IBM WebSphere InterChange Server に追加された主要な機能の 1
つは、役割ベース・アクセス制御 (RBAC)
と呼ばれる、役割を使用してシステムにアクセスするユーザーの許可を認可する機能です。役割は、管理者が容易に定義することができ、ユーザー・グループに割り当てることにより、キー・コンポーネントへのアクセスを検証済みのユーザーのみに制限することができます。役割は、機能関連と共に割り当てることにより、管理負担を大幅に削減することができます。役割を個人または複数のユーザーに割り当てることにより、役割の定義に組み込まれているシステムのコンポーネントにのみ、それらのユーザーのアクセスを許可することができます。
RBAC
機能を使用することにより、管理者、または管理者役割の許可を持つユーザーのみが、ユーザーを作成して役割を割り当てることができます。RBAC
がサーバーでアクティブになっていない場合は、任意のユーザーが検証なしでユーザーと役割を作成できます。
- 注:
- InterChange Server の RBAC をアクティブ化すると、RBAC 実行時の状況が System
Manager 画面に表示されます。
役割ベース・アクセス制御の構成方法については、RBAC セキュリティーの構成手順を参照してください。役割ベース・アクセス制御の概念と機能の詳細については、「テクニカル入門
(IBM WebSphere InterChange Server)」を参照してください。
- 注:
- Failed Events Manager は、RBAC
機能を使用して、失敗したイベント情報へのアクセス制御を管理する役割を設定します。Failed
Events Manager
の詳細については、「問題判別ガイド」を参照してください。
このセクションの内容は次のとおりです。
RBAC の設定手順
RBAC の非アクティブ化手順
"役割の管理"
"ユーザーの管理"
"ユーザーおよび役割の割り当ての管理"
"セキュリティー・ポリシー許可の管理"
"メンバーシップとセキュリティー・ポリシー情報の管理"
RBAC パスワードの管理
セキュリティー管理
RBAC を設定する前に、少なくとも 1
人のユーザーに管理者役割を割り当てておく必要があります。管理者役割が割り当てられているユーザーが存在しないと、サーバーは常に
RBAC
を使用不可にしてリブートします。役割ベース・アクセス制御を設定するには、以下のステップを実行します。
- 「セキュリティー RBAC (Security-RBAC)」タブで、「RBAC
の使用可能化」のチェック・ボックスを選択します。
- 役割ベース・アクセス制御を適用するユーザー・レジストリー、つまり「リポジトリー」または「LDAP」を選択します。
- 注:
- LDAP
ユーザー・レジストリーを選択する場合は、正常な機能を確保するために、サーバーのプライバシー鍵ストアが設定されていることを確認する必要があります。
- 「サーバー開始ユーザー名 (Server Start User
Name)」フィールドに、サーバーを始動するユーザー名を入力します。
- 「サーバー開始パスワード」フィールドに、開始ユーザー名に関連付けられているパスワードを入力します。
- 「リポジトリー」を選択した場合は、以下のフィールドに詳細を入力します。
- ホスト名
- データベース
- ポート番号
- ユーザー名
- パスワード
- 最大接続。ユーザーが開くことのできる最大接続数
- 最大接続再試行回数。接続の開始を試みることのできる最大試行回数
- 接続再試行間隔。接続を再試行するまでの時間間隔
- 「LDAP」を選択した場合は、以下のフィールドに詳細を入力します。
- LDAP URL。LDAP インストールの URL
- ユーザー名。ユーザー・アカウント、大/小文字の区別なし
- パスワード。ユーザー・アカウント用のパスワード
- ユーザーベース DN。ベース識別名、すべての検索と更新の root として動作
- ユーザー名属性。InterChange Server
がユーザー名として使用するスキーマの属性
- 検索条件。LDAP ユーザーを検索する場合に使用するオプションの検索条件
- 戻される最大検索数。検索処理によって戻される最大項目数
- SSL。True に設定されている場合は、SSL
プロトコルを使用して接続を保護
- 監査設定をオンにするには、「監査の使用可能化」チェック・ボックスを選択し、以下のフィールドに詳細を入力します。
- 監査ログ・ディレクトリー。監査ログ・ファイルのパス
- 監査ログの頻度。例えば、日次、週次、または月次
- 監査ファイルのサイズ。MB 単位での監査ファイルの最大サイズ
RBAC を非アクティブ化するには、以下のステップを実行します。
- 「セキュリティー RBAC (Security-RBAC)」タブで、「RBAC
の使用可能化」のチェック・ボックスを選択します。RBAC
機能を使用不可にすると、表示されているすべてのフィールドがグレー化されます。
役割ベースのアクセス制御 (RBAC)
は、複数ユーザーおよび役割をベースにした拡張セキュリティー機能をサポートします。役割は、共通の機能を共用するユーザーの集合です。役割に機能を割り当てると、許可の割り当て時に管理者の負担が軽減されるので、管理者の作業効率を高めることができます。
サーバーの機能に役割が不要になった場合は、リストからその役割を削除することができます。役割を一度削除すると、すべての役割参照が該当するユーザーから除去されます。
