このページを使用して、ドメインのセキュリティー属性を構成し、そのドメインをセルのリソースに割り当てます。 各セキュリティー属性では、グローバル・セキュリティー設定 またはそのドメイン用のカスタマイズ設定を使用できます。
この管理コンソール・ページを表示するには、 「セキュリティー」>「セキュリティー・ドメイン」をクリックします。「セキュリティー・ドメイン・コレクション (Security domains collection)」ページで、 既存のドメインを選択して構成するか、新規ドメインを作成するか、または既存のドメインをコピーします。
このバージョンの WebSphere® Application Server でサポートされているセキュリティー・ドメインの種類と、それらのドメインのサポート方法については、複数セキュリティー・ドメインを参照してください。
ドメインの固有の名前を指定します。最初の送信が行われた後は、この名前を編集することはできません。
ドメイン・ネームは、セル内で固有でなければならず、無効な文字を含むことはできません。
ドメインの説明を指定します。
セル・トポロジーを表示する場合に選択します。セキュリティー・ドメインをセル全体に割り当てることができますが、特定のクラスター、ノード、およびサービス統合バスを選択して、それらをセキュリティー・ドメインに組み込むこともできます。
「すべてのリソース (All Resources)」を選択した場合、セル・トポロジー全体が表示されます。
「すべての割当済みリソース (All Assigned Resources)」を選択すると、セル・トポロジーが、 現在のドメインに組み込まれているサーバーおよびクラスターとともに表示されます。
すべてのリソースの隣に、明示的に割り当てられたドメインの名前が表示されます。 チェックのマークが付いたボックスは、そのドメインに現在割り当てられているリソースを示します。 また、他のリソースを選択して「適用」または「OK」をクリックすることによって、 それらを現在のドメインに割り当てることもできます。
チェックのマークのない (使用不可の) リソースは、 そのリソースが現在のドメインに割り当てられておらず、現在のドメインで 使用できるようにするにはまず別のドメインから除去する必要があることを示しています。
リソースに明示的に割り当てられたドメインがない場合は、 セルに割り当てられているドメインが使用されます。 セルにドメインが割り当てられていない場合、リソースはグローバル設定を使用します。
クラスター・メンバーは個別にドメインに割り当てられないため、 エンタープライズ・クラスターでは同じドメインが使用されます。
ユーザー・アプリケーションのセキュリティーを使用可能または使用不可にするには、「アプリケーション・セキュリティーを使用可能にする」を選択します。 グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。
この選択が使用不可になっている場合は、セキュリティー・ドメイン内のすべての EJB および Web アプリケーションが保護されていません。 これらのリソースへのアクセスは、ユーザー認証がない場合でも許可されます。 この選択を使用可能にすると、セキュリティー・ドメイン内の EJB および Web アプリケーションのすべてに対して、J2EE セキュリティーが実行されます。 J2EE セキュリティーが適用されるのは、グローバル・セキュリティー構成内のグローバル・セキュリティーが使用可能になっている場合のみです (つまり、まずグローバル・レベルでグローバル・セキュリティーを使用可能にしなければ、アプリケーション・セキュリティーを使用可能にすることはできません)。
ご使用の環境内のアプリケーションのセキュリティーを 使用可能にします。このタイプのセキュリティーは、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供します。
WebSphere Application Server の以前のリリースでは、グローバル・セキュリティーを使用可能にすると、 管理とアプリケーションの両方のセキュリティーが使用可能になりました。 WebSphere Application Server バージョン 6.1 では、 これまでのグローバル・セキュリティーの概念が管理セキュリティーと アプリケーション・セキュリティーに分割され、それらを個別に使用可能化できるようになりました。
この分割の結果、WebSphere Application Server クライアントは、 ターゲット・サーバーでアプリケーション・セキュリティーが使用不可になっているかどうかを認識する必要があります。 管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーを使用可能にするには、管理セキュリティーを使用可能にする必要があります。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。
この選択が使用不可になっている場合は、セキュリティー・ドメイン内のすべての EJB および Web アプリケーションが保護されていません。 これらのリソースへのアクセスは、ユーザー認証がない場合でも許可されます。 この選択を使用可能にすると、セキュリティー・ドメイン内の EJB および Web アプリケーションのすべてに対して、J2EE セキュリティーが実行されます。 J2EE セキュリティーが適用されるのは、グローバル・セキュリティー構成内のグローバル・セキュリティーが使用可能になっている場合のみです (つまり、まずグローバル・レベルでグローバル・セキュリティーを使用可能にしなければ、アプリケーション・セキュリティーを使用可能にすることはできません)。
