WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化

ローカル・オペレーティング・システムのレジストリーの構成

これらのステップを使用して、ローカル・オペレーティング・システムのレジストリーを構成します

始める前に

ローカル・オペレーティング・システム・ユーザー・レジストリーの使用について、詳しくはローカル・オペレーティング・システムのレジストリー を参照してください。インストール済みの状態では、WebSphere Application Server の セキュリティーは使用不可となっています。以下のステップにより、WebSphere Application Server がインストールされている ローカル・オペレーティング・システムのユーザー・レジストリーを基にして、セキュリティーをセットアップすることができます。

[AIX HP-UX Linux Solaris Windows] セキュリティーのために、WebSphere Application Server は、 Windows オペレーティング・システム・レジストリー、AIX、Solaris、および複数のバージョンの Linux オペレーティング・システムのインプリメンテーションを提供し、サポートしています。 それぞれのオペレーティング・システム・アプリケーション・プログラミング・インターフェース (API) は、 製品プロセス (サーバー) で呼び出されて、ユーザーおよびその他のセキュリティー関連タスク (例えばユーザーまたはグループ情報の取得など) の認証を行います。 これらの API にアクセスできるのは、特権のあるユーザーに限られています。 これらの特権は、以下で説明するように、オペレーティング・システムによって異なります。

[AIX HP-UX Linux Solaris Windows] [i5/OS] WebSphere Application Server バージョン 6.1 では、 Security WebSphere Common Configuration Model (WCCM) モデルが新しいタグ (internalServerId) を含むので、 内部生成のサーバー ID を使用できます。 混在しているセル環境以外では、セキュリティー設定中にサーバーのユーザー ID およびパスワードを指定する必要はありません。 新しい内部サーバー ID の詳細については、管理役割およびネーミング・サービスの許可 を参照してください。

[z/OS] ローカル・オペレーティング・システム・レジストリーが選択されている場合、開始済みタスク ID がサーバー ID として選択されます。サーバーを構成するためにユーザー ID および パスワードは必要ありません。

[z/OS] 重要: 各開始済みタスク、例えば、コントローラー、サーバント、またはノード・エージェントなどは、 別の ID を持つ場合があります。z/OS のカスタマイズ・ダイアログによりこれらの ID がセットアップされます。 詳しくは、z/OS カスタマイズ・ダイアログを参照してください。
[Windows] [AIX HP-UX Linux Solaris Windows] 以下の問題を考慮してください。
  • サーバー ID は、製品のインストール先である Windows マシンの名前とは異なる名前にする必要があります。 例えば、Windows マシン名が vicky であり、セキュリティー・サーバー ID も vicky である場合、 Windows システムは、ユーザー vicky の情報 (グループ情報など) を取得する際に障害が起こります。
  • WebSphere Application Server は、そのマシンが Windows システム・ドメインのメンバーであるかどうかを動的に判別します。
  • WebSphere Application Server は、Windows のトラステッド・ドメインをサポートしません。
  • マシンが Windows ドメインのメンバーであれば、 ドメイン・ユーザー・レジストリーとそのマシンのローカル・ユーザー・レジストリーの両方が、認証およびセキュリティー役割のマッピングに使用されます。
  • 同じパスワードを持つユーザーが両方のユーザー・レジストリーに存在すると、ドメイン・ユーザー・レジストリーがマシンのローカル・ユーザー・レジストリーよりも優先されるため、ドメイン・ユーザー・レジストリーに望ましくない影響が及ぶ場合があります。
  • 製品プロセスの実行に使用されるユーザーには、ユーザーおよびグループ情報の認証または収集を行う Windows オペレーティング・システム API を呼び出す、管理特権とオペレーティング・システムの一部としてアクションを行う特権が必要です。 このプロセスには特殊権限が必要で、その権限はこれらの特権によって与えられます。 この例でのユーザーは、セキュリティー・サーバー ID と同じではない可能性があります (セキュリティー・サーバー ID の要件は、レジストリー内で有効なユーザーであるということです)。 このユーザーは、マシンにログインする (コマンド行を使用して製品プロセスを始動する場合) か、サービス・パネルの「ログオン・ユーザー」設定 (サービスを使用して製品プロセスを始動した場合) にログインします。 マシンがドメインの一部でもある場合は、このユーザーは、ドメイン内のオペレーティング・システム API を呼び出すドメイン管理グループの一部であり、さらに、ローカル・マシン内でオペレーティング・システムの一部としてアクションを行う特権を持っています。
[AIX HP-UX Linux Solaris Windows] 以下の点を考慮してください。
  • [AIX] [AIX HP-UX Solaris] [Solaris] 製品プロセスの実行に使用されるユーザーには、root 特権が必要です。 この特権は、オペレーティング・システム API を呼び出して、ユーザーおよびグループ情報の認証または収集を行うために必要です。 このプロセスには特殊権限が必要で、その権限は root 特権によって与えられます。 このユーザーは、セキュリティー・サーバー ID と同じでなくてもかまいません (要件は、レジストリー内で有効なユーザーでなければならないということです)。 このユーザーは、マシンにログインして製品プロセスを実行します。
  • [AIX HP-UX Solaris] ローカル・オペレーティング・システム・レジストリーを使用する場合、管理セキュリティーを 使用可能にするユーザーは root 特権を持っている必要があります。持っていない場合は、検証失敗のエラーが表示されます。
  • [Linux] システムにパスワード・シャドー・ファイルが必要になる場合があります。

