ご使用のアプリケーションのパフォーマンスに対して、 セキュリティーによる影響がある程度生じます。 パフォーマンスへの影響は、アプリケーション・ワークロードの特性により異なることがあります。 管理、アプリケーション、インフラストラクチャーのセキュリティーを、 グローバル・レベルで構成することにより、 ワークロードへのセキュリティーの影響を管理します。
この管理コンソール・ページを表示するには、「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」をクリックします。
セキュリティーは、ご使用のアプリケーションに対してパフォーマンス上多少の影響を与えます。 パフォーマンスへの影響は、アプリケーション・ワークロードの特性により異なることがあります。 まず、ご使用のアプリケーションに対して必要なレベルのセキュリティーを使用可能にし、次にアプリケーションのパフォーマンスに与えるセキュリティーの影響を測定する必要があります。
セキュリティーを構成する際、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みるか、管理 ID (internalServerID を使用する場合) の妥当性検査を試みます。 管理セキュリティーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、初めてサーバーを再始動するときに問題を回避することができます。
基本管理およびアプリケーション・セキュリティー設定を構成できるウィザードを起動します。このプロセスは、許可ユーザーに対する管理用タスクおよびアプリケーションを制限します。
このウィザードを使用すると、アプリケーション・セキュリティー、リソースまたは Java 2 コネクター (J2C) セキュリティー、およびユーザー・レジストリーを構成できます。既存のレジストリーを構成し、管理セキュリティー、アプリケーション・セキュリティー、およびリソース・セキュリティーを使用可能にします。
セキュリティー構成ウィザードを使用して行った変更を適用する場合、管理セキュリティーは、デフォルトでオンになります。
アプリケーション・サーバーのコア・セキュリティー設定を表示するセキュリティー構成報告書を起動します。 この報告書は、管理ユーザーおよびグループ、および CORBA ネーミング役割も表示します。
報告書への現在の制限により、アプリケーション・レベルのセキュリティー情報は表示されません。 この報告書はまた、Java Message Service (JMS) セキュリティー、バス・セキュリティー、または Web Services セキュリティーに関する情報も表示しません。
このアプリケーション・サーバー・ドメインの管理セキュリティーを使用可能にするかどうかを指定します。 管理セキュリティーでは、アプリケーション・サーバーの管理制御を得る前に、ユーザーが認証される必要があります。
詳しくは、管理の役割に関するリンクを参照してください。
セキュリティーを使用可能にするときには、認証メカニズムの構成を設定し、 選択されたレジストリー構成で有効なユーザー ID とパスワード (または、internalServerID 機能を使用している場合は、有効な管理 ID) を指定してください。
デフォルト: | 使用可能 |
ご使用の環境内のアプリケーションのセキュリティーを使用可能にします。 このタイプのセキュリティーは、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供します。
WebSphere Application Server の以前のリリースでは、ユーザーがグローバル・セキュリティーを使用可能にすると、 管理とアプリケーションの両方のセキュリティーが使用可能になりました。 WebSphere Application Server バージョン 6.1 では、 これまでのグローバル・セキュリティーの概念が管理セキュリティーとアプリケーション・セキュリティーに分割され、 そのそれぞれを別々に使用可能にすることができます。
この分割の結果、WebSphere Application Server クライアントは、 ターゲット・サーバーでアプリケーション・セキュリティーが使用不可になっているかどうかを認識する必要があります。 管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーを使用可能にするには、管理セキュリティーを使用可能にする必要があります。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。
デフォルト: | 使用不可 |
Java 2 セキュリティーによる許可検査を使用可能にするのか、使用不可にするのかを指定します。 デフォルトでは、ローカル・リソースへのアクセスは制限されません。アプリケーション・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。
「Use Java 2 security to restrict application access to local resources」オプションが使用可能になっていて、アプリケーションがデフォルト・ポリシーで付与されるよりも高い Java 2 セキュリティー許可を要求する場合、そのアプリケーションは、アプリケーションの app.policy ファイルまたは was.policy ファイル内で必要な許可が付与されるまで、正しく実行できない可能性があります。必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。 Java 2 セキュリティーについて詳しくは、関連リンクを参照してください。
デフォルト: | 使用不可 |
アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 Java API 許可は、java.* および javax.* パッケージで定義されている許可です。
アプリケーション・サーバーは、ポリシー・ファイル管理をサポートします。この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。 filter.policy ファイルには、J2EE 1.4 仕様に従って、アプリケーションに与えたくない許可のリストが入っています。 アクセス権の詳細については、Java 2 セキュリティー・ポリシー・ファイルに関するリンクを参照してください。
デフォルト: | 使用不可 |
このオプションを使用可能にすると、 重要な Java Connector Architecture (JCA) マッピング認証データへのアプリケーションのアクセスが制限されます。
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
「リソース認証データへのアクセスを制限する」オプションによって、WSPrincipalMappingLoginModule インプリメンテーションのデフォルト・プリンシパル・マッピングに、きめ細かな Java 2 セキュリティー許可検査が追加されます。「Use Java 2 security to restrict application access to local resources」オプションと「リソース認証データへのアクセスを制限する」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接 WSPrincipalMappingLoginModule インプリメンテーションを使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的な許可を付与する必要があります。
デフォルト: | 使用不可 |
アクティブ・ユーザー・リポジトリーの現在の設定を指定します。
このフィールドは読み取り専用です。
使用可能なユーザー・アカウントのリポジトリーを指定します。
メソッドで戻されるユーザー名を、そのユーザー名が配置されているセキュリティー・ドメインで 修飾するように指定します。
デフォルト: | 使用不可 |
セキュリティーが使用可能になっている場合の、Remote Method Invocation over the Internet Inter-ORB Protocol (RMI IIOP) 要求のためのアクティブな認証プロトコルを指定します。
Common Secure Interoperability Version 2 (CSIv2) と呼ばれるオブジェクト管理グループ (OMG) はさらなる ベンダー・インターオペラビリティーおよび追加機能をサポートします。セキュリティー・ドメインに含まれるすべてのサーバーがバージョン 5.x 以降のサーバーである場合、プロトコルとして CSI を指定します。
デフォルト: | BOTH |
範囲: | CSI および SAS、CSI |