ローカル・オペレーティング・システムのレジストリーの構成
これらのステップを使用して、ローカル・オペレーティング・システムの レジストリーを構成します。
始める前に
ローカル・オペレーティング・システム・ユーザー・レジストリーの使用について、詳しくはローカル・オペレーティング・システムのレジストリーを参照してください。以下のステップを実行して、WebSphere Application Server がインストールされているローカル・オペレーティング・システムのユーザー・レジストリーを基にして、 セキュリティーをセットアップできます。
WebSphere Application Server ではセキュリティー上の目的から、Windows
オペレーティング・システム・レジストリー、AIX®、
Solaris、および複数バージョンの Linux
オペレーティング・システムに対して、実装を提供し、サポートしています。それぞれのオペレーティング・システム・アプリケーション・プログラミング・インターフェース (API) は、
製品プロセス (サーバー) で呼び出されて、ユーザーおよびその他のセキュリティー関連タスク (例えばユーザーまたはグループ情報の取得など) の認証を行います。
これらの API にアクセスできるのは、特権のあるユーザーに限られています。
これらの特権は、このトピックで後述されているように、オペレーティング・システムによって異なります。
ローカル・オペレーティング・システム・レジストリーが選択されている場合、始動済みタスク ID がサーバー ID として選択されます。サーバーを構成するためにユーザー ID および
パスワードは必要ありません。
![[z/OS]](../images/ngzos.gif)
![[Windows]](../images/windows.gif)
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
- サーバー ID は、製品のインストール先である Windows マシンの名前とは異なる名前にする必要があります。 例えば、Windows マシン名が vicky であり、セキュリティー・サーバー ID も vicky である場合、Windows システムでユーザー vicky の情報 (グループ情報など) を取得する際に障害が起こります。
- WebSphere Application Server は、そのマシンが Windows システム・ドメインのメンバーであるかどうかを動的に判別します。
- WebSphere Application Server は、Windows のトラステッド・ドメインをサポートしていません。
- マシンが Windows ドメインのメンバーである場合は、 ドメイン・ユーザー・レジストリーとそのマシンのローカル・ユーザー・レジストリーの両方とも、 認証およびセキュリティー・ロールのマッピングに使用されます。
- Windows ドメイン・ユーザー ID を使って WebSphere Application Server をインストールして実行する場合は、この ID には以下の特権がなければなりません。
- ドメイン・コントローラーのドメイン管理グループのメンバーであること。
- ドメイン・コントローラーのドメイン・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
- ローカル・マシンのローカル・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
- サーバーをサービスとして実行する場合は、ローカル・マシンに「サービスとしてログオン」特権があること。
- 同じパスワードを持つユーザーが両方のユーザー・レジストリーに存在すると、ドメイン・ユーザー・レジストリーがマシンのローカル・ユーザー・レジストリーよりも優先されるため、ドメイン・ユーザー・レジストリーに望ましくない影響が及ぶ場合があります。
- 製品プロセスの実行に使用されるユーザーには、ユーザーおよびグループ情報の認証または収集を行う Windows オペレーティング・システム API を呼び出すために、管理特権とオペレーティング・システムの一部としてアクションを行う特権が必要です。 このプロセスには特殊権限が必要で、その権限はこれらの特権によって与えられます。 この例でのユーザーは、セキュリティー・サーバー ID と同じではない可能性があります (セキュリティー・サーバー ID の要件は、レジストリー内で有効なユーザーであるということです)。 このユーザーは、マシンにログインする (コマンド行を使用して製品プロセスを始動する場合) か、サービス・パネルの「ログオン・ユーザー」設定 (サービスを使用して製品プロセスを始動した場合) にログインします。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
製品プロセスの実行に使用されるユーザーには、root 特権が必要です。 この特権は、オペレーティング・システム API を呼び出して、ユーザーおよびグループ情報の認証または収集を行うために必要です。 このプロセスには特殊権限が必要で、その権限は root 特権によって与えられます。 このユーザーは、セキュリティー・サーバー ID と同じでなくてもかまいません (要件は、レジストリー内で有効なユーザーでなければならないということです)。 このユーザーは、マシンにログインして製品プロセスを実行します。
ローカル・オペレーティング・システム・レジストリーを使用する場合、管理セキュリティーを 使用可能にするユーザーは root 特権を持っている必要があります。持っていない場合は、検証失敗のエラーが表示されます。
システムにパスワード・シャドー・ファイルが必要になる場合があります。
このタスクについて
WebSphere Application
Server のユーザー・レジストリーをセットアップすると、System Authorization
Facility (SAF) はユーザー・レジストリーとともに動作し、アプリケーションがサーバー上で稼働するのを許可します。
SAF の機能の詳細については System Authorization Facility のユーザー・レジストリーを参照してください。
ローカル OS ユーザー・レジストリーおよび SAF 構成に関連する追加プロパティーを構成するには、以下のステップを実行します。
![[z/OS]](../images/ngzos.gif)
セキュリティーを初めてセットアップした場合は、最初にこのタスクを実行するのに、以下のステップが必要です。
手順
タスクの結果
このパネルでの変更を有効にするには、デプロイメント・マネージャー、 ノード、およびアプリケーション・サーバーなどの製品のすべてのサーバーを保存し、停止してから始動する必要があります。サーバーが問題なく始動したら、セットアップは正しく行われたことになります。
これらのステップを実行すると、ローカル・オペレーティング・システム・レジストリーを使用して許可ユーザーを識別するように、WebSphere Application Server を構成したことになります。
次のタスク
セキュリティーを使用可能にするための残りのステップを完了します。 詳しくは、セキュリティーの使用可能化を参照してください。