Application Security 2.0

このフィーチャーによって、サーバー・ランタイム環境とアプリケーションを保護するためのサポートが有効になります。これには基本ユーザー・レジストリーも含まれます。 このフィーチャーは、appSecurity-1.0 の置き換えであり、servlet-3.0 は組み込まれないほか、LDAP ユーザー・レジストリーもサポートしません。 Web アプリケーションを保護するには、servlet-3.0 フィーチャーを追加してください。 EJB アプリケーションを保護するには、ejbLite-3.1 フィーチャーを追加してください。 LDAP を使用するには、ldapRegistry-3.0 フィーチャーを追加してください。 appSecurity-2.0 フィーチャーをサーバーに追加する際は、基本ユーザー・レジストリーや LDAP ユーザー・レジストリーなどのユーザー・レジストリーの構成が必要になります。

このフィーチャーの使用可能化

Application Security 2.0 フィーチャーを使用可能にするには、 server.xml ファイル内の featureManager エレメントの中に以下のエレメント宣言を追加してください:
<feature>appSecurity-2.0</feature>

Supported Java™ バージョン

  • JavaSE-1.6
  • JavaSE-1.7
  • JavaSE-1.8

このフィーチャーに依存するフィーチャーの開発

Application Security 2.0 フィーチャーに依存するフィーチャーを開発中の場合、新フィーチャー用のフィーチャー・マニフェスト・ファイル内の Subsystem-Content ヘッダーに以下の項目を含めてください:
com.ibm.websphere.appserver.appSecurity-2.0; type="osgi.subsystem.feature"

このフィーチャーが使用可能にするフィーチャー

フィーチャーの構成エレメント

Application Security 2.0 フィーチャーを構成するために、以下のエレメントを server.xml ファイル内で使用することができます:

administrator-role
サーバー管理者ロールを割り当てられているユーザーまたはグループ (あるいはその両方) の集まり。
administrator-role > group
説明:ロールを割り当てられているグループ。
必須: false
データ型: string
administrator-role > user
説明:ロールを割り当てられているユーザー。
必須: false
データ型: string
authCache
認証キャッシュの操作を制御します。
属性名 データ型 デフォルト値 説明
allowBasicAuthLookup boolean true ユーザー ID およびハッシュ・パスワードによる検索を許可します。
initialSize int

