役割ベース・アクセス制御 (RBAC) の管理

IBM WebSphere InterChange Server に追加された主要な機能の 1 つは、役割ベース・アクセス制御 (RBAC) と呼ばれる、役割を使用してシステムにアクセスするユーザーの許可を認可する機能です。役割は、管理者が容易に定義することができ、ユーザー・グループに割り当てることにより、キー・コンポーネントへのアクセスを検証済みのユーザーのみに制限することができます。役割は、機能関連と共に割り当てることにより、管理負担を大幅に削減することができます。役割を個人または複数のユーザーに割り当てることにより、役割の定義に組み込まれているシステムのコンポーネントにのみ、それらのユーザーのアクセスを許可することができます。

RBAC 機能を使用することにより、管理者、または管理者役割の許可を持つユーザーのみが、ユーザーを作成して役割を割り当てることができます。RBAC がサーバーでアクティブになっていない場合は、任意のユーザーが検証なしでユーザーと役割を作成できます。

注:
InterChange Server の RBAC をアクティブ化すると、RBAC 実行時の状況が System Manager 画面に表示されます。

役割ベース・アクセス制御の構成方法については、RBAC セキュリティーの構成手順を参照してください。役割ベース・アクセス制御の概念と機能の詳細については、「テクニカル入門 (IBM WebSphere InterChange Server)」を参照してください。

注:
Failed Events Manager は、RBAC 機能を使用して、失敗したイベント情報へのアクセス制御を管理する役割を設定します。Failed Events Manager の詳細については、「問題判別ガイド」を参照してください。

このセクションの内容は次のとおりです。

RBAC の設定手順

RBAC の非アクティブ化手順

"役割の管理"

"ユーザーの管理"

"ユーザーおよび役割の割り当ての管理"

"セキュリティー・ポリシー許可の管理"

"メンバーシップとセキュリティー・ポリシー情報の管理"

RBAC パスワードの管理

セキュリティー管理

RBAC の設定手順

RBAC を設定する前に、少なくとも 1 人のユーザーに管理者役割を割り当てておく必要があります。管理者役割が割り当てられているユーザーが存在しないと、サーバーは常に RBAC を使用不可にしてリブートします。役割ベース・アクセス制御を設定するには、以下のステップを実行します。

  1. 「セキュリティー RBAC (Security-RBAC)」タブで、「RBAC の使用可能化」のチェック・ボックスを選択します。
  2. 役割ベース・アクセス制御を適用するユーザー・レジストリー、つまり「リポジトリー」または「LDAP」を選択します。
    注:
    LDAP ユーザー・レジストリーを選択する場合は、正常な機能を確保するために、サーバーのプライバシー鍵ストアが設定されていることを確認する必要があります。
  3. 「サーバー開始ユーザー名 (Server Start User Name)」フィールドに、サーバーを始動するユーザー名を入力します。
  4. 「サーバー開始パスワード」フィールドに、開始ユーザー名に関連付けられているパスワードを入力します。
  5. 「リポジトリー」を選択した場合は、以下のフィールドに詳細を入力します。
  6. 「LDAP」を選択した場合は、以下のフィールドに詳細を入力します。
  7. 監査設定をオンにするには、「監査の使用可能化」チェック・ボックスを選択し、以下のフィールドに詳細を入力します。

RBAC の非アクティブ化手順

RBAC を非アクティブ化するには、以下のステップを実行します。

  1. 「セキュリティー RBAC (Security-RBAC)」タブで、「RBAC の使用可能化」のチェック・ボックスを選択します。RBAC 機能を使用不可にすると、表示されているすべてのフィールドがグレー化されます。

役割の管理

役割ベースのアクセス制御 (RBAC) は、複数ユーザーおよび役割をベースにした拡張セキュリティー機能をサポートします。役割は、共通の機能を共用するユーザーの集合です。役割に機能を割り当てると、許可の割り当て時に管理者の負担が軽減されるので、管理者の作業効率を高めることができます。

サーバーの機能に役割が不要になった場合は、リストからその役割を削除することができます。役割を一度削除すると、すべての役割参照が該当するユーザーから除去されます。

注:
Failed Events Manager は、RBAC 機能を使用して、失敗したイベント情報へのアクセス制御を管理する役割も設定します。Failed Events Manager の詳細については、「問題判別ガイド」を参照してください。

役割の作成手順

役割を作成するには、以下のステップを実行します。

  1. コンテキスト・メニューで「新規役割」を選択します。「役割名」ダイアログ・ボックスが表示されます。
  2. 役割名を入力します。一度役割に名前を付けたあとは、名前変更できません。
  3. 必要な場合は役割の説明を入力します。役割の説明はオプションのフィールドです。

役割の削除手順

役割を削除するには、以下のステップを実行します。

注:
administrator 役割はデフォルトであり、削除できません。大文字小文字が区別されます。
  1. コンテキスト・メニューで、「役割の削除」を選択します。
  2. 役割名を選択します。一度役割を削除すると、リストアできません。

