セキュリティー・ドメインの構成

このページを使用して、ドメインのセキュリティー属性を構成し、そのドメインをセルのリソースに割り当てます。 各セキュリティー属性では、グローバル・セキュリティー設定 またはそのドメイン用のカスタマイズ設定を使用できます。

この管理コンソール・ページを表示するには、 「セキュリティー」>「セキュリティー・ドメイン」をクリックします。「セキュリティー・ドメイン・コレクション (Security domains collection)」ページで、 既存のドメインを選択して構成するか、新規ドメインを作成するか、または既存のドメインをコピーします。

このバージョンの WebSphere® Application Server でサポートされているセキュリティー・ドメインの種類と、それらのドメインのサポート方法については、複数セキュリティー・ドメインを参照してください。

「構成」タブ

名前

ドメインの固有の名前を指定します。最初の送信が行われた後は、この名前を編集することはできません。

ドメイン・ネームは、セル内で固有でなければならず、無効な文字を含むことはできません。

説明

ドメインの説明を指定します。

割り当てられている有効範囲

セル・トポロジーを表示する場合に選択します。セキュリティー・ドメインをセル全体に割り当てることができますが、特定のクラスター、ノード、およびサービス統合バスを選択して、それらをセキュリティー・ドメインに組み込むこともできます。

すべてのリソース (All Resources)」を選択した場合、セル・トポロジー全体が表示されます。

すべての割当済みリソース (All Assigned Resources)」を選択すると、セル・トポロジーが、 現在のドメインに組み込まれているサーバーおよびクラスターとともに表示されます。

すべてのリソースの隣に、明示的に割り当てられたドメインの名前が表示されます。 チェックのマークが付いたボックスは、そのドメインに現在割り当てられているリソースを示します。 また、他のリソースを選択して「適用」または「OK」をクリックすることによって、 それらを現在のドメインに割り当てることもできます。

チェックのマークのない (使用不可の) リソースは、 そのリソースが現在のドメインに割り当てられておらず、現在のドメインで 使用できるようにするにはまず別のドメインから除去する必要があることを示しています。

リソースに明示的に割り当てられたドメインがない場合は、 セルに割り当てられているドメインが使用されます。 セルにドメインが割り当てられていない場合、リソースはグローバル設定を使用します。

クラスター・メンバーは個別にドメインに割り当てられないため、 エンタープライズ・クラスターでは同じドメインが使用されます。

アプリケーション・セキュリティー:

ユーザー・アプリケーションのセキュリティーを使用可能または使用不可にするには、「アプリケーション・セキュリティーを使用可能にする」を選択します。 グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。

この選択が使用不可になっている場合は、セキュリティー・ドメイン内のすべての EJB および Web アプリケーションが保護されていません。 これらのリソースへのアクセスは、ユーザー認証がない場合でも許可されます。 この選択を使用可能にすると、セキュリティー・ドメイン内の EJB および Web アプリケーションのすべてに対して、J2EE セキュリティーが実行されます。 J2EE セキュリティーが適用されるのは、グローバル・セキュリティー構成内のグローバル・セキュリティーが使用可能になっている場合のみです (つまり、まずグローバル・レベルでグローバル・セキュリティーを使用可能にしなければ、アプリケーション・セキュリティーを使用可能にすることはできません)。

アプリケーション・セキュリティーの使用可能化

ご使用の環境内のアプリケーションのセキュリティーを 使用可能にします。このタイプのセキュリティーは、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供します。

WebSphere Application Server の以前のリリースでは、グローバル・セキュリティーを使用可能にすると、 管理とアプリケーションの両方のセキュリティーが使用可能になりました。 WebSphere Application Server バージョン 6.1 では、 これまでのグローバル・セキュリティーの概念が管理セキュリティーと アプリケーション・セキュリティーに分割され、それらを個別に使用可能化できるようになりました。

この分割の結果、WebSphere Application Server クライアントは、 ターゲット・サーバーでアプリケーション・セキュリティーが使用不可になっているかどうかを認識する必要があります。 管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーを使用可能にするには、管理セキュリティーを使用可能にする必要があります。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。

