WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

初期セキュリティー構成

初期セル・カスタマイズ中に管理セキュリティーを使用可能にする オプションがあるインストール時には、この手順は 「すぐに使用可能なセキュリティー」と呼ばれます。これは、セキュリティーが有効になっていない場合に 発生する可能性がある無許可の変更からセルを保護します。

新規スタンドアロン・アプリケーション・サーバーまたは Network Deployment セルが作成される場合、 WebSphere Application Server for z/OS バージョン 6.1 には初期セキュリティーの選択項目が 3 つあります。

この項では、3 つの初期セキュリティー・オプションおよびそれぞれの構成の影響について 説明します。

WebSphere Application Server for z/OS では、オペレーティング・システム・セキュリティーを提供するために、 常に SAF 準拠のセキュリティー・システムを必要とします。 以下は、選択するセキュリティー・オプションに関係なく行われます。
注: 各初期セキュリティー構成は基本的なものであり、カスタマイズ中にいくつかの選択が必要です。 構成が完了した後、セルのセキュリティー・ポリシーをエンタープライズのニーズに一致させる には、通常、追加の作業が必要です。 詳しくは、インフォメーション・センターのセキュリティー・セクションを参照してください。

オプション 1: z/OS セキュリティー製品を使用してユーザー ID および許可ポリシーを 管理

このオプションがカスタマイズ中に選択されている場合は、以下のようになります。
  1. WebSphere Application Server の各ユーザーおよびグループ ID は、 z/OS システムの SAF 準拠のセキュリティー・システム (IBM の RACF、または同等の製品) 内のユーザー ID またはグループに対応しています。
  2. WebSphere Application Server 役割へのアクセスは、SAF EJBROLE プロファイルを使用して制御されます。
  3. SSL 通信のデジタル証明書は、z/OS セキュリティー製品に保管されます。

z/OS システムのセキュリティー製品は常に、WebSphere Application Server for z/OS の開始タスク ID、およびロケーション・サービス・デーモンの デジタル証明書 (デーモン SSL が選択される場合) を制御するために使用されます。ただし、 このセキュリティー・オプションが選択されている場合、WebSphere Application Server のすべての管理者 および管理グループも SAF に定義されなければなりません。後に、アプリケーション・セキュリティーが 有効になった場合、SAF セキュリティー・データベースはそれらのユーザー ID も同様に保持します。

このオプションは、サーバーまたはセルが完全に z/OS システム上に常駐し、 ユーザー・レジストリーとして SAF を持つ場合に適しています。LDAP やカスタム・ユーザー・レジストリーの実装を計画しており、 WebSphere Application Server ID を SAF ID にマップして許可に EJBROLE プロファイルを使用する予定のお客様は、 初期 SAF EJBROLE セットアップが実行されるように、このオプションも選択する必要があります。

このオプションがカスタマイズ中に選択されている場合、以下の SAF ユーザー ID が作成されます。
  • 管理者ユーザー ID
  • 認証されていない WebSphere Application Server ID を表す「無許可ユーザー」ID
管理役割 (管理者、構成、デプロイヤー、モニター、およびオペレーター) の SAF EJBROLE プロファイルが 作成され、管理ユーザー ID に管理役割が付与されます。

SAF CBIND プロファイルが作成され、構成グループに付与されます。

デジタル証明書が、各サーバー・コントローラー (デプロイメント・マネージャーまたはアプリケーション・サーバー・コントローラー) の SAF セキュリティー・システムに作成されます。

デジタル鍵リングは、 管理者、コントローラー、コントローラー領域付加属性、およびサーバー・ユーザーの SAF セキュリティー・システム で作成され、これらの鍵リングに適切な証明書が付加されます。

セキュリティー・ドメイン名は、このオプションが選択されているときに 指定される場合があります。セキュリティー・ドメイン名は、許可検査に使用 される APPL、CBIND および EJBROLE プロファイル名の一部になります。

オプション 2: WebSphere Application Server を使用してユーザー ID および 許可ポリシーを管理

このオプションがカスタマイズ中に選択されている場合は、以下のようになります。
  1. WebSphere Application Server の各ユーザーおよびグループ ID は、 WebSphere Application Server ユーザー・レジストリーのエントリーに対応しています。 初期ユーザー・レジストリーは単純なファイル・ベースのユーザー・レジストリーで、 カスタマイズ中に作成され、構成ファイル・システムに常駐します。
  2. WebSphere Application Server 役割へのアクセスは、WebSphere Application Server 役割バインディングを使用して制御されます。特に、管理役割は 管理コンソールの「Console users and groups」設定を使用して制御されます。
  3. SSL 通信のデジタル証明書は、構成ファイル・システムに保管されます。

z/OS システムのセキュリティー製品は常に、WebSphere Application Server for z/OS の開始タスク ID、およびロケーション・サービス・デーモンの デジタル証明書 (デーモン SSL が選択される場合) を制御するために使用されます。ただし、 このセキュリティー・オプションが選択されている場合、管理アクセス用のすべての WebSphere Application Server ユーザーおよびグループは、SAD ではなく WebSphere ユーザー・レジストリーで定義されます。 後に、アプリケーション・セキュリティーが有効になった場合、WebSphere Application Server の ユーザー・レジストリーはそれらのユーザー ID も保持します。

このオプションは、 サーバーやセルが z/OS と z/OS 以外が混在するシステムに常駐する場合のほか、 LDAP またはカスタム・ユーザー・レジストリーを実装して初期レジストリーを置き換えることを計画しているお客様にも適しています。 (LDAP またはカスタム・ユーザー・レジストリーを SAF へマッピングする ID と共に実装することを計画しているお客様は、 カスタマイズ中に z/OS 管理のセキュリティーを選択する必要があります。上記を参照してください。)

このオプションが カスタマイズ中に選択されている場合、ファイル・ベースのユーザー・レジストリーが 構成ファイル・システムに作成されます。

管理者ユーザー ID (およびオプションのサンプル・ユーザー ID およびグループ) は、ファイル・ベースのユーザー・レジストリーに追加されます。

管理者ユーザー ID は、許可されたコンソール・ユーザーのリストに追加されます。

サーバーの自己署名デジタル証明書は、WebSphere Application Server によって 構成ファイル・システムで自動的に作成されます。

オプション 3: セキュリティーを有効にしない

このオプションが 選択されている場合、管理セキュリティーは構成されません。管理コンソール・ポートへの アクセス権を持つすべてのユーザーは、サーバーまたはセル構成を変更することができます。

カスタマイズ後のセキュリティー・セットアップをお勧めします。

WebSphere Application Server の 初期セキュリティー・セットアップ・オプションは非常に基本的で、初期管理セキュリティーの提供のみを目的としています。 ご使用のサーバーまたはセルが稼働した後、次のことを行えます。
  • 別のユーザー・レジストリーに切り換えます。SAF セキュリティー・データベースまたはファイル・ベースのレジストリーの代わりに、 LDAP またはカスタム・ユーザー・レジストリーを使用できます。
  • 追加の管理者を定義するか、管理役割を配布します。
  • アプリケーション・セキュリティーを実装します。
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/rins_initsec.html