認証メカニズムおよび有効期限

このページを使用して、共有鍵を指定し、サーバー間の情報の交換に使用される認証メカニズムを構成します。 またこのページは、認証情報の有効期間の指定、およびシングル・サインオン構成の指定にも使用します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「認証」の下で、「認証メカニズムおよび有効期限」>「LTPA」とクリックします。
このページのプロパティーを構成した後、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「使用可能なレルム定義」で、適切なレジストリーが構成されていることを確認します。
  3. 適用」をクリックします。セキュリティーが使用可能になっていて、これらのプロパティーのいずれかを変更した場合は、 「グローバル・セキュリティー」パネルに戻り、「適用」をクリックして変更を有効にします。

「構成」タブ

鍵セット・グループ

秘密鍵、公開鍵、共有鍵のグループを指定します。 これらの鍵グループにより、アプリケーション・サーバーが Lightweight Third Party Authentication (LTPA) 鍵の複数のセットを 管理できるようになります。

鍵の生成

構成済みの鍵ストアに新規の LTPA 鍵セットを生成するかどうか、また新規の鍵を使ってランタイムを更新するかどうかを指定します。 デフォルトでは、LTPA 鍵は 90 日ごとのスケジュールで再生成され、曜日に対して構成可能となります。

新規の各 LTPA 鍵のセットは、鍵セット・グループに関連づけられた鍵ストアに保管されます。 鍵の最大数を (1 の場合でも) 構成することができます。 しかし、少なくとも 2 つの鍵を持っておくことを推奨します。 新しい鍵が配布される一方で、古い鍵を妥当性検査に使用することができるからです。

このステップは、セキュリティーを使用可能にしている間は必要ありません。 デフォルトの鍵セットは、最初にサーバーを始動する際に作成されます。 鍵生成イベントの間にダウンしているノードがある場合は、再始動の前にデプロイメント・マネージャーでそのノードを同期化する必要があります。

認証キャッシュ・タイムアウト

キャッシュ内の認証クレデンシャルの有効期限の期間を指定します。 この期間が、「Timeout value for forwarded credentials between servers」フィールドの値よりも少ないことを確認してください。

アプリケーション・サーバー・インフラストラクチャーのセキュリティーが使用可能になっている場合、 セキュリティー・キャッシュのタイムアウトによってパフォーマンスが影響を受ける可能性があります。 このタイムアウト設定値では、セキュリティー関連のキャッシュのリフレッシュ頻度が指定されます。 キャッシュに入るのは、Bean、許可、およびクレデンシャルに関するセキュリティー情報です。 キャッシュ・タイムアウトが満了すると、 タイムアウト期間中にアクセスされなかった すべてのキャッシュされた情報は、キャッシュからパージされます。 その後でその情報に関する要求が行われると、データベースが検索されます。 情報を獲得するために、Lightweight Directory Access Protocol (LDAP) バインド またはネイティブの認証を呼び出すことが必要になる場合があります。 この呼び出しでは両方とも、比較的にパフォーマンスのコストがかかります。そのサイトの使用パターンとセキュリティーの必要性を検討して、アプリケーションにとって最適なトレードオフを決定してください。

デフォルトのセキュリティー・キャッシュ・タイムアウト値は 10 分です。ユーザーが少ない場合はもっ と長く、または、ユーザーが多い場合はもっと短い時間にする必要があります。

LTPA タイムアウト値は、セキュリティー・キャッシュ・タイムアウト以上でなければなりません。 また、LTPA タイムアウト値は ORB 要求タイムアウト値よりも長く設定することも推奨されます。 しかし、セキュリティー・キャッシュ・タイムアウト値と ORB 要求タイムアウト値との間には何の関係もありません。

[AIX Solaris HP-UX Linux Windows] [iSeries] 20 分間のパフォーマンス・テストでは、 タイムアウトが生じないようにキャッシュ・タイムアウトを設定すると、 パフォーマンスが 40% 向上します。

データ型 整数
単位 分および秒
デフォルト 10 分
範囲: 30 秒より大
Timeout value for forwarded credentials between servers

転送されたクレデンシャルの有効期限が切れるまでの期間を指定します。

認証キャッシュのタイムアウト値よりも大きい値をこのフィールドに指定します。

デフォルト 120 分
注: サーバー間で転送されたクレデンシャルのタイムアウト値は、 5 から 35971 の間の整数である必要があります。
パスワード

SSO プロパティー・ファイルから LTPA 鍵を暗号化および暗号化解除するために使用するパスワードを入力します。インポートの間、このパスワードは他の LTPA サーバー (例えば、他のアプリケーション・サーバー・セル、Lotus® Domino® Server など) で 鍵をエクスポートするのに使用するパスワードと一致する必要があります。 インポート操作で指定するときのために、エクスポートの間にこのパスワードを覚えておくようにしてください。