この選択が使用不可になっている場合は、セキュリティー・ドメイン内のすべての EJB および Web アプリケーションが保護されていません。 これらのリソースへのアクセスは、ユーザー認証がない場合でも許可されます。 この選択を使用可能にすると、セキュリティー・ドメイン内の EJB および Web アプリケーションのすべてに対して、J2EE セキュリティーが実行されます。 J2EE セキュリティーが適用されるのは、グローバル・セキュリティー構成内のグローバル・セキュリティーが使用可能になっている場合のみです (つまり、まずグローバル・レベルでグローバル・セキュリティーを使用可能にしなければ、アプリケーション・セキュリティーを使用可能にすることはできません)。

Java 2 セキュリティー:

Java™ 2 セキュリティーを使用する」を選択して、ドメイン・レベルで Java 2 セキュリティー を使用可能または使用不可にします。または、Java 2 セキュリティーに関連するプロパティーを割り当てるか、追加します。グローバル・セキュリティーの設定を使用することも、 ドメイン用に設定をカスタマイズすることも可能です。

これを選択すると、プロセス (JVM) レベルで Java 2 セキュリティーを使用可能または使用不可にできるため、すべてのアプリケーション (管理およびユーザーの両方) で Java 2 セキュリティーを使用可能または使用不可にできるようになります。

グローバル・セキュリティーの設定を使用する

使用される「グローバル・セキュリティーの設定」を指定する場合に選択します。

このドメインに対してカスタマイズする

ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。

Java 2 セキュリティーを使用してローカル・リソースへのアプリケーションのアクセスを制限する

Java 2 セキュリティー権限の検査を使用可能にするのか、使用不可にするかを指定する場合に選択します。デフォルトでは、ローカル・リソースへのアクセスは制限されません。アプリケーション・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。

Java 2 セキュリティーを使用して アプリケーションのアクセスをローカル・リソースに制限する」オプションを 使用可能にしている場合に、アプリケーションがデフォルト・ポリシーで 付与されている権限以上の Java 2 セキュリティー 権限を要求すると、このアプリケーションは、要求した権限が アプリケーションの app.policy ファイル または was.policy ファイル内で付与されるまで 適切に実行されない可能性があります。 必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。

アプリケーションがカスタム許可を認可されたときに警告する

アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 Java API 許可は、 java.* および javax.* パッケージ内の許可です。

アプリケーション・サーバーは、ポリシー・ファイル管理をサポートします。この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。 filter.policy ファイルには、J2EE 1.4 仕様に従って、アプリケーションに与えたくない許可のリストが入っています。

重要:Java 2 セキュリティーを 使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションを 使用可能にしない限り、このオプションは使用可能にできません。
リソース認証データへのアクセスを制限する

Java 2 セキュリティーが使用可能になっていない場合、このオプションも使用不可です。

次の両方の条件が満たされる場合は、このオプションを使用可能にすることを検討してください。
  • Java 2 セキュリティーが実行される場合。
  • アプリケーション・エンタープライズ・アーカイブ (EAR) ファイル内にある was.policy ファイルで、アプリケーション・コードに accessRuntimeClasses WebSphereRuntimePermission 認可が付与されている場合。例えば、was.policy ファイルに次のような行があれば、 アプリケーション・コードにこの許可が付与されています。
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

リソース認証データへのアクセスを制限する」オプションによって、WSPrincipalMappingLoginModule 実装のデフォルト・プリンシパル・マッピングに、Java 2 セキュリティー権限の厳密な検査機能が追加されます。「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションと 「 リソース認証データへのアクセスを制限する」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接 WSPrincipalMappingLoginModule 実装を使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的なアクセス権を付与する必要があります。

デフォルト: 使用不可
ユーザー・レルム: (User Realm:)

このセクションでは、セキュリティー・ドメインのユーザー・レジストリーを構成できます。 ドメイン・レベルで使用されるフェデレーテッド・ レジストリーを除き、すべてのレジストリーを個別に構成することができます。フェデレーテッド・リポジトリーは、 グローバル・レベルでのみ構成できますが、ドメイン・レベルで使用することができます。