このタスクについて

[z/OS] WebSphere Application Server のユーザー・レジストリーをセットアップする場合には、 System Authorization Facility (SAF) がユーザー・レジストリーとの組み合わせで作動して、アプリケーションがサーバー上で 稼働するのを許可します。SAF の機能の詳細については System Authorization Facility のユーザー・レジストリー を参照してください。 ローカル OS ユーザー・レジストリーおよび SAF 構成に関連する追加プロパティーを構成するには、以下のステップを実行します。

[z/OS] 重要: z/OS プラットフォーム および非 z/OS プラットフォームの両方のノードが含まれた混合セル環境がある場合、 ローカル・オペレーティング・システムには有効なユーザー・アカウント・リポジトリーが ありません。

[AIX HP-UX Linux Solaris Windows] [i5/OS] セキュリティーを初めてセットアップした場合は、最初にこのタスクを実行するのに、以下のステップが必要です。

プロシージャー

  1. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
  2. 「ユーザー・アカウント・リポジトリー」の下で、「ローカル・オペレーティング・システム」を選択し、「構成 」をクリックします。
  3. Primary administrative user name」フィールドに、有効なユーザー名を入力します。 この値は、レジストリーで定義された管理特権があるユーザーの名前です。 このユーザー名は、管理コンソールにアクセスする場合、または wsadmin により使用されます。
  4. [z/OS] オプション: デフォルトの許可を使用する際に WebSphere Application Server が大/小文字を区別しないで許可の検査を行えるようにする場合は、 「許可検査で大/小文字を区別しない」オプションを選択します。
  5. 適用」をクリックします。
  6. Automatically generated server identity」または「Server identity that is stored in the repository」のいずれかのオプションを選択します。Server identity that is stored in the repository」オプションを選択した場合は、以下の情報を入力します。
    バージョン 6.0.x ノードのサーバー・ユーザー ID または管理ユーザー。
    ステップ 2 で選択したアカウントのショート・ネームを指定します。
    サーバー・ユーザー・パスワード
    ステップ 2 で選択したアカウントのパスワードを指定します。
  7. [i5/OS] 基本管理ユーザー名」フィールドに、有効なユーザー・プロファイル名を入力します。

