管理セキュリティー という用語は、 セキュリティー・ドメイン全体で有効なセキュリティー構成を意味します。 セキュリティー・ドメインは、 同一のユーザー・レジストリーのレルム名で構成されたすべてのサーバーから構成されます。z/OS プラットフォームでは、 管理セキュリティー という用語は、 WebSphere Application Server セルで有効なセキュリティー構成を意味します。
場合によっては、レルムは、ローカル OS ユーザー・レジストリーのマシン名とすることができます。
この場合、すべてのアプリケーション・サーバーは、同じ物理マシン上に常駐していなければなりません。
また場合によっては、レルムは、Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーのマシン名にすることもできます。
LDAP が分散ユーザー・レジストリーであるため、
これによって、Network Deployment 環境での複数ノード構成が可能になります。
セキュリティー・ドメインの基本的な要件は、
セキュリティー・ドメイン内の 1 つのサーバーのレジストリーによって戻されるアクセス ID が、
同じセキュリティー・ドメイン内の他のどのサーバーのレジストリーから戻されるアクセス ID とも同じであることです。
アクセス ID はユーザーを一意的に識別するもので、
リソースに対してアクセスが許可されているかどうかを判別する許可で使用されます。
サーバー・レベルで
構成の一部をオーバーライドすることができます。
1 つのノード内に複数ノードおよび複数サーバーが存在可能な場合、
属性の一部をサーバー・レベルで構成できます。
サーバー・レベルで構成可能な属性には、
サーバーのセキュリティー使用可能化、Java 2 セキュリティー・マネージャー使用可能化、
および CSIv2/SAS 認証プロトコル (RMI/IIOP セキュリティー) があります。
管理セキュリティー が使用可能であっても、
個々のアプリケーション・サーバーでセキュリティーを使用不可にすることができます。
ただし、管理セキュリティー が使用不可になっている間に、
個々のアプリケーション・サーバーのセキュリティーを使用可能にすることはできません。
1 つのノード内に複数ノードおよび複数サーバーが存在可能な場合、
属性の一部をサーバー・レベルで構成できます。
サーバー・レベルで構成可能な属性には、
サーバーのセキュリティー使用可能化、Java 2 セキュリティー・マネージャー使用可能化、
および CSIv2 と z/SAS 認証プロトコル (RMI/IIOP セキュリティー) があります。
管理セキュリティー が使用可能であっても、
個々のアプリケーション・サーバーでセキュリティーを使用不可にすることができます。
ただし、管理セキュリティー が使用不可になっている間に、
個々のアプリケーション・サーバーのセキュリティーを使用可能にすることはできません。
ユーザー要求に対するアプリケーション・サーバーのセキュリティーが使用不可になっている場合でも、 アプリケーション・サーバーにおける管理およびネーミングのセキュリティーは使用可能になっているため、 管理およびネーミングのインフラストラクチャーは保護された状態のままになります。 セルのセキュリティーは使用可能でも、 個々のサーバーのセキュリティーが使用不可である場合、 J2EE アプリケーションは認証も許可もされません。 ただし、ネーミングおよび管理セキュリティーは実行されます。 したがって、ネーミング・サービスは、ユーザー・アプリケーションから呼び出される可能性があるため、 必要なネーミング機能に Everyone アクセスを許可して、 これらの機能が非認証の要求を受け入れられるようにしておく必要があります。 サポートされているスクリプト・ツールを使用する場合を除き、 ユーザー・コードから管理セキュリティーに直接、アクセスすることはありません。