ドメイン・レベルでレジストリーを構成すると、レジストリー用に独自のレルム名を定義できます。 レルム名は、あるユーザー・レジストリーと別のレジストリーを識別します。 レルム名は、ユーザーにプロンプトを出す Java クライアント・ログイン・パネル内、 認証キャッシュ内、およびネイティブ許可を使用する場合など、複数の場所で使用されます。

グローバル構成レベルでは、ユーザー・レジストリーのレルムがシステムによって作成されます。 WebSphere Application Server の以前のリリースでは、システム内に構成されるユーザー・レジストリーは 1 つのみです。 複数のセキュリティー・ドメインがある場合は、システム内に複数のレジストリーを構成できます。 レルムがこれらのドメインにおいて固有である場合、 セキュリティー・ドメインの独自のレルム名を構成します。 また、このレルム名が固有であることが確実な場合は、 システムに固有のレルム名を作成させるよう選択できます。 後者の場合、レルム名は、使用されるレジストリーに基づきます。

トラスト・アソシエーション:

トラスト・アソシエーションの設定を指定する場合に選択します。トラスト・アソシエーションは、 リバース・プロキシー・サーバーをアプリケーション・サーバーに接続するために使用されます。

トラスト・アソシエーションにより、 IBM® WebSphere Application Server セキュリティーとサード・パーティー製セキュリティー・サーバーとを統合することができます。具体的には、 リバース・プロキシー・サーバーがフロントエンド認証サーバーとして機能でき、この製品が 自身の許可ポリシーをプロキシー・サーバーから渡された信任状に適用します。

Tivoli® Access Manager のトラスト・アソシエーション・インターセプターは、グローバル・レベルでのみ構成できます。 ドメインの構成にもこれを使用できますが、バージョンが異なるトラスト・アソシエーション・インターセプターを含めることはできません。 システム内に存在できる、Tivoli Access Manager のトラスト・アソシエーション・インターセプターのインスタンスは 1 つのみです。

注: Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) の 認証へのトラスト・アソシエーション・インターセプター (TAI) の使用は非推奨となっています。 SPNEGO Web 認証パネルは、SPNEGO をより簡単に構成する方法を提供しています。
インターセプター

リバース・プロキシー・サーバーのトラスト情報へアクセスする場合、 またはこの情報を指定する場合に選択します。

トラスト・アソシエーションを使用可能にする

IBM WebSphere Application Server セキュリティーと サード・パーティー製セキュリティー・サーバーの統合を有効にする場合に選択します。具体的には、 リバース・プロキシー・サーバーがフロントエンド認証サーバーとして機能でき、この製品が 自身の許可ポリシーをプロキシー・サーバーから渡された信任状に適用します。

SPNEGO Web 認証:

Simple and Protected GSS-API Negotiation (SPNEGO) の設定を Web 認証メカニズムとして指定します。

SPNEGO Web 認証はドメイン・レベルで構成することができます。これを使用すると、Web リソースの認証用に SPNEGO を構成できるようになります。

注: WebSphere Application Server バージョン 6.1 では、保護されたリソースへの HTTP 要求を安全にネゴシエートすることによって、その要求を 認証する Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用した TAI が導入されました。WebSphere Application Server 7.0 では、 この機能は非推奨となりました。代わりに、SPNEGO Web 認証が SPNEGO フィルターの 動的再ロード機能を提供し、アプリケーション・ログイン方式へのフォールバックを可能にしています。
RMI/IIOP セキュリティー:

Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) の設定を指定します。

オブジェクト・リクエスト・ブローカー (ORB) は、 Internet InterORB Protocol (IIOP) を使用して、クライアントとサーバーの間の対話を管理します。 ORB によって、クライアントはネットワーク分散環境でサーバーに対して 要求を行い、応答を受け取ることができます。

ドメイン・レベルでこれらの属性を構成する場合、 グローバル・レベルの RMI/IIOP セキュリティー構成が便宜上コピーされます。 ドメイン・レベルで別にする必要のある属性を変更できます。 CSIv2 インバウンド通信用のトランスポート層の設定は、 グローバル・レベルとドメイン・レベルの両方で同じにする必要があります。 これらの設定が異なっていると、ドメイン・レベルの属性がプロセス内のすべてのアプリケーションに適用されます。