    「Primary administrative user name」は、 サーバーが基盤となるオペレーティング・システムに対して認証を行う際に使用するユーザー・プロファイルを指定します。 この ID は、管理コンソールを使用して管理アプリケーションにアクセスする初期権限を持つユーザーでもあります。 管理ユーザー ID はすべてのユーザー・レジストリーに共通です。 管理 ID は選択されたレジストリーの 1 メンバーであり、WebSphere Application Server で特別な権限を持っています。 しかし、それが表すレジストリーの中では、特別な権限を持ちません。 つまり、管理ユーザー ID またはサーバー・ユーザー ID として使用するレジストリーの中では、 有効な任意のユーザー ID を選択することができます。

    基本管理ユーザー名」フィールドでは、 次の基準を満たす任意のユーザー・プロファイルを指定できます。
    • ユーザー・プロファイルの状況が *ENABLED である。
    • ユーザー・プロファイルのパスワードが有効である。
    • ユーザー・プロファイルがグループ・プロファイルとして使用されていない。
      重要: グループ・プロファイルは、通常のユーザー・プロファイルには割り当てられていない固有のグループ ID 番号を割り当てられます。 DSPUSRPRF Display User Profile コマンドを実行して、「Primary administrative user name」として使用する ユーザー・プロファイルが定義されたグループ ID 番号を持っているか確かめてください。 「グループ ID」フィールドに *NONE がセットされている場合は、 そのユーザー・プロファイルを基本管理ユーザー名として使用することができます。
  8. [z/OS] オプション: SAF の許可を使用可能に設定して構成します。
    1. セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」>「External authorization provider」とクリックします。
    2. System Authorization Facility (SAF) authorization」オプションを選択し、許可プロバイダーとして SAF を使用可能に設定します。
    3. 「関連項目」で「z/OS SAF authorization」をクリックし、SAF 許可を構成します。 SAF 許可の説明を確認するには、z/OS System Authorization Facility 許可 を参照してください。
  9. OK」をクリックします。

    OK」をクリックした場合は、管理コンソールはユーザー ID とパスワードを検証しません。 検証が行われるのは、 「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルで「OK」または「適用」をクリックしたときに限られます。 はじめに、「Local operating system」を「ユーザー・アカウント・リポジトリー」セクションの使用可能なレルム定義として選択したことを確認し、 「Set as current」をクリックします。 セキュリティーが既に使用可能になっていて、このパネルでユーザー情報またはパスワード情報のいずれかを変更した場合は、 その変更を有効にするために、必ず「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルに戻って、 「OK」または「適用」をクリックしてください。 変更が有効になっていないと、サーバーは始動しません。

    重要: 他のユーザーに管理機能の実行を許可するまでは、 あなただけが指定したサーバー・ユーザー ID とパスワードを使って管理コンソールにアクセスすることができます。詳しくは 、管理の役割へのアクセスの許可 を参照してください。

結果

このパネルでの変更を有効にするには、デプロイメント・マネージャー、 ノード、およびアプリケーション・サーバーなどの製品のすべてのサーバーを保管し、停止してから始動する必要があります。サーバーが問題なく始動したら、セットアップは正しく行われたことになります。

これらのステップを実行すると、ローカル・オペレーティング・システム・レジストリーを使用して 許可ユーザーを識別する WebSphere Application Server を構成したことになります。

次の作業

セキュリティーを使用可能にするための残りのステップを完了します。 詳しくは、セキュリティーの使用可能化 を参照してください。




サブトピック
[AIX HP-UX Linux Solaris Windows] 適切な特権に対応したユーザー ID の構成
ローカル・オペレーティング・システムの設定
ローカル・オペレーティング・システム・ウィザードの設定
関連概念
スタンドアロン Lightweight Directory Access Protocol レジストリー
[z/OS] System Authorization Facility のユーザー・レジストリー
[z/OS] System Authorization Facility (SAF) のオペレーティング・システムおよびアプリケーション・レベルに関する考慮事項
関連タスク
セキュリティーの使用可能化
[z/OS] ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御
管理の役割へのアクセスの許可
レジストリーまたはリポジトリーの選択
関連資料
[z/OS] z/OS System Authorization Facility 許可
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/tsec_localos.html