グローバル・セキュリティーの設定

このページを使用して、管理およびデフォルト・アプリケーション・セキュリティー・ポリシーを構成します。このセキュリティー構成はすべての管理機能のセキュリティー・ポリシーに適用され、ユーザー・アプリケーションのデフォルト・セキュリティー・ポリシーとして使用されます。 セキュリティー・ドメインを定義して、ユーザー・アプリケーションのセキュリティー・ポリシーをオーバーライドしてカスタマイズすることができます。

この管理コンソール・ページを表示するには、「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。

[AIX Solaris HP-UX Linux Windows][IBM i]セキュリティーは、ご使用のアプリケーションに対してパフォーマンス上多少の影響を与えます。 パフォーマンスへの影響は、アプリケーション・ワークロードの特性により異なることがあります。 まず、ご使用のアプリケーションに対して必要なレベルのセキュリティーを使用可能にし、次にアプリケーションのパフォーマンスに与えるセキュリティーの影響を測定する必要があります。

セキュリティーを構成する際、ユーザー・レジストリーまたは認証メカニズム・ページに対して行った変更の妥当性を検査してください。「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みるか、管理 ID (internalServerID を使用する場合) の妥当性検査を試みます。 管理セキュリティーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、初めてサーバーを再始動するときに問題を回避することができます。

セキュリティー構成ウィザード

基本管理およびアプリケーション・セキュリティー設定を構成できるウィザードを起動します。このプロセスは、許可ユーザーに対する管理用タスクおよびアプリケーションを制限します。

このウィザードを使用すると、アプリケーション・セキュリティー、リソースまたは Java™ 2 Connector (J2C) セキュリティー、およびユーザー・レジストリーを構成することができます。既存のレジストリーを構成し、管理セキュリティー、アプリケーション・セキュリティー、およびリソース・セキュリティーを使用可能にします。

セキュリティー構成ウィザードを使用して行った変更を適用する場合、管理セキュリティーは、デフォルトでオンになります。

セキュリティー構成報告書

アプリケーション・サーバーの現行セキュリティー設定を収集および表示する報告書を起動します。コア・セキュリティー設定、管理ユーザーおよびグループ、CORBA ネーミング・ロール、および Cookie 保護に関する情報が収集されます。複数のセキュリティー・ドメインが構成されている場合は、報告書には各ドメインに関連付けられたセキュリティー構成が表示されます。

報告書への現在の制限により、アプリケーション・レベルのセキュリティー情報は表示されません。 この報告書には、Java Message Service (JMS) セキュリティー、バス・セキュリティー、または Web Services セキュリティーに関する情報も表示されません。

管理セキュリティーを使用可能にする

このアプリケーション・サーバー・ドメインの管理セキュリティーを使用可能にするかどうかを指定します。 管理セキュリティーでは、アプリケーション・サーバーの管理制御を得る前に、ユーザーが認証される必要があります。

詳しくは、管理ロールおよび管理認証の関連リンクを参照してください。

セキュリティーを使用可能にするときには、認証メカニズムの構成を設定し、 選択されたレジストリー構成で有効なユーザー ID とパスワード (または、internalServerID 機能を使用している場合は、有効な管理 ID) を指定してください。

注: 環境を管理する管理者を識別するユーザー ID (通常は管理 ID と呼ばれる) とサーバーとサーバーの間での通信に使用するサーバー ID は異なります。 内部サーバー ID 機能を使用する場合には、サーバー ID およびパスワードの入力は必要ありません。ただし、 オプションで、サーバー ID およびパスワードを指定することができます。サーバー ID およびパスワードを指定するには、以下のステップを実行します。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」をクリックします。
  2. 「User accounts repository」の下で、リポジトリーを選択し、「構成」をクリックします。
  3. [AIX Solaris HP-UX Linux Windows][IBM i]「Server user identity」セクションでサーバー ID およびパスワードを指定します。

