初期セキュリティー構成

3 つの初期セキュリティー・オプションおよびそれぞれの構成の影響について理解します。

初期セル・カスタマイズ中に管理セキュリティーを使用可能にする オプションがあるインストール時には、この手順は 「すぐに使用可能なセキュリティー」と呼ばれます。これは、セキュリティーが有効になっていない場合に 発生する可能性がある無許可の変更からセルを保護します。

新規スタンドアロン・アプリケーション・サーバーまたは Network Deployment セルが作成される場合、WebSphere® Application Server for z/OS® には初期セキュリティーの選択項目が 3 つあります。
  • z/OS セキュリティー製品を使用してユーザー ID および許可ポリシーを管理
  • WebSphere Application Server を使用してユーザー ID および許可ポリシーを管理
  • セキュリティーを有効にしない

この項では、3 つの初期セキュリティー・オプションおよびそれぞれの構成の影響について 説明します。

WebSphere Application Server for z/OS では、オペレーティング・システム・セキュリティーを提供するために、常に SAF 準拠のセキュリティー・システムを必要とします。以下は、選択するセキュリティー・オプションに関係なく行われます。
  • WebSphere Application Server 開始タスクの SAF ユーザー ID は常にカスタマイズ中に作成されます。
  • SAF グループは、構成、サーバント、およびローカル・ユーザー・グループ用に作成され、 カスタマイズ中に作成され、必要な許可が付与されます。
  • SAF SERVER プロファイルは、コントローラー領域へのサーバント・アクセスを制御するために使用されます。
  • カスタマイズ中にデーモン SSL が選択される場合、デーモンの鍵リングおよびデジタル証明書が SAF に作成されます。
注: 各初期セキュリティー構成は基本的なものであり、カスタマイズ中にいくつかの選択が必要です。 構成が完了した後、セルのセキュリティー・ポリシーをエンタープライズのニーズに一致させる には、通常、追加の作業が必要です。 詳しくは、インフォメーション・センターのセキュリティー・セクションを参照してください。

オプション 1: z/OS セキュリティー製品を使用してユーザー ID および許可ポリシーを管理

このオプションがカスタマイズ中に選択されている場合は、以下のようになります。
  1. WebSphere Application Server の各ユーザーおよびグループ ID は、z/OS システムの SAF 準拠のセキュリティー・システム (IBM の RACF®、または同等の製品) 内のユーザー ID またはグループに対応しています。
  2. WebSphere Application Server ロールへのアクセスは、SAF EJBROLE プロファイルを使用して制御されます。
  3. SSL 通信のデジタル証明書は、z/OS セキュリティー製品に保管されます。

z/OS システムのセキュリティー製品は常に、WebSphere Application Server for z/OS の開始タスク ID、およびロケーション・サービス・デーモンのデジタル証明書 (デーモン SSL が選択される場合) を制御するために使用されます。ただし、このセキュリティー・オプションが選択されている場合、WebSphere Application Server のすべての管理者および管理グループも SAF に定義されなければなりません。後に、アプリケーション・セキュリティーが 有効になった場合、SAF セキュリティー・データベースはそれらのユーザー ID も同様に保持します。

このオプションは、サーバーまたはセルが完全に z/OS システム上に常駐し、ユーザー・レジストリーとして SAF を持つ場合に適しています。LDAP やカスタム・ユーザー・レジストリーの実装を計画しており、WebSphere Application Server ID を SAF ID にマップして許可に EJBROLE プロファイルを使用する予定のお客様は、初期 SAF EJBROLE セットアップが実行されるように、このオプションも選択する必要があります。

このオプションがカスタマイズ中に選択されている場合、以下の SAF ユーザー ID が作成されます。
  • 管理者ユーザー ID
  • 認証されていない WebSphere Application Server ID を表す無許可ユーザー ID
管理ロール (管理者、構成、デプロイヤー、モニター、およびオペレーター) の SAF EJBROLE プロファイルが 作成され、管理ユーザー ID に管理ロールが付与されます。

