スクリプトによるセキュリティー監査データの署名

wsadmin ツールを使用してセキュリティー監査システムを構成し、セキュリティー監査記録に署名することができます。 セキュリティー監査は、監査可能イベントのトラッキングとアーカイブを提供します。

始める前に

適切な管理ロールを持っていることを確認してください。このトピックの手順を実行するには、監査員と管理者の管理ロールを持っている必要があります。

このタスクについて

監査データの署名を構成するときに、監査員は次のオプションから選択できます。
  • アプリケーション・サーバーが自動的に証明書を生成できるようにする。
  • 監査員が以前に生成した、既存の自己署名証明書を使用する。
  • システムが監査レコードを暗号化するのに使用したのと同じ自己署名証明書を使用する。
  • 既存の鍵ストアを使用してこの証明書を保管する。
  • 新しい鍵ストアを作成してこの証明書を保管する。
  • 既存の鍵ストアにある既存の自己署名証明書を使用する。

次の操作手順を実行して、セキュリティー監査データの署名を構成します。

手順

  1. Jython スクリプト言語を使用する wsadmin スクリプト・ツールを起動します。詳しくは、『wsadmin スクリプト・クライアントの開始』の項目を参照してください。
  2. セキュリティー監査データの署名設定を構成します。

    createAuditSigningConfig コマンドを使用して、監査レコードに署名するための署名モデルを作成します。

    証明書が格納されている既存の鍵ファイル名からその証明書をインポートするか、自動的に証明書を生成するか、または監査レコードの暗号化に使用した証明書と同じ証明書を使用することができます。 署名する鍵ストアが security.xml ファイルに存在している必要があります。システムは証明書によってこの鍵ストアを更新し、監査レコードの署名に使用します。
    表 1. コマンドのパラメーター. createAuditSigningConfig コマンドでは、次の表に示す各パラメーターを使用します。-enableAuditSigning、-certAlias、および -signingKeyStoreRef パラメーターを指定する必要があります。
    パラメーター 説明 データ型 必須
    -enableAuditSigning 監査レコードに署名するかどうかを指定します。このパラメーターは、ご使用の監査ポリシー構成を変更します。 ブール はい
    -certAlias 生成された証明書、またはインポートされた証明書を識別する別名を指定します。 ストリング はい
    -signingKeyStoreRef 証明書のインポート先となる鍵ストアの参照 ID を指定します。 ストリング はい
    -useEncryptionCert 暗号化および署名に同じ証明書を使用するかどうかを指定します。 -useEncryptionCert、-autogenCert、または -importCert パラメーターを指定する必要があります。 ブール いいえ
    -autogenCert 監査レコードの署名に使用される証明書を自動的に生成するかどうかを指定します。 -useEncryptionCert、-autogenCert、または -importCert パラメーターを指定する必要があります。 ブール いいえ
    -importCert 監査レコードに署名するために既存の証明書をインポートするかどうかを指定します。 -useEncryptionCert、-autogenCert、または -importCert パラメーターを指定する必要があります。 ブール いいえ
    -certKeyFileName インポートする証明書の鍵ファイルの固有の名前を指定します。 ストリング いいえ
    -certKeyFilePath インポートする証明書の鍵ファイルのロケーションを指定します。 ストリング いいえ
    -certKeyFileType インポートする証明書の鍵ファイルのタイプを指定します。 ストリング いいえ
    -certKeyFilePassword インポートする証明書の鍵ファイルのパスワードを指定します。 ストリング いいえ
    -certAliasToImport インポートする証明書の別名を指定します。 ストリング いいえ
    次のコマンド例では署名を構成し、システムが自動的に証明書を生成できるようにします。
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert
    -autogenCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML') 
    次のコマンド例では署名を構成し、証明書をインポートします。
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert
    -importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath install_root/etc/MyServerKeyFile.p12
    -certKeyFileType PKCS12 -certKeyFilePassword password4key -certAliasToImport defaultCertificate
    -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML') 
    次のコマンド例では署名と暗号化に同じ証明書を使用します。
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert
    -useEncryptionCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML')
  3. 構成の変更を保存します。
    以下のコマンド例を使用して、構成変更を保存します。
    AdminConfig.save()
  4. サーバーを再始動して構成の変更を適用します。

タスクの結果

ご使用のセキュリティー監査データ用に署名が構成されます。-enableAuditSigning パラメーターを true に設定した場合、セキュリティー監査システムはセキュリティー監査が使用可能であるときに、セキュリティー監査データに署名します。

次のタスク

初回に署名モデルを構成したら、enableAuditSigning コマンドと disableAuditSigning コマンドを使用して、サインオンとサインオフを素早く切り替えることができます。 次の例では、enableAuditSigning コマンドを使用して署名をオンにしています。
AdminTask.enableAuditSigning()
次の例では、disableAuditSigning コマンドを使用して署名をオフにしています。
AdminTask.disableAuditSigning()

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7signaudit
ファイル名:txml_7signaudit.html