[z/OS]z/OS 開始タスク (z/OS started task)」オプションは、ユーザー・レジストリーが「ローカル OS」である場合にのみ指定できます。

セキュリティー・ドメイン内でセキュリティーを使用可能にした後にサーバーが開始されないなどの問題が生じた場合には、そのセルのすべてのファイルをこのノードに再同期してください。 ファイルを再同期させるには、ノードから syncNode -username your_userid -password your_password というコマンドを実行してください。このコマンドによりデプロイメント・マネージャーに接続され、すべてのファイルが再同期されます。

[IBM i][z/OS]管理セキュリティーを使用可能にしたあとにサーバーが再始動しなくなった場合は、セキュリティーを使用不可にできます。 app_server_root/bin ディレクトリーに 移動して、wsadmin -conntype NONE コマンドを実行します。 wsadmin> プロンプトで securityoff と入力します。 次に exit と入力して、コマンド・プロンプトに戻ります。 セキュリティーを使用不可にしてサーバーを再始動し、管理コンソールを介して誤っている設定を検査します。

[z/OS]ローカル OS ユーザー・レジストリー・ユーザー: アクティブ・ユーザー・レジストリーとして、「ローカル OS」を選択した場合、 ユーザー・レジストリー構成でパスワードを入力する必要はありません。

通知
デフォルト: 使用可能

アプリケーション・セキュリティーの使用可能化

ご使用の環境内のアプリケーションのセキュリティーを 使用可能にします。このタイプのセキュリティーは、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供します。

WebSphere Application Server の以前のリリースでは、ユーザーがグローバル・セキュリティーを使用可能にした場合、管理およびアプリケーション・セキュリティーの両方が使用可能になりました。WebSphere Application Server バージョン 6.1 では、これまでのグローバル・セキュリティーの概念が管理セキュリティーとアプリケーション・セキュリティーに分割され、そのそれぞれを別々に使用可能にすることができます。

このように分割されたため、WebSphere Application Server クライアントで、ターゲット・サーバーにおいてアプリケーション・セキュリティーが使用不可であるかどうかを認識する必要があります。管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーを使用可能にするには、管理セキュリティーを使用可能にする必要があります。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。

通知
デフォルト: 使用不可

Java 2 セキュリティーを使用してローカル・リソースへのアプリケーションのアクセスを制限する

Java 2 セキュリティーの許可検査を使用可能にするか、または使用不可にするかを指定します。デフォルトでは、ローカル・リソースへのアクセスは制限されません。アプリケーション・セキュリティーが使用可能である場合でも、Java 2 セキュリティーを使用不可にすることができます。

Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションが使用可能で、アプリケーションがデフォルト・ポリシーで付与されるものよりも高い Java 2 セキュリティー権限を要求する場合、そのアプリケーションは、アプリケーションの app.policy ファイルまたは was.policy ファイルのいずれかに必要な許可が付与されるまで、正常に実行することができない可能性があります。必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。Java 2 セキュリティーについて詳しくは、関連リンクを参照してください。

通知
デフォルト: 使用不可

アプリケーションがカスタム許可を認可されたときに警告する

アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。Java API 許可とは、java.* および javax.* パッケージ内にある許可のことです。

アプリケーション・サーバーは、ポリシー・ファイル管理をサポートします。この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。 filter.policy ファイルには、J2EE 1.4 仕様に従って、アプリケーションに与えたくない許可のリストが入っています。 許可について詳しくは、Java 2 セキュリティー・ポリシー・ファイルの関連リンクを参照してください。

重要:Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションを使用可能にしない場合は、このオプションを使用可能にすることはできません。
通知
デフォルト: 使用不可

リソース認証データへのアクセスを制限する

このオプションを使用可能にすると、 重要な Java Connector Architecture (JCA) マッピング認証データへのアプリケーションのアクセスが制限されます。

次の両方の条件が満たされる場合は、このオプションを使用可能にすることを検討してください。
  • Java 2 セキュリティーが実行される場合。
  • エンタープライズ・アプリケーション・アーカイブ (EAR) ファイル内にある was.policy ファイルで、アプリケーション・コードに accessRuntimeClasses WebSphereRuntimePermission 認可が付与されている場合。例えば、was.policy ファイルに次のような行があれば、 アプリケーション・コードにこの許可が付与されています。
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

