Application Security 2.0
このフィーチャーによって、サーバー・ランタイム環境とアプリケーションを保護するためのサポートが有効になります。これには基本ユーザー・レジストリーも含まれます。 このフィーチャーは、appSecurity-1.0 の置き換えであり、servlet-3.0 は組み込まれないほか、LDAP ユーザー・レジストリーもサポートしません。 Web アプリケーションを保護するには、servlet-3.0 フィーチャーを追加してください。 EJB アプリケーションを保護するには、ejbLite-3.1 フィーチャーを追加してください。 LDAP を使用するには、ldapRegistry-3.0 フィーチャーを追加してください。 appSecurity-2.0 フィーチャーをサーバーに追加する際は、基本ユーザー・レジストリーや LDAP ユーザー・レジストリーなどのユーザー・レジストリーの構成が必要になります。
このフィーチャーの使用可能化
Application Security 2.0 フィーチャーを使用可能にするには、
server.xml ファイル内の featureManager エレメントの中に以下のエレメント宣言を追加してください:
<feature>appSecurity-2.0</feature>
Supported Java™ バージョン
- JavaSE-1.6
- JavaSE-1.7
- JavaSE-1.8
このフィーチャーに依存するフィーチャーの開発
Application Security 2.0 フィーチャーに依存するフィーチャーを開発中の場合、新フィーチャー用のフィーチャー・マニフェスト・ファイル内の Subsystem-Content ヘッダーに以下の項目を含めてください:
com.ibm.websphere.appserver.appSecurity-2.0; type="osgi.subsystem.feature"
このフィーチャーが使用可能にするフィーチャー
このフィーチャーを使用可能にするフィーチャー
フィーチャーの構成エレメント
Application Security 2.0 フィーチャーを構成するために、以下のエレメントを server.xml ファイル内で使用することができます:
- administrator-role
- authCache
- authentication
- basicRegistry
- classloading
- jaasLoginContextEntry
- jaasLoginModule
- library
- ltpa
- quickStartSecurity
- administrator-role
- サーバー管理者ロールを割り当てられているユーザーまたはグループ (あるいはその両方) の集まり。
- authCache
- 認証キャッシュの操作を制御します。
属性名 データ型 デフォルト値 説明 allowBasicAuthLookup boolean true ユーザー ID およびハッシュ・パスワードによる検索を許可します。 initialSize int 最小: 1
50 認証キャッシュによってサポートされるエントリーの初期数。 maxSize int 最小: 1
25000 認証キャッシュによってサポートされるエントリーの最大数。 timeout 期間 (精度: ミリ秒) 600s キャッシュ内のエントリーが除去される場合にそれまでの経過時間。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 - authentication
- 組み込み認証サービス構成を制御します。
属性名 データ型 デフォルト値 説明 allowHashtableLoginWithIdOnly boolean false アプリケーションのハッシュ・テーブル・プロパティー内の ID だけによるログインを許可します。 このオプションは、これを必要とするアプリケーションがあって、他に ID を検証する手段がある場合のみに使用してください。 cacheEnabled boolean true 認証キャッシュを使用可能にします。 - basicRegistry
- 単純な XML ベース・ユーザー・レジストリー。
属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 ignoreCaseForAuthentication boolean false 大/小文字を区別しないユーザー名認証を許可します。 realm string BasicRegistry レルム名はユーザー・レジストリーを表します。 - basicRegistry > group
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 name string 基本ユーザー・レジストリー内のグループの名前。
- basicRegistry > user
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 name string 基本ユーザー・レジストリー内のユーザーの名前。 password 一方向ハッシュ可能、またはリバース・エンコードされたパスワード (ストリング) 基本ユーザー・レジストリー内のユーザーのパスワード。 値は、平文形式またはエンコード形式で保管することができます。 パスワードはエンコードするようにお勧めします。 エンコードするためには、securityUtility ツールでエンコード・オプションを指定します。
- classloading
- グローバル・クラス・ロード
属性名 データ型 デフォルト値 説明 useJarUrls boolean false アーカイブ内のファイルを参照するために jar: または wsjar: の URL を使用するかどうか - jaasLoginContextEntry
- JAAS ログイン・コンテキスト・エントリー構成。
属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 loginModuleRef 最上位の jaasLoginModule エレメント (コンマ区切りのストリング) の参照のリスト。 hashtable,userNameAndPassword,certificate,token JAAS ログイン・モジュールの ID の参照。 name string JAAS 構成エントリーの名前。 - jaasLoginModule
- JAAS 構成内のログイン・モジュール。
属性名 データ型 デフォルト値 説明 className string JAAS ログイン・モジュール・クラスの完全修飾パッケージ名。 controlFlag - SUFFICIENT
- REQUISITE
- REQUIRED
- OPTIONAL
REQUIRED ログイン・モジュールのコントロール・フラグ。 有効な値は REQUIRED、REQUISITE、SUFFICIENT、OPTIONAL です。 - SUFFICIENT
- この LoginModule は JAAS 仕様ごとに SUFFICIENT です。 正常に実行されるには、LoginModule モジュールは不要です。 認証が成功した場合、他の LoginModules が呼び出されることなく、制御権が呼び出し元に戻されます。
- REQUISITE
- この LoginModule は JAAS 仕様による REQUISITE です。 正常に実行されるには、LoginModule が必要です。 認証が失敗した場合、他の LoginModules が呼び出されることなく、制御権が呼び出し元に戻されます。
