WebSphere Application Server Network Deployment は、分散ノードや分散アプリケーション・サーバーの集中管理をサポートしています。 このサポートは、特にセキュリティーが組み込まれている場合には、複雑になります。 あらゆるものが分散されているので、アプリケーション・サーバーとノード・エージェントの間、およびノード・エージェント (ノードに固有の構成マネージャー) とデプロイメント・マネージャー (ドメイン全体をカバーする集中的な構成マネージャー) の間の通信を確実に適切なセキュア状態にするために、セキュリティーの役割は一層大きくなります。
プロセスが分散されるため、認証メ
カニズムとしては Lightweight Third Party Authentication (LTPA) を使用する必要があります。LTPA のトークンは
暗号化され署名された上で、リモート・プロセスに転送することができます。
ただし、トークンには有効期限があります。
デフォルトのコネクターである SOAP コネクターは管理セキュリティーに使用され、
有効期限が切れたトークンに対する再試行ロジックはありません。
ただし、トークンに残されている時間では要求を実行するのに十分でない場合、プロトコルがステートレスなので、要求ごとに新規のトークンが作成されます。
代替コネクターは RMI コネクターでありステートフルなので、エラー検出後、要求を再サブミットして有効期限が切れたトークンを修正するための、何らかの再試行ロジックを持っています。
また、トークンの有効期限は時刻によるものなので、トークン・ベースの妥当性検査を正しく運用するためには、システム・クロックの同期化がきわめて重要です。
クロックが大幅に (10 から 15 分くらい) 遅れてしまうと、リカバリー不能な妥当性検査の障害が
発生する可能性がありますが、この問題はクロックを同期することで防げます。
時刻、日付、および時間帯が、すべてのシステム間で一致していることを確認してください。
時間帯内での時間が正確であれば、異なる時間帯のノードも受け入れることができます (例えば、中部標準時の午後 5 時が東部標準時では午後 6 時になるなど)。
プロセスが分散されるため、Lightweight Third Party Authentication (LTPA) などの認証トークンをサポートする認証メカニズムを選択する必要があります。そのトークンは
暗号化され署名された上で、リモート・プロセスに転送することができます。
ただし、そのトークンには、WebSphere Application Server 管理コンソールで設定される有効期限の時間もあります。デフォルトのコネクターである SOAP コネクターは管理セキュリティーに使用され、
有効期限が切れたトークンに対する再試行ロジックはありません。
ただし、トークンに残されている時間では要求を実行するのに十分でない場合、プロトコルがステートレスなので、要求ごとに新規のトークンが作成されます。
代替コネクターは Remote Method Invocation (RMI) コネクターでありステートフルなので、エラーが検出後、要求を再実行依頼して有効期限が切れたトークンを修正するための、何らかの再試行ロジックを持っています。
また、トークンの有効期限は時刻によるものなので、トークン・ベースの妥当性検査を正しく運用するためには、システム・クロックの同期化がきわめて重要です。
クロックが大幅に (10 から 15 分くらい) 遅れてしまうと、リカバリー不能な妥当性検査の障害が
発生する可能性がありますが、この問題はクロックを同期することで防げます。
時刻、日付、および時間帯が、すべてのシステム間で一致していることを確認してください。
時間帯内での時間が正確であれば、異なる時間帯のノードも受け入れることができます (例えば、中部標準時の午後 5 時が東部標準時では午後 6 時になるなど)。
WebSphere Application Server for z/OS のカスタマイズ・ダイアログでは、
ノード・エージェントおよびデプロイメント・マネージャーを含め、1 つのセル内のすべてのサーバーに対して証明書を生成するために、
同じ認証局が使用されます。