< 前へ | 次へ >

レッスン 2.2: カタログ・サーバー・セキュリティーの構成

カタログ・サーバーには、2 つの異なるレベルのセキュリティー情報があります。 第 1 レベルの情報には、カタログ・サービスとコンテナー・サーバーを含む すべての WebSphere® eXtreme Scale サーバーに共通する セキュリティー・プロパティーが含まれます。第 2 レベルの情報には、カタログ・サーバーに 固有のセキュリティー・プロパティーが含まれます。

カタログ・サーバーとコンテナー・サーバーに共通する セキュリティー・プロパティーは、セキュリティー XML 記述子ファイル内に構成します。共通プロパティーの 例の 1 つは、ユーザー・レジストリーと認証メカニズムを表すオーセンティケーター構成です。 セキュリティー・プロパティーの詳細については、セキュリティー記述子 XML ファイルを参照してください。

Java SE 環境で セキュリティー XML 記述子ファイルを構成するには、startOgServer コマンドの 実行時に -clusterSecurityFile オプションを使用します。値はファイル・フォーマット (samples_home/security_extauth/security3.xml など) で指定します。

security3.xml ファイル

このチュートリアルで、security3.xml ファイルは、samples_home/security_extauth ディレクトリーにあります。 コメントを削除した security3.xml ファイルの内容を次に示します。
<securityConfig xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://ibm.com/ws/objectgrid/config/security ../objectGridSecurity.xsd"
	xmlns="http://ibm.com/ws/objectgrid/config/security">

	<security securityEnabled="true">
		<authenticator
	className="com.ibm.websphere.objectgrid.security.plugins.builtins.KeyStoreLoginAuthenticator">
		</authenticator>
	</security>
</securityConfig>
security3.xml ファイル内に定義されている プロパティーは次のとおりです。
securityEnabled
securityEnabled プロパティーは true に設定され、WebSphere eXtreme Scale グローバル・セキュリティーが 使用可能なことをカタログ・サーバーに指示します。
authenticator
オーセンティケーターは、com.ibm.websphere.objectgrid.security.plugins.builtins.KeyStoreLoginAuthenticator クラスとして構成されます。 この Authenticator プラグインの組み込み実装により、ユーザー ID とパスワードが渡され、それらが 鍵ストア・ファイル内に構成されているか検査されます。KeyStoreLoginAuthenticator クラスは KeyStoreLogin ログイン・モジュール別名を使用するため、Java 認証・承認サービス (JAAS) ログイン構成が必要です。

catServer3.props ファイル

サーバー・プロパティー・ファイルは、サーバー固有の プロパティーを保管し、これにはサーバー固有のセキュリティー・プロパティーも含まれます。 詳しくは、サーバー・プロパティー・ファイルを参照してください。startOgServer コマンドの 実行時に -serverProps オプションを使用して、カタログ・サーバー・プロパティーを 指定できます。 このチュートリアルの場合、catServer3.props ファイルは C ディレクトリーにあります。コメントを削除した catServer3.props ファイルの内容を次に示します。
securityEnabled=true
credentialAuthentication=Required
transportType=TCP/IP
secureTokenManagerType=none
authenticationSecret=ObjectGridDefaultSecret
securityEnabled
securityEnabled プロパティーは true に設定され、この カタログ・サーバーがセキュア・サーバーであることを示します。
credentialAuthentication
credentialAuthentication プロパティーは Required に設定され、サーバーに 接続するすべてのクライアントが資格情報の提供を要求されます。クライアント・プロパティー・ファイル内では credentialAuthentication の 値が Supported に設定されるため、サーバーはクライアントによって送信された 資格情報を受け取ります。
secureTokenManagerType
secureTokenManagerType は none に設定され、既存のサーバーに 結合するとき認証の機密事項が暗号化されないことを示します。
authenticationSecret
authenticationSecret プロパティーは ObjectGridDefaultSecret に設定されます。 eXtreme Scale サーバー・クラスターに結合するとき、この秘密ストリングが使用されます。 サーバーがデータ・グリッドに結合する場合、秘密ストリングの表示を求められます。結合サーバーの秘密ストリングがカタログ・サーバーのいずれかの秘密ストリングと一致する場合は、結合サーバーは受け入れられます。ストリングが一致しない場合、結合要求は拒否されます。
transportType
transportType プロパティーは、当初 TCP/IP に設定します。 後ほどチュートリアルの中で、トランスポート・セキュリティーを使用可能にします。

xsjaas3.config ファイル

KeyStoreLoginAuthenticator 実装はログイン・モジュールを使用するため、JAAS 認証 ログイン構成ファイルを使用してログイン・モデルを構成する必要があります。xsjaas3.config ファイルの内容を次に示します。