「Java™ 2 セキュリティーを使用する」を選択して、ドメイン・レベルで Java 2 セキュリティー を使用可能または使用不可にします。または、Java 2 セキュリティーに関連するプロパティーを割り当てるか、追加します。グローバル・セキュリティーの設定を使用することも、 ドメイン用に設定をカスタマイズすることも可能です。
これを選択すると、プロセス (JVM) レベルで Java 2 セキュリティーを使用可能または使用不可にできるため、すべてのアプリケーション (管理およびユーザーの両方) で Java 2 セキュリティーを使用可能または使用不可にできるようになります。
使用される「グローバル・セキュリティーの設定」を指定する場合に選択します。
ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。
Java 2 セキュリティー権限の検査を使用可能にするのか、使用不可にするかを指定する場合に選択します。デフォルトでは、ローカル・リソースへのアクセスは制限されません。アプリケーション・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。
「Java 2 セキュリティーを使用して アプリケーションのアクセスをローカル・リソースに制限する」オプションを 使用可能にしている場合に、アプリケーションがデフォルト・ポリシーで 付与されている権限以上の Java 2 セキュリティー 権限を要求すると、このアプリケーションは、要求した権限が アプリケーションの app.policy ファイル または was.policy ファイル内で付与されるまで 適切に実行されない可能性があります。 必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。
アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 Java API 許可は、 java.* および javax.* パッケージ内の許可です。
アプリケーション・サーバーは、ポリシー・ファイル管理をサポートします。この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。 filter.policy ファイルには、J2EE 1.4 仕様に従って、アプリケーションに与えたくない許可のリストが入っています。
Java 2 セキュリティーが使用可能になっていない場合、このオプションも使用不可です。
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
「リソース認証データへのアクセスを制限する」オプションによって、WSPrincipalMappingLoginModule 実装のデフォルト・プリンシパル・マッピングに、Java 2 セキュリティー権限の厳密な検査機能が追加されます。「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションと 「 リソース認証データへのアクセスを制限する」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接 WSPrincipalMappingLoginModule 実装を使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的なアクセス権を付与する必要があります。
デフォルト: | 使用不可 |
このセクションでは、セキュリティー・ドメインのユーザー・レジストリーを構成できます。 ドメイン・レベルで使用されるフェデレーテッド・ レジストリーを除き、すべてのレジストリーを個別に構成することができます。フェデレーテッド・リポジトリーは、 グローバル・レベルでのみ構成できますが、ドメイン・レベルで使用することができます。
ドメイン・レベルでレジストリーを構成すると、レジストリー用に独自のレルム名を定義できます。 レルム名は、あるユーザー・レジストリーと別のレジストリーを識別します。 レルム名は、ユーザーにプロンプトを出す Java クライアント・ログイン・パネル内、 認証キャッシュ内、およびネイティブ許可を使用する場合など、複数の場所で使用されます。
グローバル構成レベルでは、ユーザー・レジストリーのレルムがシステムによって作成されます。 WebSphere Application Server の以前のリリースでは、システム内に構成されるユーザー・レジストリーは 1 つのみです。 複数のセキュリティー・ドメインがある場合は、システム内に複数のレジストリーを構成できます。 レルムがこれらのドメインにおいて固有である場合、 セキュリティー・ドメインの独自のレルム名を構成します。 また、このレルム名が固有であることが確実な場合は、 システムに固有のレルム名を作成させるよう選択できます。 後者の場合、レルム名は、使用されるレジストリーに基づきます。
トラスト・アソシエーションの設定を指定する場合に選択します。トラスト・アソシエーションは、 リバース・プロキシー・サーバーをアプリケーション・サーバーに接続するために使用されます。
