WebSphere Application Server, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

セキュリティーの使用可能化

セキュリティーを使用可能にすることで、ご使用のサーバーを許可されていないユーザーから保護し、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供することができます。

始める前に

インフラストラクチャーの観点からセキュリティーを理解しておくと、 さまざまな認証メカニズム、ユーザー・レジストリー、認証プロトコルなどの利点を知ることができて有益です。 ユーザーの要件に合った正しいセキュリティー・コンポーネントを選出することも、 セキュリティーの構成の一環です。以下のセクションは、これらの判断を下す際の一助となるものです。

セキュリティー構成を続行する前に、以下の項目を読んでください。 セキュリティー・コンポーネントについて理解すると、 WebSphere Application Server でのセキュリティーの構成に進むことができます。
注: WebSphere Application Server バージョン 6.1 では、新規プロファイルを作成する際の初期インストール処理中、または、プロファイル作成ツールを使用する際のポストインストール処理中、新規のプロファイルが作成されるときは常に、管理セキュリティーはデフォルトで使用可能です。 管理コンソールを使用してセキュリティー・ポスト・プロファイル作成を可能にする代わりに、プロファイル作成時中、管理セキュリティーを可能にしないよう決定できます。

プロシージャー

  1. WebSphere Application Server の管理コンソールを始動します。

    現在セキュリティーが使用不可になっている場合は、 ユーザー ID を要求するプロンプトが出されます。任意のユーザー ID を使用してログインします。 ただし、セキュリティーが現在有効になっている場合は、 ユーザー ID とパスワードの両方を要求するプロンプトが出されます。 定義済みの管理ユーザー ID とパスワードを使用してログインします。

  2. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。 バージョン 6.1 で使用できるセキュリティー 構成ウィザードでセキュリティーを構成するか、手動で 構成してください。構成の順序は重要ではありません。 手動構成について詳しくは、 ユーザーの認証 を参照してください。
  3. ユーザー・アカウント・リポジトリーを構成します。 詳しくは、レジストリーまたはリポジトリーの選択 を参照してください。 「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルで、 統合リポジトリー、ローカル・オペレーティング・システム、 スタンドアロンの Lightweight Directory Access Protocol (LDAP) レジストリー、 スタンドアロンのカスタム・レジストリーなどの、 ユーザー・アカウント・リポジトリーを構成することができます。
    注: インターオペラビリティー用のサーバー ID およびパスワードを指定するか、または WebSphere Application Server 6.1 インストールが自動的に内部サーバー ID を生成できるようにするかを選択できます。 サーバー ID の自動生成に関する詳細については、ローカル・オペレーティング・システムの設定 を参照してください。

    すべてのユーザー・レジストリーやリポジトリーに共通の詳細事項の 1 つに、「Primary administrative user name」があります。 この ID は、選択されたリポジトリーの 1 メンバーですが、 WebSphere Application Server では特別な権限も持っています。 この ID の特権と、管理役割 ID に関連付けられている特権とは同じものです。 この「Primary administrative user name」は、保護された管理方法のすべてにアクセスできます。

    [Windows] この ID は、システムのマシン名と同じ名前であってはなりません。これは、 リポジトリーが、同名のユーザーを照会する際に、マシン固有の情報を戻す場合があるためです。

    スタンドアロン LDAP レジストリーでは、「Primary administrative role name が、 LDAP 管理役割 ID であるだけでなく、リポジトリーのメンバーであることを確認してください。 このエントリーは、検索可能である必要があります。

    「Primary administrative user name」は、WebSphere Application Server プロセスの実行は行いません。 代わりに、プロセス ID が WebSphere Application Server プロセスを実行します。