ユーザーの管理

「ユーザーおよび役割の管理 (User and Roles Management)」画面には、役割がツリー表示のディレクトリーで下方にリストされます。ユーザーを任意の数の役割に割り当てることができます。役割に割り当てられたユーザーは、割り当て先の役割の下のツリー形式ディレクトリーにリスト表示され、許可と責任を容易にスキャンできるようになっています。

また、RBAC 機能で使用するために、ユーザー情報をインポートまたはエクスポートできます。

ユーザーの追加手順

RBAC にユーザーを追加するには、以下のステップを実行します。

  1. コンテキスト・メニューで、「新規ユーザー」を選択します。「新規ユーザー」ダイアログ・ボックスが表示されます。
  2. 「ユーザー名」フィールドにユーザー名を入力します。
  3. 「パスワード」フィールドで、ユーザーに対するパスワードを入力します。

ユーザーの削除手順

RBAC からユーザーを削除するには、以下のステップを実行します。

注:
Guest は唯一のデフォルト・ユーザーであり、削除できません。
  1. コンテキスト・メニューで、「ユーザーを削除」を選択します。
  2. ユーザー名を選択します。これにより、割り当て済みのすべての役割からユーザーが除去されます。

ユーザーおよびパスワードのインポート手順

ユーザーとパスワードを RBAC にインポートするには、以下のステップを実行します。

注:
DATABASE がユーザー・レジストリーの場合は、ユーザーをインポートするためのサポートが使用可能です。ただし、この機能は LDAP ユーザー・レジストリーをサポートしていません。セントラル・ユーザー・レジストリー・データベースまたはセントラル LDAP レジストリーを作成して、さまざまな InterChange Server マシン全体にユーザー・レジストリーを転送する代わりに、複数の InterChange Server マシンでこのセントラル・リポジトリーを使用できるようにすることをお勧めします。
  1. コンテキスト・メニューで、「インポート」>>「ユーザー・レジストリー」を選択します。表示される「インポート」ダイアログ・ボックスで、バイナリー・ファイルへのパスを指定します。InterChange Server を実行しているサーバー・マシンで有効なパスを入力してください。
  2. インポートするファイルを選択します。

ユーザーおよびパスワードのエクスポート手順

ユーザーとパスワードを RBAC からエクスポートするには、以下のステップを実行します。

注:
DATABASE がユーザー・レジストリーの場合は、ユーザーをエクスポートするためのサポートが使用可能です。ただし、この機能は LDAP ユーザー・レジストリーをサポートしていません。セントラル・ユーザー・レジストリー・データベースまたはセントラル LDAP レジストリーを作成して、さまざまな InterChange Server マシン全体にユーザー・レジストリーを転送する代わりに、複数の InterChange Server マシンでこのセントラル・リポジトリーを使用できるようにすることをお勧めします。
  1. コンテキスト・メニューで、「エクスポート」>>「ユーザー・レジストリー」を選択します。表示される「エクスポート」ダイアログ・ボックスで、ファイル・パスを指定することができます。
  2. ファイルのエクスポート先を選択します。InterChange Server を実行しているサーバー・マシンで有効なパスを入力してください。

ユーザーおよび役割の割り当ての管理

使用可能なユーザーに役割を割り当てることにより、個々の許可を重要な機能に割り当てる管理者の負担が著しく軽減されます。ユーザーには数多くの役割を割り当てることができ、すべてはユーザーのログイン ID によって規制されます。役割に割り当てられたユーザーは、割り当てられた役割の下のツリー・ディレクトリーにリストされます。ユーザーに役割を割り当てるには、以下のステップを実行します。

ユーザーへの役割の割り当て手順

ユーザーに役割を割り当てるには、以下のステップを実行します。

  1. コンテキスト・メニューで、役割を割り当てるユーザーを選択します。
  2. 「役割の追加」を選択します。「役割の追加」ダイアログ・ボックスが表示され、使用可能なすべての役割がリストされます。
  3. 1 つまたは複数の役割を選択してユーザーに割り当てます。これにより、割り当てられたユーザーが役割表示の下にリストされます。

役割からのユーザーの除去手順

役割リストからユーザーを除去するには、以下のステップを実行します。

  1. コンテキスト・メニューで、役割許可から除去するユーザーを選択します。
  2. 「役割の除去」を選択します。役割リストからユーザーが除去され、ユーザー・プロファイルからすべての役割許可が除去されます。

セキュリティー・ポリシー許可の管理

管理者ユーザーは、RBAC 内のデフォルト役割に許可を割り当てることができます。こうしたセキュリティー・ポリシーは、各役割がアクセスを許可されている操作と一緒に、ツリー・ディレクトリーにリストされます。

