このパネルを使用して、管理およびデフォルト・アプリケーション・セキュリティー・ポリシーを構成します。 このセキュリティー構成はすべての管理機能のセキュリティー・ポリシーに適用され、ユーザー・アプリケーションのデフォルト・セキュリティー・ポリシーとして使用されます。 セキュリティー・ドメインは、ユーザー・アプリケーションのセキュリティー・ポリシーをオーバーライドおよびカスタマイズするように定義できます。
この管理コンソール・ページを表示するには、 「セキュリティー」>「グローバル・ セキュリティー」をクリックします。
セキュリティーは、ご使用のアプリケーションに対してパフォーマンス上多少の影響を与えます。
パフォーマンスへの影響は、アプリケーション・ワークロードの特性により異なることがあります。
まず、ご使用のアプリケーションに対して必要なレベルのセキュリティーを使用可能にし、次にアプリケーションのパフォーマンスに与えるセキュリティーの影響を測定する必要があります。
セキュリティーを構成する際、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みるか、管理 ID (internalServerID を使用する場合) の妥当性検査を試みます。 管理セキュリティーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、初めてサーバーを再始動するときに問題を回避することができます。
基本管理およびアプリケーション・セキュリティー設定を構成できるウィザードを起動します。このプロセスは、許可ユーザーに対する管理用タスクおよびアプリケーションを制限します。
このウィザードを使用すると、アプリケーション・セキュリティー、リソースまたは Java™ 2 コネクター (J2C) セキュリティー、およびユーザー・レジストリーを構成できます。既存のレジストリーを構成し、管理セキュリティー、アプリケーション・セキュリティー、およびリソース・セキュリティーを使用可能にします。
セキュリティー構成ウィザードを使用して行った変更を適用する場合、管理セキュリティーは、デフォルトでオンになります。
アプリケーション・サーバーの現行セキュリティー設定を収集および表示する報告書を起動します。 コア・セキュリティー設定、管理ユーザーおよびグループ、CORBA ネーミング・ロール、および Cookie 保護に関する情報が収集されます。 複数のセキュリティー・ドメインが構成されている場合、報告書は各ドメインに関連付けられたセキュリティー構成を表示します。
報告書への現在の制限により、アプリケーション・レベルのセキュリティー情報は表示されません。 この報告書はまた、Java Message Service (JMS) セキュリティー、バス・セキュリティー、 および Web サービス・セキュリティーに関する情報も表示しません。
このアプリケーション・サーバー・ドメインの管理セキュリティーを使用可能にするかどうかを指定します。 管理セキュリティーでは、アプリケーション・サーバーの管理制御を得る前に、ユーザーが認証される必要があります。
詳しくは、管理ロールおよび管理認証に関するリンクを参照してください。
セキュリティーを使用可能にするときには、認証メカニズムの構成を設定し、 選択されたレジストリー構成で有効なユーザー ID とパスワード (または、internalServerID 機能を使用している場合は、有効な管理 ID) を指定してください。
「z/OS® 開始タスク (z/OS started task)」オプションは、ユーザー・レジストリーが「ローカル OS (Local OS)」である場合にのみ指定できます。
セキュリティー・ドメイン内でセキュリティーを使用可能にした後にサーバーが開始されないなどの問題が生じた場合には、そのセルのすべてのファイルをこのノードに再同期してください。 ファイルを再同期させるには、ノードから syncNode -username your_userid -password your_password というコマンドを実行してください。このコマンドによりデプロイメント・マネージャーに接続され、すべてのファイルが再同期されます。
管理セキュリティーを使用可能にしたあとにサーバーが再始動しなくなった場合は、セキュリティーを使用不可にできます。
app_server_root/bin ディレクトリーに
移動して、wsadmin -conntype NONE コマンドを実行します。
wsadmin> プロンプトで securityoff と入力します。
次に exit と入力して、コマンド・プロンプトに戻ります。
セキュリティーを使用不可にしてサーバーを再始動し、管理コンソールを介して誤っている設定を検査します。
ローカル OS ユーザー・レジストリー・ユーザー:
アクティブ・ユーザー・レジストリーとして、「ローカル OS」を選択した場合、
ユーザー・レジストリー構成でパスワードを入力する必要はありません。
デフォルト: | 使用可能 |
ご使用の環境内のアプリケーションのセキュリティーを 使用可能にします。このタイプのセキュリティーは、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供します。
WebSphere® Application Server の以前のリリースでは、ユーザーがグローバル・セキュリティーを使用可能にすると、管理とアプリケーションの両方のセキュリティーが使用可能になりました。 WebSphere Application Server バージョン 6.1 では、これまでのグローバル・セキュリティーの概念が管理セキュリティーとアプリケーション・セキュリティーに分割され、それぞれを別々に使用可能にすることができます。
この分割の結果、WebSphere Application Server クライアントは、ターゲット・サーバーでアプリケーション・セキュリティーが使用不可になっているかどうかを認識する必要があります。 管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーを使用可能にするには、管理セキュリティーを使用可能にする必要があります。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。
デフォルト: | 使用不可 |
Java 2 セキュリティー権限の検査を使用可能にするのか、使用不可にするのかを指定します。 デフォルトでは、ローカル・リソースへのアクセスは制限されません。アプリケーション・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。
