ローカル・オペレーティング・システムのレジストリーの構成

これらのステップを使用して、ローカル・オペレーティング・システムの レジストリーを構成します。

始める前に

ローカル・オペレーティング・システム・ユーザー・レジストリーの使用について、詳しくはローカル・オペレーティング・システムのレジストリーを参照してください。以下のステップを実行して、WebSphere Application Server がインストールされているローカル・オペレーティング・システムのユーザー・レジストリーを基にして、 セキュリティーをセットアップできます。

[AIX Solaris HP-UX Linux Windows]WebSphere Application Server ではセキュリティー上の目的から、Windows オペレーティング・システム・レジストリー、AIX®、 Solaris、および複数バージョンの Linux オペレーティング・システムに対して、実装を提供し、サポートしています。それぞれのオペレーティング・システム・アプリケーション・プログラミング・インターフェース (API) は、 製品プロセス (サーバー) で呼び出されて、ユーザーおよびその他のセキュリティー関連タスク (例えばユーザーまたはグループ情報の取得など) の認証を行います。 これらの API にアクセスできるのは、特権のあるユーザーに限られています。 これらの特権は、このトピックで後述されているように、オペレーティング・システムによって異なります。

[z/OS]ローカル・オペレーティング・システム・レジストリーが選択されている場合、始動済みタスク ID がサーバー ID として選択されます。サーバーを構成するためにユーザー ID および パスワードは必要ありません。

[z/OS]重要: 始動済みタスク、 (例えば、コントローラー、サーバント、またはデーモンなど) はそれぞれ、別の ID を持つ場合があります。 それぞれに異なるリソース許可を与えるため、 コントローラーおよびサーバントに異なるユーザー ID を与えなければなりません。z/OS のプロファイル管理ツールによりこれらの ID をセットアップします。
[Windows][AIX Solaris HP-UX Linux Windows]以下の問題を考慮してください。
  • サーバー ID は、製品のインストール先である Windows マシンの名前とは異なる名前にする必要があります。 例えば、Windows マシン名が vicky であり、セキュリティー・サーバー ID も vicky である場合、Windows システムでユーザー vicky の情報 (グループ情報など) を取得する際に障害が起こります。
  • WebSphere Application Server は、そのマシンが Windows システム・ドメインのメンバーであるかどうかを動的に判別します。
  • WebSphere Application Server は、Windows のトラステッド・ドメインをサポートしていません。
  • マシンが Windows ドメインのメンバーである場合は、 ドメイン・ユーザー・レジストリーとそのマシンのローカル・ユーザー・レジストリーの両方とも、 認証およびセキュリティー・ロールのマッピングに使用されます。
  • Windows ドメイン・ユーザー ID を使って WebSphere Application Server をインストールして実行する場合は、この ID には以下の特権がなければなりません。
    • ドメイン・コントローラーのドメイン管理グループのメンバーであること。
    • ドメイン・コントローラーのドメイン・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • ローカル・マシンのローカル・セキュリティー・ポリシーに「オペレーティング・システムの一部としてアクションを行う」特権があること。
    • サーバーをサービスとして実行する場合は、ローカル・マシンに「サービスとしてログオン」特権があること。
  • 同じパスワードを持つユーザーが両方のユーザー・レジストリーに存在すると、ドメイン・ユーザー・レジストリーがマシンのローカル・ユーザー・レジストリーよりも優先されるため、ドメイン・ユーザー・レジストリーに望ましくない影響が及ぶ場合があります。
  • 製品プロセスの実行に使用されるユーザーには、ユーザーおよびグループ情報の認証または収集を行う Windows オペレーティング・システム API を呼び出すために、管理特権とオペレーティング・システムの一部としてアクションを行う特権が必要です。 このプロセスには特殊権限が必要で、その権限はこれらの特権によって与えられます。 この例でのユーザーは、セキュリティー・サーバー ID と同じではない可能性があります (セキュリティー・サーバー ID の要件は、レジストリー内で有効なユーザーであるということです)。 このユーザーは、マシンにログインする (コマンド行を使用して製品プロセスを始動する場合) か、サービス・パネルの「ログオン・ユーザー」設定 (サービスを使用して製品プロセスを始動した場合) にログインします。
[AIX Solaris HP-UX Linux Windows]以下の点を考慮してください。
  • [AIX HP-UX Solaris][Linux]製品プロセスの実行に使用されるユーザーには、root 特権が必要です。 この特権は、オペレーティング・システム API を呼び出して、ユーザーおよびグループ情報の認証または収集を行うために必要です。 このプロセスには特殊権限が必要で、その権限は root 特権によって与えられます。 このユーザーは、セキュリティー・サーバー ID と同じでなくてもかまいません (要件は、レジストリー内で有効なユーザーでなければならないということです)。 このユーザーは、マシンにログインして製品プロセスを実行します。
  • [AIX HP-UX Solaris]ローカル・オペレーティング・システム・レジストリーを使用する場合、管理セキュリティーを 使用可能にするユーザーは root 特権を持っている必要があります。持っていない場合は、検証失敗のエラーが表示されます。
  • [Linux]システムにパスワード・シャドー・ファイルが必要になる場合があります。

このタスクについて

[z/OS]WebSphere Application Server のユーザー・レジストリーをセットアップすると、System Authorization Facility (SAF) はユーザー・レジストリーとともに動作し、アプリケーションがサーバー上で稼働するのを許可します。 SAF の機能の詳細については System Authorization Facility のユーザー・レジストリーを参照してください。 ローカル OS ユーザー・レジストリーおよび SAF 構成に関連する追加プロパティーを構成するには、以下のステップを実行します。