    プロセス ID は、そのプロセスの始動方法によって決まります。 例えば、コマンド行を使用してプロセスを始動する場合は、システムにログインするユーザー ID がプロセス ID になります。 サービスとして実行している場合、システムにログインする ユーザー ID は、サービスを実行しているユーザー ID です。 ローカル・オペレーティング・システム・レジストリーを選択する場合は、プロセス ID に、 オペレーティング・システム API を呼び出すための特別な権限が必要です。 プロセス ID には、以下のプラットフォーム固有の特権がなければなりません。
    • [Windows] オペレーティング・システムの一部として機能特権
    • [AIX HP-UX Solaris] ルート特権
  4. ユーザー・アカウント・リポジトリーを構成した後、「Set as current」オプションを選択します。 適用」をクリックした場合に「管理セキュリティーを使用可能にする 」オプションが設定されていると検査が実行され、管理ユーザー ID が構成済みで、アクティブ・ユーザー・レジストリーに存在するかどうかが検査されます。 管理ユーザー ID は、「アクティブ・ユーザー・レジストリー」パネルまたはコンソール・ユーザーのリンクから指定できます。 アクティブ・ユーザー・レジストリーに対して管理 ID が構成されていないと、検査に失敗します。
    注: ユーザー・レジストリーを切り替える場合は、 admin-authz.xml ファイルから既存の管理 ID とアプリケーション名が除去されます。 admin-authz.xml ファイルに存在する ID の例外がログに記録されますが、現行のユーザー・レジストリーには存在しません。
  5. 認証メカニズムを構成します。

    「認証メカニズムおよび有効期限」パネルで、Lightweight Third-Party Authentication (LTPA) を構成します。 LTPA はデフォルトの認証メカニズムです。 LTPA クレデンシャルは、他のマシンに転送できます。 セキュリティー上の理由で、クレデンシャルには有効期限がありますが、期限日付はコンソールで構成することができます。 LTPA クレデンシャルにより、ブラウザーでさまざまな製品サーバーにアクセスできます。 これは、何度も認証を行う必要がないことを意味します。 詳しくは、Lightweight Third Party Authentication メカニズムの構成 を参照してください。

    注: 認証メカニズムとして Simple WebSphere Authentication Mechanism (SWAM) を構成することができます。ただし、SWAM は WebSphere Application Server バージョン 6.1では推奨されません。 また将来のリリースでは除去される予定です。 SWAM のクレデンシャルは、他のマシンに転送することはできません。そのため、有効期限が切れることはありません。 SWAM を使用するには、 「Use SWAM-no authenticated communication between servers」オプションを選択します。
  6. オプション: セル間のシングル・サインオン (SSO) 用に LTPA 鍵をインポートしてエクスポートします。 詳しくは、以下の項目を参照してください。
  7. 必要な場合は、 Java クライアントからの特別なセキュリティー要件の認証プロトコルを構成します。
    「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルのリンクを使用して、 Common Secure Interoperability バージョン 2 (CSIv2) を構成することができます。 Security Authentication Service (SAS) プロトコルは、 前の製品リリースとの後方互換性が提供されますが、推奨されません。 ご使用の環境に WebSphere Application Server の旧バージョンを使用するサーバーが含まれていて、 SAS をサポートする場合は、「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルに「Links to the SAS protocol」パネルが 表示されます。 CSIv2 または SAS の構成について詳しくは、 Common Secure Interoperability バージョン 2 (CSIV2) および Security Authentication Service (SAS) の構成 の項目を参照してください。
    重要: SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
    [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。] 重要: IBM は Secure Authentication Service (SAS) IIOP セキュリティー・プロトコルの出荷やサポートを既に終了しています。 Common Secure Interoperability バージョン 2 (CSIv2) プロトコルを使用することをお勧めします。
  8. デフォルトの Secure Sockets Layer (SSL) 構成を変更または作成します。 この操作により、インターネットを介して送信されるメッセージの保全性が保護されます。 この製品では、SSL を使用する WebSphere Application Server の各機能が利用できる SSL 構成を 1 か所で指定できます。 指定できる SSL 構成には、LDAP レジストリー、Web コンテナー、および認証プロトコル (CSIv2 および SAS) があります。 詳しくは、Secure Sockets Layer 構成の作成 を参照してください。構成を変更、または新規構成を作成した後、「SSL configurations」パネルでその構成を指定します。 「SSL configurations」パネルを表示するには、以下のステップを実行します。
    1. セキュリティー」>「SSL 証明書および鍵管理」とクリックします。
    2. 「構成設定」の下の「エンドポイントのセキュリティー構成の管理」 >「configuration_name」をクリックします。
    3. 「関連項目」の下の「SSL 構成」をクリックします。

    DefaultSSLConfig ファイルを編集するか、または新規のエイリアス名で新規の SSL 構成を作成することができます。 新規の鍵ストア・ファイルとトラストストア・ファイルに新規のエイリアス名を作成する場合は 、SSL 構成エイリアス DefaultSSLConfig を参照するロケーションをすべて変更します。 以下のリストは、WebSphere Application Server 構成における SSL 構成レパートリー・エイリアスの使用場所を明示しています。

