セキュリティー記述子 XML ファイルを使用して、セキュリティーを使用可能にした eXtreme Scale デプロイメント・トポロジーを構成できます。
このファイルの中のエレメントを使用して、セキュリティーのさまざまな側面を構成できます。
securityConfig エレメント
securityConfig エレメントは、ObjectGrid セキュリティー XML ファイルの最上位エレメントです。このエレメントは、ファイルの名前空間とスキーマ・ロケーションをセットアップします。
スキーマは
objectGridSecurity.xsd ファイルで定義されます。
- 出現回数: 1 回
- 子エレメント: security
security エレメント
security エレメントは、ObjectGrid セキュリティーの定義に使用します。
- 出現回数: 1 回
- 子エレメント: authenticator、adminAuthorization、および systemCredentialGenerator
属性- securityEnabled
- true に設定されているとき、グリッドのセキュリティーを使用可能にします。
デフォルト値は false です。値を false に設定すると、グリッド全体のセキュリティーが使用不可になります。
詳しくは、データ・グリッド・セキュリティーを参照してください。
(オプション)
- singleSignOnEnabled
- 値が true に設定されている場合は、クライアントがいずれか 1 つのサーバーに認証されると、その後、クライアントは任意のサーバーに接続できるようになります。
そうでない場合は、クライアントは接続のたびに各サーバーに対して認証を行う必要があります。デフォルト値は false です。(オプション)
- loginSessionExpirationTime
- ログイン・セッションが期限切れになるまでの時間を秒数で指定します。
ログイン・セッションの有効期限が切れると、クライアントは再度認証する必要があります。(オプション)
- adminAuthorizationEnabled
- 管理許可を使用可能にします。
この値が true に設定されている場合は、すべての管理用タスクに許可が必要です。
使用される許可メカニズムは、adminAuthorizationMechanism 属性の値により指定されます。デフォルト値は false です。(オプション)
- adminAuthorizationMechanism
- 使用する許可メカニズムを示します。WebSphere® eXtreme
Scale は、2 種類の許可メカニズム、すなわち、
Java 認証・承認サービス (JAAS) とカスタム許可をサポートします。JAAS 許可メカニズムは、標準の JAAS ポリシー・ベースのアプローチを使用します。
許可メカニズムとして JAAS を指定するには、値に AUTHORIZATION_MECHANISM_JAAS を設定します。
カスタム許可メカニズムは、ユーザー・プラグイン AdminAuthorization 実装を使用します。カスタム許可メカニズムを指定するには、値に AUTHORIZATION_MECHANISM_CUSTOM を設定します。
これら 2 つのメカニズムがどのように使用されるかについての詳細は、アプリケーション・クライアントの許可を参照してください。(オプション)
以下の
security.xml ファイルは、
データ・グリッド・セキュリティーを使用可能にするためのサンプル構成です。
security.xml
<?xml version="1.0" encoding="UTF-8"?>
<securityConfig xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://ibm.com/ws/objectgrid/config/security ../objectGridSecurity.xsd"
xmlns="http://ibm.com/ws/objectgrid/config/security">
<security securityEnabled="true" singleSignOnEnabled="true"
loginSessionExpirationTime="20"
adminAuthorizationEnabled="true"
adminAuthorizationMechanism="AUTHORIZATION_MECHANISM_JAAS" >
<authenticator className ="com.ibm.websphere.objectgrid.security.plugins.
builtins.WSTokenAuthenticator">
</authenticator>
<systemCredentialGenerator className ="com.ibm.websphere.objectgrid.security.
plugins.builtins.WSTokenCredentialGenerator">
<property name="properties" type="java.lang.String" value="runAs"
description="Using runAs subject" />
</systemCredentialGenerator>
</security>
</securityConfig>
authenticator エレメント
データ・グリッド内の eXtreme Scale サーバーに対してクライアントを認証します。
className 属性によって指定されるクラスは、
com.ibm.websphere.objectgrid.security.plugins.Authenticator インターフェースを実装している必要があります。
オーセンティケーターはプロパティーを使用し、className 属性によって指定されるクラスのメソッドを呼び出すことができます。
プロパティーの使用について詳しくは、property エレメントを参照してください。
前記の security.xml ファイルの例では、com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenAuthenticator クラスがオーセンティケーターとして指定されています。このクラスは com.ibm.websphere.objectgrid.security.plugins.Authenticator インターフェースを実装します。
- 出現回数: 0 回または 1 回
- 子エレメント: property
属性- className
- com.ibm.websphere.objectgrid.security.plugins.Authenticator インターフェースを実装するクラスを指定します。
このクラスを使用して、eXtreme Scale グリッド内のサーバーに対してクライアントを認証します。(必須)
adminAuthorization エレメント
adminAuthorization エレメントは、データ・グリッドへの管理アクセスをセットアップする場合に使用します。
- 出現回数: 0 回または 1 回
- 子エレメント: property
属性- className
- com.ibm.websphere.objectgrid.security.plugins.AdminAuthorization インターフェースを実装するクラスを指定します。
(必須)
systemCredentialGenerator エレメント
systemCredentialGenerator エレメントを使用すると、システム資格情報生成プログラムがセットアップされます。このエレメントは、動的環境にのみ適用されます。動的構成モデルでは、動的コンテナー・サーバーは、
eXtreme Scale クライアントとしてカタログ・サーバーに接続し、カタログ・サーバーもクライアントとして eXtreme Scale コンテナー・サーバーに接続できます。
このシステム資格情報生成プログラムは、システム資格情報のファクトリーを表すために使用します。
- 出現回数: 0 回または 1 回
- 子エレメント: property
属性- className
- com.ibm.websphere.objectgrid.security.plugins.CredentialGenerator インターフェースを実装するクラスを指定します。
(必須)
systemCredentialGenerator の使用例については、前の security.xml をファイル参照してください。この例では、システム資格情報生成プログラムは com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredentialGenerator クラスです。このクラスはスレッドから RunAs Subject オブジェクトを取得します。
property エレメント
authenticator クラスおよび
adminAuthorization クラスにおいて
set メソッドを呼び出します。
プロパティーの名前は、authenticator エレメントまたは adminAuthorization エレメントの
className 属性の set メソッドに対応しています。
- 出現回数: 0 回以上
- 子エレメント: property
属性- name
- プロパティーの名前を指定します。この属性に割り当てられる値は、このプロパティーを含む Bean の className 属性で指定されたクラスの set メソッドと対応している必要があります。例えば、Bean の className 属性が com.ibm.MyPlugin に設定され、指定されているプロパティーの名前が size である場合、com.ibm.MyPlugin クラスには setSize メソッドが必要です。(必須)
- type
- プロパティーのタイプを指定します。
パラメーターのタイプは、name 属性により識別される set メソッドに渡されます。有効な値は、
Java プリミティブ、それに対応する java.lang プリミティブ、および java.lang.String です。name 属性と type 属性は、Bean の className 属性のメソッド・シグニチャーに対応していなければなりません。
例えば、名前が size であり、タイプが int である場合は、Bean の className 属性で指定されたクラスに setSize(int) メソッドが存在している必要があります。(必須)
- value
- プロパティーの値を指定します。
この値は type 属性によって指定されたタイプに変換され、
次に name 属性と type 属性で識別された set メソッドへの呼び出しでパラメーターとして使用されます。
この属性の値は、どんな方法でも妥当性検査されません。
プラグイン・インプリメンターは、渡された値が有効であることを検証しなければなりません。
(必須)
- description
- プロパティーの説明を入力します。
(オプション)
詳しくは、objectGridSecurity.xsd ファイルを参照してください。