あるプロセスが、異なるレルムを使用する別のプロセスと通信するとき、LTPA 認証および伝搬トークンはダウンストリーム・サーバーに伝搬されます。ただし、ダウンストリーム・サーバーがアウトバウンドのトラステッド・レルムのリスト内にある場合は伝搬されません。 この設定は、「CSIv2 アウトバウンド通信」パネルの 「トラステッド認証レルム - アウトバウンド (Trusted authentication realms - outbound)」 リンクを使用して実行できます。

CSIv2 インバウンド通信

このサーバーが Object Management Group (OMG) Common Secure Interoperability (CSI) 認証プロトコルを使用して受け入れる 接続のトランスポート設定と、受信する要求の認証設定を指定する場合に選択します。

WebSphere Application Server によって、インバウンド認証要求およびアウトバウンド認証要求の両方に対して、Internet Inter-ORB Protocol (IIOP) 認証を指定できます。 インバウンド要求の場合、基本認証などの受け入れられた認証タイプを指定できます。

CSIv2 アウトバウンド通信

サーバーが Object Management Group (OMG) Common Secure Interoperability (CSI) 認証プロトコルを使用して開始する 接続のトランスポート設定と、送信する要求の認証設定を指定する場合に選択します。

WebSphere Application Server によって、インバウンド認証要求およびアウトバウンド認証要求の両方に対して、Internet Inter-ORB Protocol (IIOP) 認証を指定できます。 アウトバウンド要求の場合、認証タイプ、ID アサーション、またはダウンストリーム・サーバーへの要求で使用するログイン構成などのプロパティーを指定できます。

JAAS アプリケーション・ログイン (JAAS Application logins)

JAAS で使用されるログイン構成を定義する場合に選択します。

JAAS アプリケーション・ログイン、JAAS システム・ログイン、および JAAS J2C 認証データ 別名が、ドメイン・レベルで構成できます。 デフォルトでは、システム内のすべてのアプリケーションは、グローバル・レベルで構成されている JAAS ログインにアクセスできます。 セキュリティー・ランタイムは、まずドメイン・レベルの JAAS ログインの有無を チェックします。見つからない場合は、グローバル・セキュリティー構成でそれらのログインをチェックします。 セキュリティー・ドメイン内でアプリケーションによって排他的に使用されるログインを指定する必要がある場合にのみ、これらの JAAS ログインのいずれかをドメインに構成してください。

JAAS およびカスタム・プロパティーに対してのみ、 グローバル属性はドメイン用にカスタマイズされると、ユーザー・アプリケーションでもそのまま使用できます。

他のアプリケーションが使用する可能性があるため、ClientContainer、DefaultPrincipalMapping、および WSLogin ログイン構成を除去しないでください。これらの構成が除去されると、 他のアプリケーションがログインに失敗することがあります。

グローバル・ログインおよびドメイン固有のログインを使用する

ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。

JAAS システム・ログイン:

JAAS システム・ログインの構成設定を指定します。 グローバル・セキュリティーの設定を使用するか、ドメイン用に構成設定をカスタマイズできます。

システム・ログイン

システム・リソースによって使用される JAAS ログイン構成 (認証メカニズム、プリンシパル・マッピング、およびクレデンシャル・マッピング) を定義する場合に選択します。

JAAS J2C 認証データ:

JAAS J2C 認証データの設定を指定します。グローバル・セキュリティーの設定を使用することも、 ドメイン用に設定をカスタマイズすることも可能です。

Java 2 Platform, Enterprise Edition (J2EE) コネクター認証データ・エントリーは、 リソース・アダプターおよび Java DataBase Connectivity (JDBC) データ・ソースによって使用されます。

グローバル・エントリーおよびドメイン固有のエントリーを使用する

ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。

認証メカニズムの属性:

ドメイン・レベルで適用する必要があるさまざまなキャッシュ設定を指定します。

  • 認証キャッシュ設定 - 認証キャッシュ設定を指定する場合に使用します。 このパネルで指定した構成は、このドメインにのみ適用されます。
  • LTPA タイムアウト (LTPA Timeout) - ドメイン・レベルで異なる LTPA タイムアウトの値を構成できます。 デフォルトのタイムアウト値は 120 分です。これは、グローバル・レベルで設定されています。 LTPA タイムアウトがドメイン・レベルで設定される場合、 ユーザー・アプリケーションへのアクセス時にセキュリティー・ドメイン内で 作成されるトークンはすべて、この有効期限の時間を使用して作成されます。
  • レルムで修飾されたユーザー名を使用する (Use realm-qualified user names) - この選択を使用可能にすると、getUserPrincipal( ) などのメソッドによって 戻されるユーザー名は、セキュリティー・ドメイン内のアプリケーションが使用するセキュリティー・レルム (ユーザー・レジストリー) によって修飾されます。
許可プロバイダー:

許可プロバイダーの設定を指定します。グローバル・セキュリティーの設定を使用することも、 ドメイン用に設定をカスタマイズすることも可能です。

外部のサード・パーティー JACC (Java Authorization Contract for Containers) プロバイダーをドメイン・レベルで構成できます。Tivoli Access Manager の JACC プロバイダーは、 グローバル・レベルでのみ構成できます。 セキュリティー・ドメインが許可プロバイダーを別の JACC プロバイダーまたは組み込みネイティブ許可でオーバーライドしない場合、セキュリティー・ドメインはそのままその許可プロバイダーを使用できます。

デフォルト許可」または「JAAC プロバイダーを使用する外部許可」を選択します。「構成」ボタンは、「JAAC プロバイダーを使用する外部許可」が選択されている場合にのみ使用できます。

[z/OS] System Authorization Facility (SAF) の許可の場合、ドメイン・レベルで SAF プロファイルの接頭部を設定すると、そのサーバー内のすべてのアプリケーション (管理アプリケーションとユーザー・アプリケーションの両方) でその接頭部を使用可能または使用不可にできるように、その接頭部がサーバー・レベルで適用されます。

z/OS セキュリティー・ オプション:

z/OS® の設定を指定します。グローバル・セキュリティーの設定を使用することも、 ドメイン用に設定をカスタマイズすることも可能です。

アプリケーション・サーバーと z/OS スレッド ID の同期化を使用可能にする [z/OS]

アプリケーションがこの機能を要求するようコーディングされている場合に、 オペレーティング・システムのスレッド ID を、アプリケーション・サーバーの ランタイムで使用される Java 2 Platform, Enterprise Edition (J2EE) ID と 同期化できるようにするかどうかを示すために選択します。

オペレーティング・システム ID と J2EE ID を同期化すると、オペレーティング・システム ID は、 認証呼び出し元、あるいはサーブレットまたは Enterprise JavaBeans™ (EJB) ファイル内の 代行 RunAs ID と同期化されます。 この同期化 (関連付け) により、サーバー領域 ID ではなく、 呼び出し元またはセキュリティー役割の ID が、ファイルへのアクセスなどの z/OS システム・サービス要求に使用されます。

この値をドメイン・レベルで設定すると、そのサーバー内のすべてのアプリケーション (管理アプリケーションとユーザー・アプリケーションの両方) でその接頭部を使用可能または使用不可にできるように、その接頭部がサーバー・レベルで適用されます。

カスタム・プロパティー

データの名前と値のペアを指定する場合に選択します。 名前はプロパティー・キー、値はストリング値です。

ドメイン・レベルのカスタム・プロパティーを設定します。 このプロパティーは、新規またはグローバル・レベルでの別のプロパティーです。 デフォルトでは、グローバル・セキュリティー構成のすべてのカスタム・プロパティーにシステム内のすべてのアプリケーション側からアクセスできます。 セキュリティー・ランタイム・コードは、まずドメイン・レベルのカスタム・プロパティーの有無を チェックします。見つからない場合は、グローバル・セキュリティー構成からカスタム・プロパティーを取得します。

Web サービス・バインディング

デフォルト・ポリシー・セットのバインディング (Default policy set bindings)」をクリックして、 ドメインのデフォルトでのプロバイダーとクライアントのバインディングを設定します。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連概念
関連資料
関連情報


ファイル名: usec_sec_domains_edit.html