トラスト・アソシエーションにより、 IBM® WebSphere Application Server セキュリティーとサード・パーティー製セキュリティー・サーバーとを統合することができます。具体的には、 リバース・プロキシー・サーバーがフロントエンド認証サーバーとして機能でき、この製品が 自身の許可ポリシーをプロキシー・サーバーから渡された信任状に適用します。
Tivoli® Access Manager のトラスト・アソシエーション・インターセプターは、グローバル・レベルでのみ構成できます。 ドメインの構成にもこれを使用できますが、バージョンが異なるトラスト・アソシエーション・インターセプターを含めることはできません。 システム内に存在できる、Tivoli Access Manager のトラスト・アソシエーション・インターセプターのインスタンスは 1 つのみです。
リバース・プロキシー・サーバーのトラスト情報へアクセスする場合、 またはこの情報を指定する場合に選択します。
IBM WebSphere Application Server セキュリティーと サード・パーティー製セキュリティー・サーバーの統合を有効にする場合に選択します。具体的には、 リバース・プロキシー・サーバーがフロントエンド認証サーバーとして機能でき、この製品が 自身の許可ポリシーをプロキシー・サーバーから渡された信任状に適用します。
Simple and Protected GSS-API Negotiation (SPNEGO) の設定を Web 認証メカニズムとして指定します。
SPNEGO Web 認証はドメイン・レベルで構成することができます。これを使用すると、Web リソースの認証用に SPNEGO を構成できるようになります。
Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) の設定を指定します。
オブジェクト・リクエスト・ブローカー (ORB) は、 Internet InterORB Protocol (IIOP) を使用して、クライアントとサーバーの間の対話を管理します。 ORB によって、クライアントはネットワーク分散環境でサーバーに対して 要求を行い、応答を受け取ることができます。
ドメイン・レベルでこれらの属性を構成する場合、 グローバル・レベルの RMI/IIOP セキュリティー構成が便宜上コピーされます。 ドメイン・レベルで別にする必要のある属性を変更できます。 CSIv2 インバウンド通信用のトランスポート層の設定は、 グローバル・レベルとドメイン・レベルの両方で同じにする必要があります。 これらの設定が異なっていると、ドメイン・レベルの属性がプロセス内のすべてのアプリケーションに適用されます。
あるプロセスが、異なるレルムを使用する別のプロセスと通信するとき、LTPA 認証および伝搬トークンはダウンストリーム・サーバーに伝搬されます。ただし、ダウンストリーム・サーバーがアウトバウンドのトラステッド・レルムのリスト内にある場合は伝搬されません。 この設定は、「CSIv2 アウトバウンド通信」パネルの 「トラステッド認証レルム - アウトバウンド (Trusted authentication realms - outbound)」 リンクを使用して実行できます。
このサーバーが Object Management Group (OMG) Common Secure Interoperability (CSI) 認証プロトコルを使用して受け入れる 接続のトランスポート設定と、受信する要求の認証設定を指定する場合に選択します。
WebSphere Application Server によって、インバウンド認証要求およびアウトバウンド認証要求の両方に対して、Internet Inter-ORB Protocol (IIOP) 認証を指定できます。 インバウンド要求の場合、基本認証などの受け入れられた認証タイプを指定できます。
サーバーが Object Management Group (OMG) Common Secure Interoperability (CSI) 認証プロトコルを使用して開始する 接続のトランスポート設定と、送信する要求の認証設定を指定する場合に選択します。
WebSphere Application Server によって、インバウンド認証要求およびアウトバウンド認証要求の両方に対して、Internet Inter-ORB Protocol (IIOP) 認証を指定できます。 アウトバウンド要求の場合、認証タイプ、ID アサーション、またはダウンストリーム・サーバーへの要求で使用するログイン構成などのプロパティーを指定できます。
JAAS で使用されるログイン構成を定義する場合に選択します。
JAAS アプリケーション・ログイン、JAAS システム・ログイン、および JAAS J2C 認証データ 別名が、ドメイン・レベルで構成できます。 デフォルトでは、システム内のすべてのアプリケーションは、グローバル・レベルで構成されている JAAS ログインにアクセスできます。 セキュリティー・ランタイムは、まずドメイン・レベルの JAAS ログインの有無を チェックします。見つからない場合は、グローバル・セキュリティー構成でそれらのログインをチェックします。 セキュリティー・ドメイン内でアプリケーションによって排他的に使用されるログインを指定する必要がある場合にのみ、これらの JAAS ログインのいずれかをドメインに構成してください。