KeyStoreLogin{
com.ibm.websphere.objectgrid.security.plugins.builtins.KeyStoreLoginModule required
     keyStoreFile="samples_home/security_extauth/sampleKS3.jks" debug = true;
};
samples_home/wxs_samples/ 以外の場所を 使用した場合は、keyStoreFile の場所を更新する必要があります。このログイン構成は、ログイン・モジュール として com.ibm.websphere.objectgrid.security.plugins.builtins.KeyStoreLoginModule モジュールを使用する ことを指示します。鍵ストア・ファイルは sampleKS3.jks ファイルに設定されます。

sampleKS3.jks サンプル鍵ストア・ファイルは、2 組の ユーザー ID とパスワード (manager/manager1 と cashier/cashier1) を保管します。

次の keytool コマンドを使用して、この鍵ストアを作成できます。
  • keytool -genkey -v -keystore ./sampleKS3.jks -storepass sampleKS1 
    -alias manager -keypass manager1 -dname CN=manager,O=acme,OU=OGSample 
    -validity 10000
  • keytool -genkey -v -keystore ./sampleKS3.jks -storepass sampleKS1 
    -alias operator -keypass operator1 -dname CN=operator,O=acme,OU=OGSample 
    -validity 10000

セキュリティーが使用可能なカタログ・サーバーを開始する

カタログ・サーバーを開始するには、セキュリティー・プロパティーを渡す -clusterFile および -serverProps パラメーターを 指定して startOgServer コマンドを実行します。

カタログ・サーバーを開始するときはスタンドアロン・インストールの WebSphere eXtreme Scale を使用してください。スタンドアロン・インストール・イメージを使用するときは、IBM SDK を 使用しなければなりません。IBM SDK を指すように JAVA_HOME 変数を設定すると、WebSphere Application Server 内に 組み込まれている SDK を使用できます。例: set JAVA_HOME=was_root/IBM/WebSphere/AppServer/java/
  1. bin ディレクトリーに移動します。
    cd wxs_home/bin
  2. startOgServer コマンドを実行します。
    [Linux][Unix]
    ./startOgServer.sh cs1 -listenerPort 16809 -JMXServicePort 16099 -catalogServiceEndPoints
    cs1:[HOST_NAME]:16601:16602 -clusterSecurityFile samples_home/security_extauth/security3.xml
    -serverProps samples_home/security_extauth/catServer3.props -jvmArgs 
    -Djava.security.auth.login.config="samples_home/security_extauth/xsjaas3.config"
    [Windows]
    startOgServer.bat cs1 -listenerPort 16809 -JMXServicePort 16099 -catalogServiceEndPoints
    cs1:[HOST_NAME]:16601:16602 -clusterSecurityFile samples_home/security_extauth/security3.xml
    -serverProps samples_home/security_extauth/catServer3.props -jvmArgs 
    -Djava.security.auth.login.config="samples_home/security_extauth/xsjaas3.config"
startOgServer コマンドを実行すると、リスナー・ポート 16809、 クライアント・ポート 16601、ピア・ポート 16602、および JMX ポート 16099 を使用する セキュア・サーバーが開始します。ポートが競合する場合は、未使用のポート番号にポート番号を 変更してください。

セキュリティーが使用可能なカタログ・サーバーを停止する

stopOgServer コマンドを使用して、カタログ・サーバーを停止できます。

  1. bin ディレクトリーに移動します。
    cd wxs_home/bin
  2. stopOgServer コマンドを実行します。 [Linux][Unix]
    stopOgServer.sh cs1 -catalogServiceEndPoints localhost:16809 -clientSecurityFile 
    samples_home/security_extauth/client3.props


    [Windows]
    stopOgServer.bat cs1 -catalogServiceEndPoints localhost:16809 -clientSecurityFile 
    samples_home/security_extauth/client3.props

レッスンのチェックポイント

security3.xmlcatServer3.propsxsjaas3.config ファイルを カタログ・サービスに関連付けることで、カタログ・サーバー・セキュリティーを構成しました。

< 前へ | 次へ >