WebSphere Application Server for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

ログイン・マッピング構成の設定

このページを使用して、着信メッセージ内のセキュリティー・トークンの検証に 使用する Java Authentication and Authorization Service (JAAS) ログイン構成の設定を指定します。

重要: バージョン 5.x とバージョン 6 以降のアプリケーションとの間には重要な相違点があります。この資料の情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。
サーバー・レベルでこの管理コンソール・ページを表示するには、以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「サーバー名 (server_name)」とクリックします。
  2. 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
  3. 「追加プロパティー」の下の「Login mappings」をクリックします。
  4. 新規」をクリックして新規ログイン・マッピング構成を作成するか、既存の構成の名前をクリックします。
アプリケーション・レベルでこの管理コンソール・ページを使用するには、以下のステップを実行します。
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「アプリケーション名 (application_name)」とクリックします。
  2. 「モジュール」の下で、「モジュールの管理」>「URI 名 (URI_name) 」とクリックします。
  3. 「Web サービス・セキュリティー・プロパティー」の下の「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。
  4. 「要求受信側のバインディング」の下の「編集」をクリックします。
  5. Login mappings」をクリックします。
  6. 新規」をクリックして新規ログイン・マッピング構成を作成するか、既存の構成の名前をクリックします。
重要: ログイン・マッピング構成がアプリケーション・レベルにない場合、 Web サービス・ランタイムは、そのログイン・マッピング構成をサーバー・レベルで検索します。 この構成がサーバー・レベルで検出されない場合、Web サービス・ランタイムはセルを検索します。
認証メソッド [バージョン 5 のみ]

認証メソッドを指定します。

任意のストリングを使用できますが、使用するストリングはサービス・レベルの構成内のエレメントに一致する必要があります。 以下のワードは予約済みで、特殊な意味を持ちます。
BasicAuth
ユーザー名およびパスワードの両方を使用します。
IDAssertion
ユーザー名のみを使用しますが、受信側のサーバーで、TrustedIDEvaluator メカニズムを使用して追加のトラストが確立されることが必要です。
Signature
署名者の識別名 (DN) を使用します。
LTPA
トークンを検証します。
JAAS 構成名 [バージョン 5 のみ]

Java Authentication and Authorization Service (JAAS) の構成の名前を指定します。

以下の事前定義システム・ログイン構成を使用することができます。
system.wssecurity.IDAssertion
バージョン 5.x アプリケーションが ID アサーションを使用して、 ユーザー名を WebSphere Application Server クレデンシャル・プリンシパルにマップできるようにします。
system.wssecurity.Signature
バージョン 5.x アプリケーションが、署名済み証明書の識別名 (DN) を WebSphere Application Server クレデンシャル・プリンシパルにマップできるようにします。
system.LTPA_WEB
サーブレット、JavaServer Pages (JSP) ファイルなどの Web コンテナーによって使用されるログイン要求を処理します。
system.WEB_INBOUND
サーブレットおよび JavaServer Pages を含む Web アプリケーション要求のログインを処理します。 このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。
system.RMI_INBOUND
インバウンド・リモート・メソッド呼び出し (RMI) 要求のログインを処理します。このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。
system.DEFAULT
内部認証、および Web アプリケーションおよび RMI 要求を除く他のほとんどのプロトコルによって作成されるインバウンド要求のログインを処理します。 このログイン構成は、WebSphere Application Server バージョン 5.1.1 によって使用されます。
system.RMI_OUTBOUND
com.ibm.CSIOutboundPropagationEnabled プロパティー が true である場合に、 別のサーバーにアウトバウンド送信される RMI 要求を処理します。 このプロパティーは、「CSIv2 authentication」パネルで設定されます。パネルにアクセスするには、 「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックします。 「RMI/IIOP セキュリティー」を展開してから、「CSIv2 アウトバウンド認証」をクリックします。com.ibm.CSIOutboundPropagationEnabled プロパティーを設定するには、「セキュリティー属性の伝搬」を選択します。
system.wssecurity.X509BST [バージョン 6 のみ]
証明書および証明書パスの妥当性を検査することによって、X.509 バイナリー・セキュリティー・トークン (BST) を検査します。
system.wssecurity.PKCS7 [バージョン 6 のみ]
PKCS7 オブジェクトの証明書失効リストで、X.509 証明書を検査します。
system.wssecurity.PkiPath [バージョン 6 のみ]
Public Key Infrastructure (PKI) パスで X.509 証明書を検査します。
system.wssecurity.UsernameToken [バージョン 6 のみ]
基本認証 (ユーザー名およびパスワード) を検査します。
これらのシステム・ログイン構成は、以下のステップを実行することによってアクセス可能な システム・ログイン・パネルで定義されます。
  1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックします。
  2. 「Java Authentication and Authorization Service」を展開してから、「システム・ログイン」をクリックします。
重要: 事前定義システム・ログイン構成は、システム接頭部なしで、 「システム・ログイン構成」パネルにリストされます。 例えば、 「Java Authentication and Authorization Service (JAAS) 構成名」オプションにリストされている system.wssecurity.UsernameToken 構成は、 「システム・ログイン構成」パネル上の wssecurity.UsernameToken 構成に対応しています。
以下の事前定義アプリケーション・ログイン構成を使用することができます。
ClientContainer
クライアント・コンテナー・アプリケーションが使用するログイン構成を指定します。 この構成は、クライアント・コンテナーのデプロイメント記述子に定義された CallbackHandler API を使用します。
WSLogin
すべてのアプリケーションが、 WebSphere Application Server セキュリティー・ランタイムの認証を実行するために、WSLogin 構成を使用できるかどうかを指定します。
DefaultPrincipalMapping
ユーザーを「J2C 認証データ・エントリー」に定義されたプリンシパルにマップするために Java 2 コネクター (J2C) が使用するログイン構成を指定します。
これらのアプリケーション・ログイン構成は、以下のステップを実行することによってアクセス可能な 「アプリケーション・ログイン」パネルで定義されます。
  1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックします。
  2. 「Java Authentication and Authorization Service」を展開してから、「アプリケーション・ログイン」をクリックします。