表 23 に、サーバーで保護されることが可能な操作のリストを示します。

表 23. 保護されたサーバー操作
保護可能コンポーネント アクセス制御操作
サーバー
  1. 開始
  2. シャットダウン
  3. セキュリティー/ユーザーの管理/役割
  4. モニター
  5. 失敗したイベントの表示
  6. 配置
  7. エクスポート
  8. 削除
  9. コンパイル
  10. 構成ファイルのエクスポート
  11. 構成ファイルの配置

コラボレーション・テンプレート
  1. コンパイル

コラボレーション・オブジェクト
  1. 開始
  2. 停止
  3. 一時停止
  4. シャットダウン
  5. 実行 (AccessFramework 呼び出し)
  6. トランザクション状況の解決
  7. 失敗したイベントのサブミット
  8. 失敗したイベントの削除
  9. LLBP フローのキャンセル

コネクター
  1. 開始
  2. 停止
  3. 一時停止
  4. エージェントをシャットダウン
  5. 失敗したイベントのサブミット
  6. 失敗したイベントの削除

ビジネス・オブジェクト
マップ
  1. コンパイル
  2. 開始
  3. 停止

関係
  1. 開始
  2. 停止

BenchMark
  1. 開始
  2. 停止

スケジューラー
DBConnectionCache

メンバーシップとセキュリティー・ポリシー情報の管理

管理者は、任意の許可サーバーから、RBAC 機能で使用するメンバーシップとセキュリティー・ポリシー情報をインポートできます。したがって、メンバーシップとセキュリティー・ポリシー情報をファイルにエクスポートして、追加のサーバーまたはストレージで使用することができます。

メンバーシップとセキュリティー・ポリシー情報のインポート

メンバーシップまたはセキュリティー・ポリシー情報をインポートするには、以下のステップを実行します。

  1. コンテキスト・メニューで、「役割のインポート (Import Roles)」と「セキュリティー・ポリシー」を選択します。表示される「インポート」ダイアログ・ボックスで、ファイル・パスを指定することができます。
  2. インポートするファイルを選択します。「ユーザー/役割管理」ビューがアクティブのときに情報をインポートする場合は、ビューを一度閉じて再び開くまで、変更内容は表示されません。
注:
また、-xmsp オプションを指定した repos_copy を使用して情報をインポートすることもできます。repos_copy の使用についての詳細は、repos_copy の使用を参照してください。

メンバーシップとセキュリティー・ポリシー情報のエクスポート

メンバーシップまたはセキュリティー・ポリシー情報をエクスポートするには、以下のステップを実行します。

  1. コンテキスト・メニューで、「役割とセキュリティー・ポリシーのエクスポート (Export Roles and Security Policy)」を選択します。表示される「エクスポート」ダイアログ・ボックスで、ファイル・パスを指定することができます。
  2. ファイルのエクスポート先を選択します。
注:
また、-xmsp オプションを指定した repos_copy を使用して情報をエクスポートすることもできます。repos_copy の使用についての詳細は、repos_copy の使用を参照してください。

RBAC パスワードの管理

RBAC の各ユーザーには、関連付けられたパスワードがあります。ユーザーがサーバーにログインする場合は、パスワードを使用してユーザーに割り当てられた役割が検証されます。場合によっては、ユーザー・パスワードの変更またはリセットが必要になることもあります。ユーザー・パスワードをリセットするには、以下のステップを実行します。

  1. コンテキスト・メニューで、パスワードをリセットするユーザーを強調表示させます。
  2. 「パスワードのリセット」を選択します。「パスワードのリセット」ダイアログ・ボックスが、ユーザー名が入力された状態で表示されます。
  3. 「新規パスワード」フィールドに、新規パスワードを入力します。
  4. 「確認パスワード」フィールドに、新規パスワードをもう一度入力します。パスワードがリセットされます。

セキュリティー管理

管理者ユーザーは、セキュリティー管理機能を使用して、RBAC の役割の使用状況をモニターすることができます。InterChange Server ではアクティブ・ユーザーが表形式でリストされ、ユーザー名、セッション ID、およびユーザーがサーバーにログオンしてからの経過時間が表示されます。

注:
ユーザー・リストをときどき最新表示に切り替え、ユーザー表示の正確さを保つようお勧めします。ユーザー・リストを最新表示にするには、コンテキスト・メニューで「最新表示」オプションを選択します。

アクティブ・ユーザーの表示

アクティブ・ユーザーを表示するには、以下のステップを実行します。

  1. コンテキスト・メニューで、「セキュリティー管理」を選択します。すべてのアクティブ・ユーザーを表形式で表示したダイアログ・ボックスが開きます。

アクティブ・ユーザーのログアウト

サーバーからアクティブ・ユーザーをログオフするには、以下のステップを実行します。

  1. すべてのセッションからユーザーをログアウトさせるには、「ログアウト」コンテキスト・メニューを選択します。
  2. 選択したセッションからユーザーをログアウトさせるには、「セッションのログアウト (Log Out Session)」コンテキスト・メニューを選択します。

Copyright IBM Corp. 1997, 2004