最小: 1

50 認証キャッシュによってサポートされるエントリーの初期数。
maxSize int

最小: 1

25000 認証キャッシュによってサポートされるエントリーの最大数。
timeout 期間 (精度: ミリ秒) 600s キャッシュ内のエントリーが除去される場合にそれまでの経過時間。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
authentication
組み込み認証サービス構成を制御します。
属性名 データ型 デフォルト値 説明
allowHashtableLoginWithIdOnly boolean false アプリケーションのハッシュ・テーブル・プロパティー内の ID だけによるログインを許可します。 このオプションは、これを必要とするアプリケーションがあって、他に ID を検証する手段がある場合のみに使用してください。
cacheEnabled boolean true 認証キャッシュを使用可能にします。
basicRegistry
単純な XML ベース・ユーザー・レジストリー。
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
ignoreCaseForAuthentication boolean false 大/小文字を区別しないユーザー名認証を許可します。
realm string BasicRegistry レルム名はユーザー・レジストリーを表します。
basicRegistry > group
説明:固有の構成 ID。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
name string   基本ユーザー・レジストリー内のグループの名前。
basicRegistry > group > member
説明:固有の構成 ID。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
name string   基本ユーザー・レジストリー・グループ内のユーザーの名前。
basicRegistry > user
説明:固有の構成 ID。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
name string   基本ユーザー・レジストリー内のユーザーの名前。
password 一方向ハッシュ可能、またはリバース・エンコードされたパスワード (ストリング)   基本ユーザー・レジストリー内のユーザーのパスワード。 値は、平文形式またはエンコード形式で保管することができます。 パスワードはエンコードするようにお勧めします。 エンコードするためには、securityUtility ツールでエンコード・オプションを指定します。
classloading
グローバル・クラス・ロード
属性名 データ型 デフォルト値 説明
useJarUrls boolean false アーカイブ内のファイルを参照するために jar: または wsjar: の URL を使用するかどうか
jaasLoginContextEntry
JAAS ログイン・コンテキスト・エントリー構成。
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
loginModuleRef 最上位の jaasLoginModule エレメント (コンマ区切りのストリング) の参照のリスト。 hashtable,userNameAndPassword,certificate,token JAAS ログイン・モジュールの ID の参照。
name string   JAAS 構成エントリーの名前。
jaasLoginModule
JAAS 構成内のログイン・モジュール。
属性名 データ型 デフォルト値 説明
className string   JAAS ログイン・モジュール・クラスの完全修飾パッケージ名。
controlFlag
  • SUFFICIENT
  • REQUISITE
  • REQUIRED
  • OPTIONAL
REQUIRED ログイン・モジュールのコントロール・フラグ。 有効な値は REQUIRED、REQUISITE、SUFFICIENT、OPTIONAL です。
SUFFICIENT
この LoginModule は JAAS 仕様ごとに SUFFICIENT です。 正常に実行されるには、LoginModule モジュールは不要です。 認証が成功した場合、他の LoginModules が呼び出されることなく、制御権が呼び出し元に戻されます。
REQUISITE
この LoginModule は JAAS 仕様による REQUISITE です。 正常に実行されるには、LoginModule が必要です。 認証が失敗した場合、他の LoginModules が呼び出されることなく、制御権が呼び出し元に戻されます。
REQUIRED
この LoginModule は JAAS 仕様ごとに REQUIRED です。 正常に実行されるには、LoginModule が必要です。
OPTIONAL
この LoginModule は JAAS 仕様ごとに OPTIONAL です。 正常に実行されるには、LoginModule モジュールは不要です。
id string   固有の構成 ID。
libraryRef 最上位の library エレメント (ストリング) の参照。   共有ライブラリー構成の ID の参照。
jaasLoginModule > library
説明:共有ライブラリー構成の ID の参照。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
apiTypeVisibility string spec,ibm-api,api このライブラリーのクラス・ローダーから参照可能になる API パッケージのタイプ。spec、ibm-api、api、third-party を任意に組み合わせたコンマ区切りリストで示されます。
description string   管理者用の共有ライブラリーの説明
filesetRef 最上位の fileset エレメント (コンマ区切りのストリング) の参照のリスト。   参照されるファイル・セットの ID
name string   管理者用の共有ライブラリーの名前
jaasLoginModule > library > file
説明:参照されるファイルの ID
必須: false
データ型:
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
name ファイルのパス   完全修飾ファイル名
jaasLoginModule > library > fileset
説明:参照されるファイル・セットの ID
必須: false
データ型:
属性名 データ型 デフォルト値 説明
caseSensitive boolean true 検索で大/小文字を区別するかどうかを指示するブール値 (デフォルト: true)。