これらの事前定義システムまたはアプリケーション・ログイン構成は除去しないでください。 これらの構成内では、モジュール・クラス名の追加、 および WebSphere Application Server が各モジュールをロードする順序の指定を行うことができます。

コールバック・ハンドラー・ファクトリーのクラス名 [バージョン 5 のみ]

CallbackHandler クラスのファクトリー名を指定します。

このフィールドでは、com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory クラス をインプリメントする必要があります。

トークン・タイプ URI [バージョン 5 のみ]

受け入れたセキュリティー・トークンのタイプを表す、ネーム・スペース Uniform Resource Identifiers (URI) を指定します。

バイナリー・セキュリティー・トークンが受け入れられた場合は、その値はエレメント内の ValueType 属性を表します。 ValueType エレメントは、セキュリティー・トークンのタイプとそのネーム・スペースを識別します。 Extensible Markup Language (XML) トークンが受け入れられた場合は、 その値は XML トークンの最上位のエレメント名を表します。

予約語がすでに「認証メソッド」フィールドで指定されている場合は、このフィールドは無視されます。

データ型: Unicode 文字。ただし、番号記号 (#)、パーセント記号 (%)、および大括弧 ([ ]) 以外の非 ASCII 文字は除きます。
トークン・タイプのローカル名 [バージョン 5 のみ]

セキュリティー・トークンのタイプのローカル名 (例えば、X509v3) を指定します。

バイナリー・セキュリティー・トークンが受け入れられた場合は、その値はエレメント内の ValueType 属性を表します。 ValueType 属性は、セキュリティー・トークンのタイプとそのネーム・スペースを識別します。 Extensible Markup Language (XML) トークンが受け入れられた場合は、 その値は XML トークンの最上位のエレメント名を表します。

予約語がすでに「認証メソッド」フィールドで指定されている場合は、このフィールドは無視されます。

Nonce 最大存続期間 [バージョン 5 のみ]

nonce タイム・スタンプの有効期限が切れるまでの時間 (秒) を指定します。 nonce はランダムに生成される値です。

「Nonce maximum age」フィールドには、少なくとも 300 秒を指定する必要があります。 ただし、最大値として、サーバー・レベルまたはセル・レベルのいずれかで、「Nonce cache timeout」フィールドに 指定した以上の秒数を指定することはできません。

サーバー・レベルの「Nonce maximum age」値を指定するには、以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「サーバー名 (server_name)」とクリックします。
  2. 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
重要: このパネルの「Nonce maximum age」フィールドは オプションであり、BasicAuth 認証 メソッドが指定されている場合のみ有効になります。他の認証方式を指定した場合にこのフィールドに値を指定しようとすると、エラー・メッセージ 「Nonce is not supported for authentication methods other than BasicAuth」が表示され、値を指定し直す必要があります。

BasicAuth メソッドを指定し、「Nonce maximum age」フィールドには 値を指定しない場合は、Web サービス・セキュリティー・ランタイムがサーバー・レベルの「Nonce maximum age」値を検索します。サーバー・レベルで値が検出されなければ、ランタイムはセル・レベルを検索します。 サーバー・レベルまたはセル・レベルのいずれでも値が検出されなければ、デフォルトで 300 秒になります。

デフォルト 300 秒
範囲 300 から「Nonce cache timeout」に指定した値 (秒)
Nonce クロック・スキュー [バージョン 5 のみ]

WebSphere Application Server がメッセージの日付をチェックする際に検討する クロック・スキュー値 (秒) を指定します。 nonce はランダムに生成される値です。

サーバー・レベルの「Nonce clock skew」値を指定するには、以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「サーバー名 (server_name)」とクリックします。
  2. 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。

「Nonce Clock Skew」フィールドには、少なくともゼロ (0) 秒を指定する必要があります。 ただし、最大値は、この「ログイン・マッピング」パネルの「Nonce maximum age」フィールドに指定した秒数を超えてはなりません。

重要: このパネルの「Nonce clock skew」フィールドは オプションであり、BasicAuth 認証メソッドが指定されている場合のみ有効になります。 他の認証方式を指定した場合にこのフィールドに値を指定しようとすると、エラー・メッセージ 「Nonce is not supported for authentication methods other than BasicAuth」が表示され、値を指定し直す必要があります。
注: BasicAuth を指定し、「Nonce clock skew」フィールドには 値を指定しない場合は、WebSphere Application Server がサーバー・レベルの「Nonce clock skew」値を検索します。サーバー・レベルで値が検出されなければ、ランタイムはセル・レベルを検索します。 サーバー・レベルまたはセル・レベルのいずれでも値が検出されなければ、デフォルトのゼロ (0) 秒になります。
デフォルト 0 秒
範囲 0 から「Nonce Maximum Age」に指定した値 (秒)



関連概念
ログイン・マッピング
関連タスク
XML ディジタル・シグニチャーを使用したバージョン 5.x アプリケーションの Web サービスの保護
関連資料
ログイン・マッピング・コレクション
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:46:14 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.iseries.doc/info/iseries/ae/uwbs_logmapn.html