外部スケジューラー統合インターフェースをセキュアにするためには、
JobSchedulerMDI システム・アプリケーションとそのアプリケーションが使用する JMS リソースをセキュアにする必要があります。
このタスクについて
次の図に、必要な操作とそれを適用する環境成果物を示します。

以下に、外部スケジューラー統合インターフェースをセキュアにする手順を説明します。
プロシージャー
-
バス・セキュリティーを有効にします。
WebSphere 管理コンソールで JobSchedulerBus のセキュリティーを有効にします。
-
「セキュリティー」>「バス・セキュリティー」>「bus_name」をクリックします。
-
「バス・セキュリティーを使用可能にする」チェック・ボックスにチェック・マークを付けます。
-
「OK」の後に「保存」をクリックし、構成を保存します。
-
JAAS 別名を定義します。
JobSchedulerMDI アプリケーションの JMS activationSpec には、JAAS 別名が必要です。任意の JAAS 別名を指定します。この別名に定義したユーザー ID とパスワードは、ジョブ・スケジューラーからそのインバウンド JMS キュー (com.ibm.ws.grid.InputQueue) へのアクセスを表します。また JAAS 別名は、ジョブ・スケジューラーがクライアントとの通信に使用するアウトバウンド・キューに対する認証のために、JobSchedulerMDI アプリケーションでもプログラマチックに使用されます。アウトバウンド・キューは、com.ibm.ws.grid.OutputQueue です。WebSphere 管理コンソールで JAAS 別名を定義します。
-
「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」>「Java 認証・承認サービス」>「J2C 認証データ」を選択します。
-
構成内容を保存します。
-
activationSpec (com.ibm.ws.grid.ActivationSpec) に JAAS 別名を割り当てます。
-
ロールを割り当てます。
バスおよび入出力バス宛先へのアクセス権限を与えるためにロールを割り当てる必要があります。このようなロールの割り当ては、WebSphere 管理コンソールで「セキュリティー」>「バス・セキュリティー」>「bus_name」> 「使用不可」>「バス・コネクター・ロールを持つユーザーおよびグループ」を選択して実行できます。また、wsadmin コマンドでも同じことを行うことができます。
$AdminTask
addUserToBusConnectorRole {-bus busName -user username} または
$AdminTask
addGroupToBusConnectorRole {-bus busName –group groupname}
以下のロールを割り当てる必要があります。
-
JobSchedulerBus
BusConnector ロールを次のユーザー ID に割り当てます。
- com.ibm.ws.grid.ActivationSpec に割り当てられた ID。これによって、JobScheduler はバスにアクセスできるようになります。
- WSGrid が入力キューへのクライアント・アクセスの認証に使用している各 ID (下記のステップ 4 を参照)。これによって、WSGrid 呼び出し側はバスにアクセスできるようになります。
-
com.ibm.ws.grid.InputQueue
前のステップで BusConnector ロールに割り当てたのと同じ ID に対して sender、receiver、および browser ロールを割り当てることにより、この宛先へのアクセスを許可します。この操作は wsadmin コマンドでのみ行うことができます。
$AdminTask addUserToDestinationRole {-type queue –bus
JobSchedulerBus -destination com.ibm.ws.grid.InputQueue -role Sender -user userName}
$AdminTask addGroupToDestinationRole {-type queue –bus
JobSchedulerBus -destination com.ibm.ws.grid.InputQueue -role Sender –group groupName}
AdminTask.setInheritDefaultsForDestination('-bus WSS.JobScheduler.Bus -type queue -destination com.ibm.ws.grid.InputQueue -inherit false'
receiver および browser ロールに対して繰り返します。
-
com.ibm.ws.grid.OutputQueue
前のステップで、com.ibm.ws.grid.InputQueue に割り当てたのと同じロールを宛先 com.ibm.ws.grid.OutputQueue に割り当てることにより、この宛先へのアクセスを許可します。
-
クライアントから入力キューへのアクセスを認証します。
WSGrid の入力制御プロパティー・ファイルで、ユーザー ID とパスワードのプロパティーを指定します。例えば、 submitter-userid=username、submitter-password=password などとします。パスワードは、WebSphere PropFilePasswordEncoder ユーティリティーを使用すれば、エンコードできます。