    HTTP および Java Message Service (JMS) を含む、新規ネットワーク入出力チャネル・チェーンを使用するトランスポートの場合は、各サーバーの以下のロケーションで、SSL 構成レパートリー・エイリアスを変更することができます。
    • サーバー」>「アプリケーション・サーバー」>「server_name 」とクリックします。 「通信」の下の「ポート」をクリックします。SSL が使用可能になっているトランスポート・チェーンを位置指定し、「View associated transports」をクリックします。「transport_channel_name」をクリックします。「トランスポート・チャネル」の下の「SSL インバウンド・チャネル (SSL_2)」をクリックします。
    オブジェクト・リクエスト・ブローカー (ORB) SSL トランスポートの場合は、以下のロケーションにある SSL 構成レパートリー・エイリアスを変更することができます。 これらは、WebSphere Application Server および WebSphere Application Server Express のサーバー・レベル、および WebSphere Application Server Network Deployment のセル・レベルの構成です。
    • セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。「RMI/IIOP security」の下の「CSIv2 インバウンド・トランスポート」をクリックします。
    • セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。「RMI/IIOP security」の下の「CSIv2 アウトバウンド・トランスポート」をクリックします。
    • [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。「RMI/IIOP security」の下の「SAS インバウンド・トランスポート」をクリックします。
    • [この情報が適用されるのはバージョン 6.0.x と、バージョン 6.1 セルに統合された以前のサーバーだけです。]セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。「RMI/IIOP security」の下の「SAS アウトバウンド・トランスポート」をクリックします。

    SOAP Java Management Extensions (JMX) 管理トランスポートの場合は、 「サーバー」>「アプリケーション・サーバー」>「server_name」をクリックして、 SSL 構成レパートリー・エイリアスを変更することができます。 「サーバー・インフラストラクチャー」の下の「管理」>「管理サービス」とクリックします。 「追加プロパティー」の下の「JMX コネクター」>「SOAPConnector」とクリックします。「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。 sslConfig プロパティーで新規エイリアスを指し示す場合は、「新規」をクリックしてから、「名前」フィールドに sslConfig を入力し、「値」フィールドにその値を入力します。

    Lightweight Directory Access Protocol (LDAP) SSL トランスポートの場合は、 「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックして、 SSL 構成レパートリー・エイリアスを変更することができます。「ユーザー・アカウント・リポジトリー」の下で、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択します。

  9. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックし、 残りのセキュリティー設定を構成して、セキュリティーを使用可能にします。 これらの設定について詳しくは、 管理、アプリケーション、およびインフラストラクチャー保護の設定 を参照してください。
  10. OK」または「適用」をクリックして完了したセキュリティー構成を検証します。 問題が発生すると、コンソール・ページの上部に赤字で表示されます。
  11. 妥当性検査上の問題がなければ、「保管」をクリックして、 サーバーが再始動するときに使用するファイルに設定値を保管します。 保管することによって、設定値は構成リポジトリーに書き込まれます。
    重要:保管」をクリックする前に 「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルで 「適用」または「OK」をクリックしない場合には、変更内容はリポジトリーに書き込まれません。 管理コンソールを開始する場合は、サーバーを再始動してすべての変更内容を有効にする必要があります。
  12. WebSphere Application Server の管理コンソールを始動します。

    現在セキュリティーが使用不可になっている場合は、いずれかのユーザー ID でログインします。 現在セキュリティーが使用可能になっている場合は、定義済みの管理 ID とパスワードでログインします。この ID は、 通常ユーザー・レジストリーの構成時に指定するサーバー・ユーザー ID です。




サブトピック
管理セキュリティー
アプリケーション・セキュリティー
Java 2 セキュリティー
レルムのセキュリティーの使用可能化
使用可能にしたセキュリティーのテスト
セキュリティー構成ウィザード
関連概念
Java 2 セキュリティー
関連タスク
レジストリーまたはリポジトリーの選択
Lightweight Third Party Authentication メカニズムの構成
関連資料
Java 2 セキュリティー・ポリシー・ファイル
管理、アプリケーション、およびインフラストラクチャー保護の設定
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:05:53 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/tsec_csec2.html