dir ディレクトリーのパス ${server.config.dir} ファイルを検索するベース・ディレクトリー。
excludes string   検索結果から除外するファイル名パターンのコンマ区切りリストまたはスペース区切りリスト。デフォルトでは、除外されるファイルがありません。
id string   固有の構成 ID。
includes string * 検索結果に組み込むファイル名パターンのコンマ区切りリストまたはスペース区切りリスト (デフォルト: *)。
scanInterval 期間 (精度: ミリ秒) 0 long と時間単位のサフィックス (h - 時間、m - 分、s - 秒、ms - ミリ秒 (例: 2ms、5s)) で表した、ファイル・セットの変更をチェックするスキャン間隔。 デフォルトでは使用不可です (scanInterval=0)。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
jaasLoginModule > library > folder
説明:参照されるフォルダーの ID
必須: false
データ型:
属性名 データ型 デフォルト値 説明
dir ディレクトリーのパス   リソース・ファイルを見つけるためにライブラリー・クラスパスに含められるディレクトリーまたはフォルダー
id string   固有の構成 ID。
jaasLoginModule > options
説明:JAAS ログイン・モジュール・オプションの集まり
必須: false
データ型:
library
共有ライブラリー
属性名 データ型 デフォルト値 説明
apiTypeVisibility string spec,ibm-api,api このライブラリーのクラス・ローダーから参照可能になる API パッケージのタイプ。spec、ibm-api、api、third-party を任意に組み合わせたコンマ区切りリストで示されます。
description string   管理者用の共有ライブラリーの説明
filesetRef 最上位の fileset エレメント (コンマ区切りのストリング) の参照のリスト。   参照されるファイル・セットの ID
id string   固有の構成 ID。
name string   管理者用の共有ライブラリーの名前
library > file
説明:参照されるファイルの ID
必須: false
データ型:
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
name ファイルのパス   完全修飾ファイル名
library > fileset
説明:参照されるファイル・セットの ID
必須: false
データ型:
属性名 データ型 デフォルト値 説明
caseSensitive boolean true 検索で大/小文字を区別するかどうかを指示するブール値 (デフォルト: true)。
dir ディレクトリーのパス ${server.config.dir} ファイルを検索するベース・ディレクトリー。
excludes string   検索結果から除外するファイル名パターンのコンマ区切りリストまたはスペース区切りリスト。デフォルトでは、除外されるファイルがありません。
id string   固有の構成 ID。
includes string * 検索結果に組み込むファイル名パターンのコンマ区切りリストまたはスペース区切りリスト (デフォルト: *)。
scanInterval 期間 (精度: ミリ秒) 0 long と時間単位のサフィックス (h - 時間、m - 分、s - 秒、ms - ミリ秒 (例: 2ms、5s)) で表した、ファイル・セットの変更をチェックするスキャン間隔。 デフォルトでは使用不可です (scanInterval=0)。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
library > folder
説明:参照されるフォルダーの ID
必須: false
データ型:
属性名 データ型 デフォルト値 説明
dir ディレクトリーのパス   リソース・ファイルを見つけるためにライブラリー・クラスパスに含められるディレクトリーまたはフォルダー
id string   固有の構成 ID。
ltpa
Lightweight Third Party Authentication (LTPA) トークン構成。
属性名 データ型 デフォルト値 説明
expiration 期間 (精度: 分) 120m トークンの有効期限が切れるまでの時間 (分)。. 正整数の後に時間単位 (時間 (h)、または分 (m)) を付けて指定してください。 例えば、30 分は 30m と指定します。 単一エントリーに複数の値を含めることができます。 例えば、90 分の場合、1h30m とすることができます。
keysFileName ファイルのパス ${server.output.dir}/resources/security/ltpa.keys トークン鍵を含むファイルのパス。
keysPassword リバース・エンコードされたパスワード (ストリング) {xor}CDo9Hgw= トークン鍵のパスワード。 値は、平文形式またはエンコード形式で保管することができます。 パスワードをエンコードするようにお勧めします。エンコードするためには、securityUtility ツールでエンコード・オプションを指定します。
monitorInterval 期間 (精度: ミリ秒) 0ms LTPA トークン鍵ファイルに対する更新があるかどうかをサーバーが検査するレート。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
quickStartSecurity
単純な管理セキュリティー構成。
属性名 データ型 デフォルト値 説明
userName string   クイック・スタートのセキュリティー構成の一部として定義されている単一ユーザー。このユーザーは、管理者ロールを付与されます。
userPassword リバース・エンコードされたパスワード (ストリング)   クイック・スタートのセキュリティー構成の一部として定義されている単一ユーザーのパスワード。このパスワードはエンコードするようにお勧めします。 エンコードするためには、securityUtility ツールでエンコード・オプションを指定します。

トピックのタイプを示すアイコン 参照トピック

インフォメーション・センターに関するご使用条件 | フィードバック


タイム・スタンプ・アイコン 最終更新: 2015 年 6 月 17日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=rwlp_feature_appSecurity-2.0
ファイル名: rwlp_feature_appSecurity-2.0.html