[z/OS]重要: z/OS プラットフォームのノードと非 z/OS プラットフォームのノードを両方とも含む混合セル環境では、ローカル・オペレーティング・システムは有効なユーザー・アカウント・リポジトリーではありません。

[AIX Solaris HP-UX Linux Windows][IBM i]セキュリティーを初めてセットアップした場合は、最初にこのタスクを実行するのに、以下のステップが必要です。

手順

  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、「ローカル・オペレーティング・システム」を選択し、「構成 」をクリックします。
  3. [AIX Solaris HP-UX Linux Windows][IBM i]Primary administrative user name」フィールドに、有効なユーザー名を入力します。 この値は、レジストリーで定義された管理特権があるユーザーの名前です。 このユーザー名は、管理コンソールにアクセスする場合、または wsadmin により使用されます。
  4. [z/OS]SAF 許可が使用可能になっていない場合、「基本管理ユーザー名」フィールドに、有効なユーザー名を入力します。 この値は、レジストリーで定義された管理特権があるユーザーの名前です。 このユーザー名は、管理コンソールにアクセスする場合、または wsadmin により使用されます。
  5. オプション: [z/OS]デフォルトの許可を使用する際に WebSphere Application Server が大/小文字を区別しないで許可の検査を行えるようにする場合は、「許可検査で大/小文字を区別しない」オプションを選択します。
  6. 適用」をクリックします。
  7. [AIX Solaris HP-UX Linux Windows][IBM i]Automatically generated server identity」または「Server identity that is stored in the repository」のいずれかのオプションを選択します。Server identity that is stored in the repository」オプションを選択した場合は、以下の情報を入力します。
    サーバー・ユーザー ID または管理ユーザー
    ステップ 2 で選択したアカウントのショート・ネームを指定します。
    サーバー・ユーザー・パスワード
    ステップ 2 で選択したアカウントのパスワードを指定します。
  8. [z/OS]自動的に生成されたサーバー ID」または「z/OS 開始タスクのユーザー ID」を選択します。
  9. [IBM i]基本管理ユーザー名」フィールドに、有効なユーザー・プロファイル名を入力します。

    「Primary administrative user name」は、 サーバーが基盤となるオペレーティング・システムに対して認証を行う際に使用するユーザー・プロファイルを指定します。 この ID は、管理コンソールを使用して管理アプリケーションにアクセスする初期権限を持つユーザーでもあります。 管理ユーザー ID はすべてのユーザー・レジストリーに共通です。管理 ID は、 選択されたレジストリーの 1 メンバーであり、WebSphere Application Server で特別な権限を持っています。 しかし、それが表すレジストリーの中では、特別な権限を持ちません。 つまり、管理ユーザー ID またはサーバー・ユーザー ID として使用するレジストリーの中では、 有効な任意のユーザー ID を選択することができます。

    基本管理ユーザー名」フィールドでは、 次の基準を満たす任意のユーザー・プロファイルを指定できます。
    • ユーザー・プロファイルの状況が *ENABLED である。
    • ユーザー・プロファイルのパスワードが有効である。
    • ユーザー・プロファイルがグループ・プロファイルとして使用されていない。
      重要: グループ・プロファイルは、通常のユーザー・プロファイルには割り当てられていない固有のグループ ID 番号を割り当てられます。 DSPUSRPRF Display User Profile コマンドを実行して、「Primary administrative user name」として使用する ユーザー・プロファイルが定義されたグループ ID 番号を持っているか確かめてください。 「グループ ID」フィールドに *NONE がセットされている場合は、 そのユーザー・プロファイルを基本管理ユーザー名として使用することができます。
  10. オプション: [z/OS]SAF の許可を使用可能に設定して構成します。
    1. セキュリティー」>「グローバル・セキュリティー」>「外部許可プロバイダー」とクリックします。
    2. System Authorization Facility (SAF) authorization」オプションを選択し、許可プロバイダーとして SAF を使用可能に設定します。
    3. 「関連項目」下で、「z/OS SAF 許可」をクリックし、SAF 許可を構成します。 SAF 許可の説明を確認するには、z/OS System Authorization Facility 許可を参照してください。
  11. OK」をクリックします。

    OK」をクリックした場合は、管理コンソールはユーザー ID とパスワードを検証しません。 検証が行われるのは、「グローバル・セキュリティー」パネルで「OK」または「適用」をクリックしたときに限られます。 はじめに、「Local operating system」を「ユーザー・アカウント・リポジトリー」セクションの使用可能なレルム定義として選択したことを確認し、 「Set as current」をクリックします。 セキュリティーが既に使用可能になっていて、このパネルでユーザー情報またはパスワード情報のいずれかを変更した場合は、その変更を有効にするために、必ず「グローバル・セキュリティー」パネルに戻って、「OK」または「適用」をクリックしてください。 変更が有効になっていないと、サーバーは始動しません。

    重要: 他のユーザーに管理機能の実行を許可するまでは、 あなただけが指定したサーバー・ユーザー ID とパスワードを使って管理コンソールにアクセスすることができます。詳しくは、管理ロールへのアクセスの許可を参照してください。

タスクの結果

このパネルでの変更を有効にするには、デプロイメント・マネージャー、 ノード、およびアプリケーション・サーバーなどの製品のすべてのサーバーを保存し、停止してから始動する必要があります。サーバーが問題なく始動したら、セットアップは正しく行われたことになります。

これらのステップを実行すると、ローカル・オペレーティング・システム・レジストリーを使用して許可ユーザーを識別するように、WebSphere Application Server を構成したことになります。

次のタスク

セキュリティーを使用可能にするための残りのステップを完了します。 詳しくは、セキュリティーの使用可能化を参照してください。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_localos
ファイル名:tsec_localos.html