リソース認証データへのアクセスを制限する」オプションによって、WSPrincipalMappingLoginModule 実装のデフォルト・プリンシパル・マッピングに、Java 2 セキュリティー権限の厳密な検査機能が追加されます。「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションと「リソース認証データへのアクセスを制限する」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接、 WSPrincipalMappingLoginModule 実装を使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的な許可を付与する必要があります。

通知
デフォルト: 使用不可

現在のレルムの定義

アクティブ・ユーザー・リポジトリーの現在の設定を指定します。

このフィールドは読み取り専用です。

使用可能なレルムの定義

使用可能なユーザー・アカウントのリポジトリーを指定します。

ドロップダウン・リストに表示される選択項目には、以下のものがあります。
  • ローカル・オペレーティング・システム
  • スタンドアロン LDAP レジストリー
  • スタンドアロン・ カスタム・ レジストリー
[AIX Solaris HP-UX Linux Windows][z/OS]

現在値として設定

ユーザー・リポジトリーが構成されたあとに、それを使用可能にします。

以下のユーザー・リポジトリーのうちの 1 つについて、設定を構成することができます。
統合リポジトリー
この設定を指定して、単一レルムの下の複数のリポジトリーでプロファイルを管理します。 レルムは以下の ID で構成することができます。
  • システムにビルドされるファイル・ベース・リポジトリー
  • 1 つ以上の外部リポジトリー
  • 組み込みファイル・ベース・リポジトリーと 1 つ以上の外部リポジトリーの両方
注: 管理者特権を持つユーザーのみが統合リポジトリーの構成を表示できます。
ローカル・オペレーティング・システム

[z/OS]この設定は、構成済みの Resource Access Control Facility (RACF®) または System Authorization Facility (SAF) 準拠のセキュリティー・サーバーをアプリケーション・サーバー・ユーザー・レジストリーとして使用する場合に指定します。

[AIX Solaris HP-UX Linux Windows][IBM i]複数ノード、または UNIX プラットフォーム上で非ルートとして実行する際には、ローカル OS を使用することはできません。

[AIX Solaris HP-UX Linux Windows]ローカル・オペレーティング・システム・レジストリーが有効なのは、ドメイン・コントローラーを使用している場合、または WebSphere Application Server Network Deployment セルが単一マシン上にある場合に限られます。後者の場合、ローカル OS ユーザー・レジストリーを使用するこの構成が無効なので、 セル内の複数のノードを複数のマシンにわたって広げることはできません。

スタンドアロン LDAP レジストリー

この設定を指定して、ユーザーおよびグループが外部の LDAP ディレクトリーに常駐している場合に、スタンドアロン LDAP レジストリー設定を使用します。セキュリティーが有効で、これらのプロパティーのいずれかが変更されている場合は、「セキュリティー」 > 「グローバル・セキュリティー」ページに進み、「適用」または「OK」をクリックして変更内容を有効にしてください。

注: 複数の LDAP サーバーがサポートされているので、この設定は 1 つの LDAP レジストリーを意味するものではありません。
スタンドアロン・ カスタム・ レジストリー
この設定を指定して、com.ibm.websphere.security.UserRegistry インターフェースを実装した、ユーザー固有のスタンドアロン・カスタム・レジストリーを実装します。セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、 「グローバル・セキュリティー」ページに進み、「適用」または「OK」をクリックして変更内容を有効にしてください。
通知
デフォルト: 使用不可

構成...