これらの鍵は、生成またはインポートされると、 LTPA トークンの暗号化および暗号化解除に使用されるようになります。 パスワードが変更された場合、「OK」または「適用」をクリックすると、 新しい LTPA 鍵のセットが自動的に生成されます。 この新規の鍵セットは、構成変更の保管後に使用されます。

データ型 ストリング
確認パスワード

LTPA 鍵を暗号化および暗号化解除するために使用する、確認済みパスワードを指定します。

このパスワードは、他のアプリケーション・サーバーの管理可能ドメイン構成にこれらの鍵をインポートしたり、Lotus Domino Server のための SSO を構成したりする際に使用します。

データ型 ストリング
完全修飾鍵ファイル名

鍵をインポートまたはエクスポートするときに使用されるファイルの名前を指定します。

完全修飾された鍵ファイル名を入力し、 「鍵のインポート」または「鍵のエクスポート」をクリックしてください。

データ型 ストリング
内部サーバー ID

サーバー同士のプロセス間通信に使用されるサーバー ID を指定します。 サーバー ID はリモート側で送信されると LTPA トークンで保護されます。内部サーバー ID を編集して、複数のアプリケーション・サーバー管理可能ドメイン (セル) 間で使用されるサーバー ID と同一にすることができます。デフォルトでは、この ID はセル名になります。

この内部サーバー ID は、バージョン 6.1 以上の環境でのみ使用します。 混合バージョンのセルでは、インターオペラビリティー用にサーバー・ユーザー ID とサーバー・パスワードに使用を変更する必要があります。

インターオペラビリティーのためにサーバー・ユーザー ID およびパスワードにスイッチバックするには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 ユーザー・レジストリーを選択し、「構成」をクリックします。
  3. [AIX Solaris HP-UX Linux Windows] [iSeries]リポジトリーに保管されたサーバー ID」オプションを選択し、有効なレジストリー ID とパスワードを入力します。

[z/OS]自動的に生成されたサーバー ID 」オプションまたは「z/OS® 開始タスクのユーザー ID」オプションを指定できます。

データ型 ストリング
鍵のインポート

サーバーが新規 LTPA 鍵をインポートするかどうかを指定します。

アプリケーション・サーバー製品で複数のアプリケーション・サーバー・ドメイン (セル) に及ぶ シングル・サインオン (SSO) をサポートするには、それらのドメイン間で LTPA 鍵とパスワードを共用してください。「鍵のインポート」オプションを使用すると、他のドメインから LTPA 鍵をインポートすることができます。 LTPA 鍵は、いずれかのセルからファイルにエクスポートされます。 新しい LTPA 鍵のセットをインポートするには、以下のステップを実行します。
  1. 「パスワード」および「確認パスワード」フィールドに、該当のパスワードを入力します。
  2. OK」をクリックして、「保管」をクリックします。
  3. 「Fully qualified key file name」フィールドに、LTPA 鍵が配置されているディレクトリー・ロケーションを入力してから、 「鍵のインポート」をクリックします。
  4. OK」または「適用」はクリックしないで、設定を保管してください。
鍵のエクスポート

サーバーが LTPA 鍵をエクスポートするかどうかを指定します。

複数のアプリケーション・サーバー・ドメイン (セル) で WebSphere® 製品へのシングル・サインオン (SSO) をサポートするには、それらのドメイン間で LTPA 鍵とパスワードを共用してください。「鍵のエクスポート」オプションを使用すれば、LTPA 鍵を他のドメインにエクスポートできます。

LTPA 鍵をエクスポートするためには、システムがセキュリティーを有効にして、 LTPA を使用して実行されていることを確認してください。 「Fully qualified key file name」フィールドにファイル名を入力し、「鍵のエクスポート」をクリックしてください。指定されたファイルに暗号化された鍵が保管されます。

Use SWAM-no authenticated communication between servers [AIX Solaris HP-UX Linux Windows]

Simple WebSphere Authentication Mechanism (SWAM) を指定します。非認証のクレデンシャルがサーバー間で転送されます。 呼び出し側のプロセスがリモート・メソッドを呼び出す際には、その ID は検査されません。 EJB メソッドのセキュリティー権限によっては、認証障害が起こることもあります。

SWAM は推奨されないフィーチャーであり、将来のリリースでは除去される予定です。 サーバー間の認証済み通信には、LTPA を使用することをお勧めします。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク


ファイル名: usec_authmechandexpire.html