サーバーのセキュリティーを使用可能にすることはできません。
ユーザー要求に対するアプリケーション・サーバーのセキュリティーが使用不可になっている場合でも、 アプリケーション・サーバーにおける管理およびネーミングのセキュリティーは使用可能になっているため、 管理およびネーミングのインフラストラクチャーは保護された状態のままになります。 セルのセキュリティーが使用可能でも、個々のサーバーのセキュリティーが使用不可になっている場合、 Java Platform, Enterprise Edition アプリケーションは認証も許可もされません。ただし、ネーミングおよび管理セキュリティーは実行されます。 したがって、ネーミング・サービスは、ユーザー・アプリケーションから呼び出される可能性があるため、 必要なネーミング機能に Everyone アクセスを許可して、 これらの機能が非認証の要求を受け入れられるようにしておく必要があります。 サポートされているスクリプト・ツールを使用する場合を除き、 ユーザー・コードから管理セキュリティーに直接、アクセスすることはありません。
System Authorization Facility (SAF) 許可を使用する場合には、CosNamingRead の EJBROLE プロファイル用の UACC フィールドが READ に設定され、非認証 ID に、このプロファイルへの READ アクセスがあることを確認する必要があります。