グローバル・セキュリティー設定を構成する場合に選択します。

Web および SIP セキュリティー

「認証」の下にある「Web および SIP セキュリティー」を展開すると、以下に対するリンクが表示されます。

  • 一般設定
  • シングル・サインオン (SSO)
  • SPNEGO Web 認証
  • トラスト・アソシエーション

一般設定

Web 認証の設定を指定する場合に選択します。

シングル・サインオン (SSO)

シングル・サインオン (SSO) の構成値を指定する場合に選択します。

SSO のサポートにより、Web ユーザーは、HTML、JavaServer Pages (JSP) ファイル、サーブレット、エンタープライズ Bean などの WebSphere Application Server リソース、および Lotus® Domino リソースの両方にアクセスする場合に、認証を一度で済ませることができます。

SPNEGO Web 認証

Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) では、 Web クライアントおよびサーバーが、通信を許可するのに使用される Web 認証プロトコルのネゴシエーションを行う手段が提供されます。

トラスト・アソシエーション

トラスト・アソシエーションの設定を指定する場合に選択します。トラスト・アソシエーションは、 リバース・プロキシー・サーバーをアプリケーション・サーバーに接続するのに使用されます。

グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。

注: 現在、SPNEGO 認証のトラスト・アソシエーション・インターセプター (TAI) の使用は非推奨です。「SPNEGO Web 認証」 ページでは現在、SPNEGO を構成するためのより簡単な方法が用意されています。

RMI/IIOP セキュリティー

「認証」の下にある「RMI/IIOP セキュリティー」を展開すると、以下に対するリンクが表示されます。

  • CSIv2 インバウンド通信
  • CSIv2 アウトバウンド通信

CSIv2 インバウンド通信

オブジェクト管理グループ (OMG) 共通セキュア・インターオペラビリティー (CSI) 認証プロトコルを使用して、受信された要求の認証設定およびこのサーバーによって受け入れられた接続のトランスポート設定を指定する場合に選択します。

認証フィーチャーには、以下のような 3 つの認証の層が含まれていますが、 それらは同時に使用することができます。
  • CSIv2 属性層。属性層には、アップストリーム・サーバーからの識別情報で、既に認証済みの識別トークンが含まれている 場合があります。 識別層の優先順位は最も高く、次にメッセージ層、トランスポート層の順で低くなります。 クライアントが 3 つの層をすべて送信する場合は、識別層だけが使用されます。 SSL クライアント証明書は、それが要求中に提示された唯一の情報である場合にのみ、識別情報として使用されます。クライアントは、 名前空間から相互運用オブジェクト参照 (IOR) を取り出し、タグ付きコンポーネントから値を読み取って、 セキュリティーに関してサーバーが何を必要とするのかを判別します。
  • CSIv2 トランスポート層。トランスポート層 (一番下の層) には、識別情報として Secure Sockets Layer (SSL) クライアント 証明書を含む場合があります。
  • [IBM i][AIX Solaris HP-UX Linux Windows]CSIv2 メッセージ層。メッセージ層には、ユーザー ID とパスワード、または有効期限を持つ認証済みトークンが含まれている場合があります。

CSIv2 アウトバウンド通信

オブジェクト管理グループ (OMG) 共通セキュア・インターオペラビリティー (CSI) 認証プロトコルを使用して、送信された要求の認証設定およびサーバーによって開始された接続のトランスポート設定を指定する場合に選択します。

認証フィーチャーには、以下のような 3 つの認証の層が含まれていますが、 それらは同時に使用することができます。
  • CSIv2 属性層。属性層には、アップストリーム・サーバーからの識別情報で、既に認証済みの識別トークンが含まれている 場合があります。 識別層の優先順位は最も高く、次にメッセージ層、トランスポート層の順で低くなります。 クライアントが 3 つの層をすべて送信する場合は、識別層だけが使用されます。 SSL クライアント証明書は、それが要求中に提示された唯一の情報である場合にのみ、識別情報として使用されます。クライアントは、 名前空間から相互運用オブジェクト参照 (IOR) を取り出し、タグ付きコンポーネントから値を読み取って、 セキュリティーに関してサーバーが何を必要とするのかを判別します。
  • CSIv2 トランスポート層。トランスポート層 (一番下の層) には、識別情報として Secure Sockets Layer (SSL) クライアント 証明書を含む場合があります。
  • [IBM i][AIX Solaris HP-UX Linux Windows]CSIv2 メッセージ層。メッセージ層には、ユーザー ID とパスワード、または有効期限を持つ認証済みトークンが含まれている場合があります。

Java Authentication and Authorization Service (JAAS)