- 注:
- Failed Events Manager は、RBAC
機能を使用して、失敗したイベント情報へのアクセス制御を管理する役割も設定します。Failed
Events Manager
の詳細については、「問題判別ガイド」を参照してください。
役割を作成するには、以下のステップを実行します。
- コンテキスト・メニューで「新規役割」を選択します。「役割名」ダイアログ・ボックスが表示されます。
- 役割名を入力します。一度役割に名前を付けたあとは、名前変更できません。
- 必要な場合は役割の説明を入力します。役割の説明はオプションのフィールドです。
役割を削除するには、以下のステップを実行します。
- 注:
- administrator
役割はデフォルトであり、削除できません。大文字小文字が区別されます。
- コンテキスト・メニューで、「役割の削除」を選択します。
- 役割名を選択します。一度役割を削除すると、リストアできません。
「ユーザーおよび役割の管理 (User and Roles
Management)」画面には、役割がツリー表示のディレクトリーで下方にリストされます。ユーザーを任意の数の役割に割り当てることができます。役割に割り当てられたユーザーは、割り当て先の役割の下のツリー形式ディレクトリーにリスト表示され、許可と責任を容易にスキャンできるようになっています。
また、RBAC
機能で使用するために、ユーザー情報をインポートまたはエクスポートできます。
RBAC にユーザーを追加するには、以下のステップを実行します。
- コンテキスト・メニューで、「新規ユーザー」を選択します。「新規ユーザー」ダイアログ・ボックスが表示されます。
- 「ユーザー名」フィールドにユーザー名を入力します。
- 「パスワード」フィールドで、ユーザーに対するパスワードを入力します。
RBAC からユーザーを削除するには、以下のステップを実行します。
- 注:
- Guest は唯一のデフォルト・ユーザーであり、削除できません。
- コンテキスト・メニューで、「ユーザーを削除」を選択します。
- ユーザー名を選択します。これにより、割り当て済みのすべての役割からユーザーが除去されます。
ユーザーとパスワードを RBAC
にインポートするには、以下のステップを実行します。
- 注:
- DATABASE
がユーザー・レジストリーの場合は、ユーザーをインポートするためのサポートが使用可能です。ただし、この機能は
LDAP
ユーザー・レジストリーをサポートしていません。セントラル・ユーザー・レジストリー・データベースまたはセントラル
LDAP レジストリーを作成して、さまざまな InterChange Server
マシン全体にユーザー・レジストリーを転送する代わりに、複数の InterChange
Server
マシンでこのセントラル・リポジトリーを使用できるようにすることをお勧めします。
- コンテキスト・メニューで、「インポート」>>「ユーザー・レジストリー」を選択します。表示される「インポート」ダイアログ・ボックスで、バイナリー・ファイルへのパスを指定します。InterChange
Server を実行しているサーバー・マシンで有効なパスを入力してください。
- インポートするファイルを選択します。
ユーザーとパスワードを RBAC
からエクスポートするには、以下のステップを実行します。
- 注:
- DATABASE
がユーザー・レジストリーの場合は、ユーザーをエクスポートするためのサポートが使用可能です。ただし、この機能は
LDAP
ユーザー・レジストリーをサポートしていません。セントラル・ユーザー・レジストリー・データベースまたはセントラル
LDAP レジストリーを作成して、さまざまな InterChange Server
マシン全体にユーザー・レジストリーを転送する代わりに、複数の InterChange
Server
マシンでこのセントラル・リポジトリーを使用できるようにすることをお勧めします。
- コンテキスト・メニューで、「エクスポート」>>「ユーザー・レジストリー」を選択します。表示される「エクスポート」ダイアログ・ボックスで、ファイル・パスを指定することができます。
- ファイルのエクスポート先を選択します。InterChange Server
を実行しているサーバー・マシンで有効なパスを入力してください。
使用可能なユーザーに役割を割り当てることにより、個々の許可を重要な機能に割り当てる管理者の負担が著しく軽減されます。ユーザーには数多くの役割を割り当てることができ、すべてはユーザーのログイン
ID
によって規制されます。役割に割り当てられたユーザーは、割り当てられた役割の下のツリー・ディレクトリーにリストされます。ユーザーに役割を割り当てるには、以下のステップを実行します。
ユーザーに役割を割り当てるには、以下のステップを実行します。
- コンテキスト・メニューで、役割を割り当てるユーザーを選択します。
- 「役割の追加」を選択します。「役割の追加」ダイアログ・ボックスが表示され、使用可能なすべての役割がリストされます。
- 1
つまたは複数の役割を選択してユーザーに割り当てます。これにより、割り当てられたユーザーが役割表示の下にリストされます。
役割リストからユーザーを除去するには、以下のステップを実行します。
- コンテキスト・メニューで、役割許可から除去するユーザーを選択します。