- REQUIRED
- この LoginModule は JAAS 仕様ごとに REQUIRED です。 正常に実行されるには、LoginModule が必要です。
- OPTIONAL
- この LoginModule は JAAS 仕様ごとに OPTIONAL です。 正常に実行されるには、LoginModule モジュールは不要です。
id string 固有の構成 ID。 libraryRef 最上位の library エレメント (ストリング) の参照。 共有ライブラリー構成の ID の参照。 - jaasLoginModule > library
説明: 共有ライブラリー構成の ID の参照。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 apiTypeVisibility string spec,ibm-api,api このライブラリーのクラス・ローダーから参照可能になる API パッケージのタイプ。spec、ibm-api、api、third-party を任意に組み合わせたコンマ区切りリストで示されます。 description string 管理者用の共有ライブラリーの説明 filesetRef 最上位の fileset エレメント (コンマ区切りのストリング) の参照のリスト。 参照されるファイル・セットの ID name string 管理者用の共有ライブラリーの名前 - jaasLoginModule > library > file
説明: 参照されるファイルの ID必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 name ファイルのパス 完全修飾ファイル名
- jaasLoginModule > library > fileset
説明: 参照されるファイル・セットの ID必須: falseデータ型: 属性名 データ型 デフォルト値 説明 caseSensitive boolean true 検索で大/小文字を区別するかどうかを指示するブール値 (デフォルト: true)。 dir ディレクトリーのパス ${server.config.dir} ファイルを検索するベース・ディレクトリー。 excludes string 検索結果から除外するファイル名パターンのコンマ区切りリストまたはスペース区切りリスト。デフォルトでは、除外されるファイルがありません。 id string 固有の構成 ID。 includes string * 検索結果に組み込むファイル名パターンのコンマ区切りリストまたはスペース区切りリスト (デフォルト: *)。 scanInterval 期間 (精度: ミリ秒) 0 long と時間単位のサフィックス (h - 時間、m - 分、s - 秒、ms - ミリ秒 (例: 2ms、5s)) で表した、ファイル・セットの変更をチェックするスキャン間隔。 デフォルトでは使用不可です (scanInterval=0)。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
- library
- 共有ライブラリー
属性名 データ型 デフォルト値 説明 apiTypeVisibility string spec,ibm-api,api このライブラリーのクラス・ローダーから参照可能になる API パッケージのタイプ。spec、ibm-api、api、third-party を任意に組み合わせたコンマ区切りリストで示されます。 description string 管理者用の共有ライブラリーの説明 filesetRef 最上位の fileset エレメント (コンマ区切りのストリング) の参照のリスト。 参照されるファイル・セットの ID id string 固有の構成 ID。 name string 管理者用の共有ライブラリーの名前 - library > file
説明: 参照されるファイルの ID必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 name ファイルのパス 完全修飾ファイル名
- library > fileset
説明: 参照されるファイル・セットの ID必須: falseデータ型: 属性名 データ型 デフォルト値 説明 caseSensitive boolean true 検索で大/小文字を区別するかどうかを指示するブール値 (デフォルト: true)。 dir ディレクトリーのパス ${server.config.dir} ファイルを検索するベース・ディレクトリー。 excludes string 検索結果から除外するファイル名パターンのコンマ区切りリストまたはスペース区切りリスト。デフォルトでは、除外されるファイルがありません。 id string 固有の構成 ID。 includes string * 検索結果に組み込むファイル名パターンのコンマ区切りリストまたはスペース区切りリスト (デフォルト: *)。 scanInterval 期間 (精度: ミリ秒) 0 long と時間単位のサフィックス (h - 時間、m - 分、s - 秒、ms - ミリ秒 (例: 2ms、5s)) で表した、ファイル・セットの変更をチェックするスキャン間隔。 デフォルトでは使用不可です (scanInterval=0)。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
- ltpa
- Lightweight Third Party Authentication (LTPA) トークン構成。
属性名 データ型 デフォルト値 説明 expiration 期間 (精度: 分) 120m トークンの有効期限が切れるまでの時間 (分)。. 正整数の後に時間単位 (時間 (h)、または分 (m)) を付けて指定してください。 例えば、30 分は 30m と指定します。 単一エントリーに複数の値を含めることができます。 例えば、90 分の場合、1h30m とすることができます。 keysFileName ファイルのパス ${server.output.dir}/resources/security/ltpa.keys トークン鍵を含むファイルのパス。 keysPassword リバース・エンコードされたパスワード (ストリング) {xor}CDo9Hgw= トークン鍵のパスワード。 値は、平文形式またはエンコード形式で保管することができます。 パスワードをエンコードするようにお勧めします。エンコードするためには、securityUtility ツールでエンコード・オプションを指定します。 monitorInterval 期間 (精度: ミリ秒) 0ms LTPA トークン鍵ファイルに対する更新があるかどうかをサーバーが検査するレート。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 - quickStartSecurity
- 単純な管理セキュリティー構成。
属性名 データ型 デフォルト値 説明 userName string クイック・スタートのセキュリティー構成の一部として定義されている単一ユーザー。このユーザーは、管理者ロールを付与されます。 userPassword リバース・エンコードされたパスワード (ストリング) クイック・スタートのセキュリティー構成の一部として定義されている単一ユーザーのパスワード。このパスワードはエンコードするようにお勧めします。 エンコードするためには、securityUtility ツールでエンコード・オプションを指定します。