SAF CBIND プロファイルが作成され、構成グループに付与されます。

デジタル証明書が、各サーバー・コントローラー (デプロイメント・マネージャーまたはアプリケーション・サーバー・コントローラー) の SAF セキュリティー・システムに作成されます。

デジタル鍵リングは、管理者、コントローラー、コントローラー領域付加属性、およびサーバー・ユーザーの SAF セキュリティー・システムで作成され、これらの鍵リングに適切な証明書が付加されます。

SAF プロファイル接頭部は、このオプションが選択されているときに指定される場合があります。SAF プロファイル接頭部は、許可検査に使用 される APPL、CBIND、および EJBROLE プロファイル名の一部になります。

オプション 2: WebSphere Application Server を使用してユーザー ID および許可ポリシーを管理

このオプションがカスタマイズ中に選択されている場合は、以下のようになります。
  1. WebSphere Application Server の各ユーザーおよびグループ ID は、WebSphere Application Server ユーザー・レジストリーのエントリーに対応しています。初期ユーザー・レジストリーは単純なファイル・ベースのユーザー・レジストリーで、 カスタマイズ中に作成され、構成ファイル・システムに常駐します。
  2. WebSphere Application Server ロールへのアクセスは、WebSphere Application Server ロール・バインディングを使用して制御されます。特に、管理ロールは管理コンソールの Console users and groups 設定を使用して制御されます。
  3. SSL 通信のデジタル証明書は、構成ファイル・システムに保管されます。

z/OS システムのセキュリティー製品は常に、WebSphere Application Server for z/OS の開始タスク ID、およびロケーション・サービス・デーモンのデジタル証明書 (デーモン SSL が選択される場合) を制御するために使用されます。ただし、このセキュリティー・オプションが選択されている場合、管理アクセス用のすべての WebSphere Application Server ユーザーおよびグループは、SAD ではなく WebSphere ユーザー・レジストリーで定義されます。後に、アプリケーション・セキュリティーが有効になった場合、WebSphere Application Server のユーザー・レジストリーはそれらのユーザー ID も保持します。

このオプションは、サーバーやセルが z/OS と z/OS 以外が混在するシステムに常駐する場合のほか、LDAP またはカスタム・ユーザー・レジストリーを実装して初期レジストリーを置き換えることを計画しているお客様にも適しています。(LDAP またはカスタム・ユーザー・レジストリーを SAF へマッピングする ID と共に実装することを計画しているお客様は、 カスタマイズ中に z/OS 管理のセキュリティーを選択する必要があります。上記を参照してください。)

このオプションが カスタマイズ中に選択されている場合、ファイル・ベースのユーザー・レジストリーが 構成ファイル・システムに作成されます。

管理者ユーザー ID は、ファイル・ベースのユーザー・レジストリーに追加されます。

管理者ユーザー ID は、許可されたコンソール・ユーザーのリストに追加されます。

サーバーの自己署名デジタル証明書は、WebSphere Application Server によって構成ファイル・システムで自動的に作成されます。

オプション 3: セキュリティーを有効にしない

このオプションが 選択されている場合、管理セキュリティーは構成されません。管理コンソール・ポートへの アクセス権を持つすべてのユーザーは、サーバーまたはセル構成を変更することができます。

カスタマイズ後のセキュリティー・セットアップをお勧めします。

WebSphere Application Server の初期セキュリティー・セットアップ・オプションは非常に基本的で、初期管理セキュリティーの提供のみを目的としています。ご使用のサーバーまたはセルが稼働した後、次のことを行えます。
  • 別のユーザー・レジストリーに切り換えます。SAF セキュリティー・データベースまたはファイル・ベースのレジストリーの代わりに、 LDAP またはカスタム・ユーザー・レジストリーを使用できます。
  • 追加の管理者を定義するか、管理ロールを配布します。
  • アプリケーション・セキュリティーを実装します。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-zos&topic=rins_initsec
ファイル名:rins_initsec.html