「認証」の下にある「Java 認証・承認サービス (JAAS)」を展開すると、以下に対するリンクが表示されます。

  • アプリケーション・ログイン
  • システム・ログイン
  • J2C 認証データ

アプリケーション・ログイン

JAAS によって使用されるログイン構成を定義する場合に選択します。

ClientContainer、DefaultPrincipalMapping、および WSLogin ログイン構成は、他のアプリケーションで使用される場合があるため、除去しないでください。これらの構成が除去されると、 他のアプリケーションに障害が起こる可能性があります。

システム・ログイン

システム・リソースによって使用される JAAS ログイン構成 (認証メカニズム、プリンシパル・マッピング、およびクレデンシャル・マッピング) を定義する場合に選択します。

J2C 認証データ

Java Authentication and Authorization Service (JAAS) Java 2 Connector (J2C) 認証データの設定を指定する場合に選択します。

グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。

LTPA

アプリケーション・サーバーがセキュアな方法であるサーバーから別のサーバーにデータを送信することができるように、認証情報を暗号化する場合に選択します。

サーバー間で交換される認証情報の暗号化には、Lightweight Third-Party Authentication (LTPA) メカニズムが必要です。

Kerberos および LTPA

アプリケーション・サーバーがセキュアな方法であるサーバーから別のサーバーにデータを送信することができるように、認証情報を暗号化する場合に選択します。

サーバー間で交換される認証情報の暗号化には、Kerberos メカニズムが必要です。
注: このオプションを選択する前に、Kerberos を構成する必要があります。

Kerberos 構成

アプリケーション・サーバーがセキュアな方法であるサーバーから別のサーバーにデータを送信することができるように、認証情報を暗号化する場合に選択します。

サーバー間で交換される認証情報の暗号化には、LTPA メカニズムの KRB5 が使用されます。

認証キャッシュ設定

認証キャッシュの設定を行う場合に選択します。

Java Authentication SPI (JASPI) を使用可能にする

Java Authentication SPI (JASPI) 認証の使用を可能にする場合に選択します。

その後、「プロバイダー」をクリックして、グローバル・セキュリティー構成で JASPI 認証プロバイダーおよび関連の認証モジュールを作成または編集します。

レルム修飾ユーザー名の使用

getUserPrincipal() メソッドなどのメソッドによって戻されるユーザー名を、そのユーザー名が配置されているセキュリティー・レルムで修飾するように指定します。

セキュリティー・ドメイン

「セキュリティー・ドメイン」のリンクを使用して、ユーザー・アプリケーションの追加セキュリティーを構成します。

例えば、グローバル・レベルで使用されるユーザー・レジストリーではなく、ユーザー・アプリケーションのセット用の別のユーザー・レジストリーを使用する場合は、そのユーザー・レジストリーを使用してセキュリティー構成を作成し、それをアプリケーションのセットに関連付けることができます。 これらの追加セキュリティー構成は、さまざまな有効範囲 (セル、クラスター/サーバー、SIBus) に関連付けることができます。セキュリティー構成が一度有効範囲に関連付けられると、 その有効範囲のすべてのユーザー・アプリケーションでこのセキュリティー構成が使用されます。詳しくは、複数のセキュリティー・ドメインを参照してください。

各セキュリティー属性に対して、グローバル・セキュリティー設定を使用するか、またはドメインの設定をカスタマイズすることができます。

外部許可プロバイダー

デフォルトの許可構成を使用するか、または外部許可プロバイダーを使用するかを指定する場合に選択します。

外部プロバイダーは、Java Authorization Contract for Containers (JACC) 仕様に基づいて Java Platform, Enterprise Edition (Java EE) 許可を処理できるものでなければなりません。 外部セキュリティー・プロバイダーを JACC 許可プロバイダーとして構成しない場合は、「許可プロバイダー」ページの設定を変更しないでください。

カスタム・プロパティー

データの名前と値のペアを指定する場合に選択します。ここで、名前はプロパティー・キーで、値はストリングです。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_secureadminappinfra
ファイル名:usec_secureadminappinfra.html