初期セキュリティー構成
3 つの初期セキュリティー・オプションおよびそれぞれの構成の影響について理解します。
初期セル・カスタマイズ中に管理セキュリティーを使用可能にする オプションがあるインストール時には、この手順は 「すぐに使用可能なセキュリティー」と呼ばれます。これは、セキュリティーが有効になっていない場合に 発生する可能性がある無許可の変更からセルを保護します。
この項では、3 つの初期セキュリティー・オプションおよびそれぞれの構成の影響について 説明します。
オプション 1: z/OS セキュリティー製品を使用してユーザー ID および許可ポリシーを管理
z/OS システムのセキュリティー製品は常に、WebSphere Application Server for z/OS の開始タスク ID、およびロケーション・サービス・デーモンのデジタル証明書 (デーモン SSL が選択される場合) を制御するために使用されます。ただし、このセキュリティー・オプションが選択されている場合、WebSphere Application Server のすべての管理者および管理グループも SAF に定義されなければなりません。後に、アプリケーション・セキュリティーが 有効になった場合、SAF セキュリティー・データベースはそれらのユーザー ID も同様に保持します。
このオプションは、サーバーまたはセルが完全に z/OS システム上に常駐し、ユーザー・レジストリーとして SAF を持つ場合に適しています。LDAP やカスタム・ユーザー・レジストリーの実装を計画しており、WebSphere Application Server ID を SAF ID にマップして許可に EJBROLE プロファイルを使用する予定のお客様は、初期 SAF EJBROLE セットアップが実行されるように、このオプションも選択する必要があります。
SAF CBIND プロファイルが作成され、構成グループに付与されます。
デジタル証明書が、各サーバー・コントローラー (デプロイメント・マネージャーまたはアプリケーション・サーバー・コントローラー) の SAF セキュリティー・システムに作成されます。
デジタル鍵リングは、管理者、コントローラー、コントローラー領域付加属性、およびサーバー・ユーザーの SAF セキュリティー・システムで作成され、これらの鍵リングに適切な証明書が付加されます。
SAF プロファイル接頭部は、このオプションが選択されているときに指定される場合があります。SAF プロファイル接頭部は、許可検査に使用 される APPL、CBIND、および EJBROLE プロファイル名の一部になります。
オプション 2: WebSphere Application Server を使用してユーザー ID および許可ポリシーを管理
z/OS システムのセキュリティー製品は常に、WebSphere Application Server for z/OS の開始タスク ID、およびロケーション・サービス・デーモンのデジタル証明書 (デーモン SSL が選択される場合) を制御するために使用されます。ただし、このセキュリティー・オプションが選択されている場合、管理アクセス用のすべての WebSphere Application Server ユーザーおよびグループは、SAD ではなく WebSphere ユーザー・レジストリーで定義されます。後に、アプリケーション・セキュリティーが有効になった場合、WebSphere Application Server のユーザー・レジストリーはそれらのユーザー ID も保持します。
このオプションは、サーバーやセルが z/OS と z/OS 以外が混在するシステムに常駐する場合のほか、LDAP またはカスタム・ユーザー・レジストリーを実装して初期レジストリーを置き換えることを計画しているお客様にも適しています。(LDAP またはカスタム・ユーザー・レジストリーを SAF へマッピングする ID と共に実装することを計画しているお客様は、 カスタマイズ中に z/OS 管理のセキュリティーを選択する必要があります。上記を参照してください。)
このオプションが カスタマイズ中に選択されている場合、ファイル・ベースのユーザー・レジストリーが 構成ファイル・システムに作成されます。
管理者ユーザー ID は、ファイル・ベースのユーザー・レジストリーに追加されます。
管理者ユーザー ID は、許可されたコンソール・ユーザーのリストに追加されます。
サーバーの自己署名デジタル証明書は、WebSphere Application Server によって構成ファイル・システムで自動的に作成されます。
オプション 3: セキュリティーを有効にしない
このオプションが 選択されている場合、管理セキュリティーは構成されません。管理コンソール・ポートへの アクセス権を持つすべてのユーザーは、サーバーまたはセル構成を変更することができます。