JAAS およびカスタム・プロパティーに対してのみ、 グローバル属性はドメイン用にカスタマイズされると、ユーザー・アプリケーションでもそのまま使用できます。
他のアプリケーションが使用する可能性があるため、ClientContainer、DefaultPrincipalMapping、および WSLogin ログイン構成を除去しないでください。これらの構成が除去されると、 他のアプリケーションがログインに失敗することがあります。
ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。
JAAS システム・ログインの構成設定を指定します。 グローバル・セキュリティーの設定を使用するか、ドメイン用に構成設定をカスタマイズできます。
システム・リソースによって使用される JAAS ログイン構成 (認証メカニズム、プリンシパル・マッピング、およびクレデンシャル・マッピング) を定義する場合に選択します。
JAAS J2C 認証データの設定を指定します。グローバル・セキュリティーの設定を使用することも、 ドメイン用に設定をカスタマイズすることも可能です。
Java 2 Platform, Enterprise Edition (J2EE) コネクター認証データ・エントリーは、 リソース・アダプターおよび Java DataBase Connectivity (JDBC) データ・ソースによって使用されます。
ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。
ドメイン・レベルで適用する必要があるさまざまなキャッシュ設定を指定します。
許可プロバイダーの設定を指定します。グローバル・セキュリティーの設定を使用することも、 ドメイン用に設定をカスタマイズすることも可能です。
外部のサード・パーティー JACC (Java Authorization Contract for Containers) プロバイダーをドメイン・レベルで構成できます。Tivoli Access Manager の JACC プロバイダーは、 グローバル・レベルでのみ構成できます。 セキュリティー・ドメインが許可プロバイダーを別の JACC プロバイダーまたは組み込みネイティブ許可でオーバーライドしない場合、セキュリティー・ドメインはそのままその許可プロバイダーを使用できます。
「デフォルト許可」または「JAAC プロバイダーを使用する外部許可」を選択します。「構成」ボタンは、「JAAC プロバイダーを使用する外部許可」が選択されている場合にのみ使用できます。
System Authorization Facility (SAF) の許可の場合、ドメイン・レベルで SAF プロファイルの接頭部を設定すると、そのサーバー内のすべてのアプリケーション (管理アプリケーションとユーザー・アプリケーションの両方) でその接頭部を使用可能または使用不可にできるように、その接頭部がサーバー・レベルで適用されます。
z/OS® の設定を指定します。グローバル・セキュリティーの設定を使用することも、 ドメイン用に設定をカスタマイズすることも可能です。
アプリケーションがこの機能を要求するようコーディングされている場合に、 オペレーティング・システムのスレッド ID を、アプリケーション・サーバーの ランタイムで使用される Java 2 Platform, Enterprise Edition (J2EE) ID と 同期化できるようにするかどうかを示すために選択します。
オペレーティング・システム ID と J2EE ID を同期化すると、オペレーティング・システム ID は、 認証呼び出し元、あるいはサーブレットまたは Enterprise JavaBeans™ (EJB) ファイル内の 代行 RunAs ID と同期化されます。 この同期化 (関連付け) により、サーバー領域 ID ではなく、 呼び出し元またはセキュリティー役割の ID が、ファイルへのアクセスなどの z/OS システム・サービス要求に使用されます。
この値をドメイン・レベルで設定すると、そのサーバー内のすべてのアプリケーション (管理アプリケーションとユーザー・アプリケーションの両方) でその接頭部を使用可能または使用不可にできるように、その接頭部がサーバー・レベルで適用されます。
データの名前と値のペアを指定する場合に選択します。 名前はプロパティー・キー、値はストリング値です。
ドメイン・レベルのカスタム・プロパティーを設定します。 このプロパティーは、新規またはグローバル・レベルでの別のプロパティーです。 デフォルトでは、グローバル・セキュリティー構成のすべてのカスタム・プロパティーにシステム内のすべてのアプリケーション側からアクセスできます。 セキュリティー・ランタイム・コードは、まずドメイン・レベルのカスタム・プロパティーの有無を チェックします。見つからない場合は、グローバル・セキュリティー構成からカスタム・プロパティーを取得します。
「デフォルト・ポリシー・セットのバインディング (Default policy set bindings)」をクリックして、 ドメインのデフォルトでのプロバイダーとクライアントのバインディングを設定します。
マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。