- 「役割の除去」を選択します。役割リストからユーザーが除去され、ユーザー・プロファイルからすべての役割許可が除去されます。
管理者ユーザーは、RBAC
内のデフォルト役割に許可を割り当てることができます。こうしたセキュリティー・ポリシーは、各役割がアクセスを許可されている操作と一緒に、ツリー・ディレクトリーにリストされます。
表 23 に、サーバーで保護されることが可能な操作のリストを示します。
表 23. 保護されたサーバー操作
保護可能コンポーネント
| アクセス制御操作
|
サーバー
|
- 開始
- シャットダウン
- セキュリティー/ユーザーの管理/役割
- モニター
- 失敗したイベントの表示
- 配置
- エクスポート
- 削除
- コンパイル
- 構成ファイルのエクスポート
- 構成ファイルの配置
|
コラボレーション・テンプレート
|
- コンパイル
|
コラボレーション・オブジェクト
|
- 開始
- 停止
- 一時停止
- シャットダウン
- 実行 (AccessFramework 呼び出し)
- トランザクション状況の解決
- 失敗したイベントのサブミット
- 失敗したイベントの削除
- LLBP フローのキャンセル
|
コネクター
|
- 開始
- 停止
- 一時停止
- エージェントをシャットダウン
- 失敗したイベントのサブミット
- 失敗したイベントの削除
|
ビジネス・オブジェクト
|
|
マップ
|
- コンパイル
- 開始
- 停止
|
関係
|
- 開始
- 停止
|
BenchMark
|
- 開始
- 停止
|
スケジューラー
|
|
DBConnectionCache
|
|
管理者は、任意の許可サーバーから、RBAC
機能で使用するメンバーシップとセキュリティー・ポリシー情報をインポートできます。したがって、メンバーシップとセキュリティー・ポリシー情報をファイルにエクスポートして、追加のサーバーまたはストレージで使用することができます。
メンバーシップまたはセキュリティー・ポリシー情報をインポートするには、以下のステップを実行します。
- コンテキスト・メニューで、「役割のインポート (Import
Roles)」と「セキュリティー・ポリシー」を選択します。表示される「インポート」ダイアログ・ボックスで、ファイル・パスを指定することができます。
- インポートするファイルを選択します。「ユーザー/役割管理」ビューがアクティブのときに情報をインポートする場合は、ビューを一度閉じて再び開くまで、変更内容は表示されません。
- 注:
- また、-xmsp オプションを指定した repos_copy
を使用して情報をインポートすることもできます。repos_copy
の使用についての詳細は、repos_copy の使用を参照してください。
メンバーシップまたはセキュリティー・ポリシー情報をエクスポートするには、以下のステップを実行します。
- コンテキスト・メニューで、「役割とセキュリティー・ポリシーのエクスポート
(Export Roles and Security
Policy)」を選択します。表示される「エクスポート」ダイアログ・ボックスで、ファイル・パスを指定することができます。
- ファイルのエクスポート先を選択します。
- 注:
- また、-xmsp オプションを指定した repos_copy
を使用して情報をエクスポートすることもできます。repos_copy
の使用についての詳細は、repos_copy の使用を参照してください。
RBAC
の各ユーザーには、関連付けられたパスワードがあります。ユーザーがサーバーにログインする場合は、パスワードを使用してユーザーに割り当てられた役割が検証されます。場合によっては、ユーザー・パスワードの変更またはリセットが必要になることもあります。ユーザー・パスワードをリセットするには、以下のステップを実行します。
- コンテキスト・メニューで、パスワードをリセットするユーザーを強調表示させます。
- 「パスワードのリセット」を選択します。「パスワードのリセット」ダイアログ・ボックスが、ユーザー名が入力された状態で表示されます。
- 「新規パスワード」フィールドに、新規パスワードを入力します。
- 「確認パスワード」フィールドに、新規パスワードをもう一度入力します。パスワードがリセットされます。
管理者ユーザーは、セキュリティー管理機能を使用して、RBAC
の役割の使用状況をモニターすることができます。InterChange Server
ではアクティブ・ユーザーが表形式でリストされ、ユーザー名、セッション
ID、およびユーザーがサーバーにログオンしてからの経過時間が表示されます。
- 注:
- ユーザー・リストをときどき最新表示に切り替え、ユーザー表示の正確さを保つようお勧めします。ユーザー・リストを最新表示にするには、コンテキスト・メニューで「最新表示」オプションを選択します。
アクティブ・ユーザーを表示するには、以下のステップを実行します。
- コンテキスト・メニューで、「セキュリティー管理」を選択します。すべてのアクティブ・ユーザーを表形式で表示したダイアログ・ボックスが開きます。
サーバーからアクティブ・ユーザーをログオフするには、以下のステップを実行します。
- すべてのセッションからユーザーをログアウトさせるには、「ログアウト」コンテキスト・メニューを選択します。
- 選択したセッションからユーザーをログアウトさせるには、「セッションのログアウト
(Log Out Session)」コンテキスト・メニューを選択します。
