WebSphere Application Server, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

RunAs 役割へのユーザーの割り当て

この項目では、アプリケーションに対してユーザーを RunAs 役割に割り当てる方法を説明します。

始める前に

以下の作業を実行してください。

ユーザー ID とパスワードが RunAs 役割に割り当てられる際は、 現在アクティブな構成済みユーザー・レジストリーを使用して妥当性検査が実行されます。 デフォルトでは、 ローカル・オペレーティング・システム・レジストリーがアクティブ・ユーザー・レジストリーとして設定されます。 したがって、アプリケーションがインストール済みでセキュリティーをサーバー上で使用不可にしている場合は、 ローカル・オペレーティング・システム・レジストリーを使用して、RunAs 役割に割り当てられたユーザー ID とパスワードの妥当性検査を行います。 アプリケーションの対象のユーザー・レジストリーがローカル・オペレーティング・システムでない場合は、 妥当性検査は失敗します。したがって、セキュリティーをサーバー上で使用可能にする場合は、 RunAs 役割をユーザーにマップします。ただし、 アクティブ・ユーザー・レジストリーとセキュリティーを使用可能にした後の対象のレジストリーが同一であるとき、 セキュリティーを使用不可にした場合は、ユーザーを RunAs 役割に割り当てることができます。

役割に特別な対象の「全員」または「全認証者」が割り当てられている場合は、 その役割に対して妥当性検査は実行されません。

このパネルで「適用」をクリックした場合、または「Security role to user/group mapping」パネルで「OK」をクリックした場合は、常に妥当性検査が実行されます。 この検査によって、すべての RunAs 役割に属するすべてのユーザーが、 直接または (グループを介して) 間接的に、 「Security role to user/group mappings」パネル内の当該役割の中に存在することが検証されます。 役割がユーザーおよびそのユーザーの属するグループの両方に割り当てられている場合は、ユーザーまたはグループのいずれかを、 「Security role to user/group mapping」パネルから削除できます。

RunAs 役割のユーザーが何らかのグループに属しており、そのグループがその役割に割り当てられている場合、 このグループの役割への割り当ては、必ず管理コンソールを使用して実行してください。 アセンブリー・ツールやその他の方法は使用しないでください。 管理コンソールを使用している場合は、グループの絶対パス名が使用されます (例えば、Windows システムでは hostname¥groupName であり、Lightweight Directory Access Protocol (LDAP) では識別名 (DN) です)。検査中、RunAs 役割のユーザーが属するすべてのグループはレジストリーから取得されます。 ユーザー・レジストリーから取得されたグループのリストはグループの絶対パス名であるため、検査は正しく機能します。 アセンブリー・ツールを使用してグループのショート・ネームが入力されている (例えば、CN=group1, o=myCompany.com ではなく group1 のように入力されている) 場合、この検査は失敗します。

このタスクについて

これらのステップは、アプリケーションのインストール、 および既存アプリケーションの変更の両方に共通です。 アプリケーションに RunAs 役割が含まれている場合、アプリケーションのインストール中、 およびアプリケーションの管理中に、「追加プロパティー」セクションのリンクとして、 「User RunAs roles」リンクが表示されます。

プロシージャー

  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
  2. 「詳細」プロパティーの下の「ユーザー/グループ・マッピングへのセキュリティー・ロール」をクリックします。 このアプリケーションに属するすべての RunAs 役割のリストが表示されます。 役割にユーザーがすでに割り当て済みの場合は、ここにユーザーが表示されます。
  3. ユーザーを割り当てるには、役割を選択してください。 同じユーザーがすべての役割に割り当てられている場合、同時に複数の役割を選択できます。
  4. 指定されたフィールドにユーザー名とパスワードを入力します。 入力するユーザー名は、 ショート・ネーム (推奨)、または絶対パス名 (ユーザー・レジストリーからユーザー/グループを取得したときに表示されます) のどちらでもかまいません。
  5. 適用」をクリックします。 ユーザーは、アクティブなユーザー・レジストリーを使用して認証されます。 認証が正常に実行されたら、このユーザーまたはグループが、「セキュリティー役割をユーザー/グループにマップ」パネル内の役割にマップされていることを検証する検査が実行されます。 認証が失敗した場合、ユーザーおよびパスワードが正しいか、アクティブ・レジストリー構成が正しいかどうかを検証します。
  6. ユーザーを RunAs 役割から除去する場合は、役割を選択して「除去」をクリックします。

結果

RunAs 役割のユーザーは、アプリケーションのバインディング・ファイルに追加されます。 このファイルは、J2EE リソースにアクセスする際、代行する目的で使用されます。このステップは、代行時に正しいユーザーを使用して EJB メソッドを呼び出せるように、RunAs 役割に割り当てるために 必要となります。

次の作業

アプリケーションをインストール中の場合は、インストールを完了してください。 アプリケーションがインストール済みで稼働中であれば、RunAs 役割のマッピングに従って、リソースへアクセスできます。 構成を保管します。

アプリケーションを管理中で、User RunAs 役割を変更した場合は、 変更が有効になるように、必ずアプリケーションを保管、停止してから再始動してください。 Java 2 Platform, Enterprise Edition (J2EE) リソースにアクセスを試みて、 新規の変更が有効になっていることを確認します。




サブトピック
アセンブリー・ツールを使用した RunAs 役割へのユーザーのマッピング
すべての無保護 1.x メソッドに正しいレベルの保護が適用されていることを確認
すべての無保護 2.x メソッドが正しい保護のレベルにあることを確認
システム ID の正しい使用
ユーザー RunAs コレクション
関連タスク
役割へのユーザーおよびグループの割り当て
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:05:53 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/tsec_taurunas.html