「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションを使用可能にしている場合に、アプリケーションがデフォルト・ポリシーで付与されている権限以上の Java 2 セキュリティー権限を要求すると、このアプリケーションは、要求した権限がアプリケーションの app.policy ファイルまたは was.policy ファイル内で付与されるまで適切に実行されない可能性があります。必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。 Java 2 セキュリティーについて詳しくは、関連リンクを参照してください。
デフォルト: | 使用不可 |
アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 Java API 許可は、 java.* および javax.* パッケージ内の許可です。
アプリケーション・サーバーは、ポリシー・ファイル管理をサポートします。この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。 filter.policy ファイルには、J2EE 1.4 仕様に従って、アプリケーションに与えたくない許可のリストが入っています。 アクセス権の詳細については、Java 2 セキュリティー・ポリシー・ファイルに関するリンクを参照してください。
デフォルト: | 使用不可 |
このオプションを使用可能にすると、 重要な Java Connector Architecture (JCA) マッピング認証データへのアプリケーションのアクセスが制限されます。
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
「リソース認証データへのアクセスを制限する」オプションによって、WSPrincipalMappingLoginModule 実装のデフォルト・プリンシパル・マッピングに、Java 2 セキュリティー権限の厳密な検査機能が追加されます。「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションと「リソース認証データへのアクセスを制限する」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接 WSPrincipalMappingLoginModule 実装を使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的なアクセス権を付与する必要があります。
デフォルト: | 使用不可 |
アクティブ・ユーザー・リポジトリーの現在の設定を指定します。
このフィールドは読み取り専用です。
使用可能なユーザー・アカウントのリポジトリーを指定します。
ユーザー・リポジトリーが構成されたあとに、それを使用可能にします。
UNIX®
非ルート・ユーザーとして実行する場合や、マルチノード環境で実行する場合は、LDAP
またはカスタム・ユーザー・レジストリーが必要です。
この設定は、構成済みの Resource Access Control Facility (RACF®) または System Authorization Facility (SAF) 準拠のセキュリティー・サーバーをアプリケーション・サーバー・ユーザー・レジストリーとして使用する場合に指定します。
マルチノード、または UNIX プラットフォーム上で非ルートとして実行中の場合、ローカル・オペレーション・システムを使用できません。
ローカル・オペレーティング・システム・レジストリーが有効なのは、ドメイン・コントローラーを使用している場合、または Network Deployment セルが単一マシン上にある場合に限られます。後者の場合、ローカル OS ユーザー・レジストリーを使用するこの構成が無効なので、
セル内の複数のノードを複数のマシンにわたって広げることはできません。
この設定を指定して、ユーザーおよびグループが外部の LDAP ディレクトリーに常駐している場合に、スタンドアロン LDAP レジストリー設定を使用します。セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、 「セキュリティー」>「グローバル・セキュリティー」パネルに進み、 「適用」または「OK」をクリックして変更内容を有効にしてください。
デフォルト: | 使用不可 |
グローバル・セキュリティー設定を構成する場合に選択します。
「認証」の下にある「Web および SIP セキュリティー (Web and SIP security)」を展開すると、以下に対するリンクが表示されます。
Web 認証を設定するときに指定します。
シングル・サインオン (SSO) の構成値を指定する場合に選択します。
SSO のサポートにより、Web ユーザーは、WebSphere Application Server リソース (HTML、JavaServer Pages (JSP) ファイル、サーブレット、エンタープライズ Bean など) および Lotus® Domino® リソースの両方にアクセスする場合、 認証を一度で済ませることができます。
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) は、 Web クライアントおよびサーバーに、通信を許可するために使用される Web 認証プロトコルをネゴシエートする方法を提供します。
トラスト・アソシエーションの設定を指定する場合に選択します。トラスト・アソシエーションは、 リバース・プロキシー・サーバーをアプリケーション・サーバーに接続するために使用されます。
グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。
「認証」の下にある「RMI/IIOP セキュリティー」を展開すると、以下に対するリンクが表示されます。
このサーバーが Object Management Group (OMG) Common Secure Interoperability (CSI) 認証プロトコルを使用して受け入れる 接続のトランスポート設定と、受信する要求の認証設定を指定する場合に選択します。
サーバーが Object Management Group (OMG) Common Secure Interoperability (CSI) 認証プロトコルを使用して開始する 接続のトランスポート設定と、送信する要求の認証設定を指定する場合に選択します。
「認証」の下にある「Java Authentication and Authorization Service」を展開すると、以下に対するリンクが表示されます。
JAAS で使用されるログイン構成を定義する場合に選択します。
他のアプリケーションが使用する可能性があるため、ClientContainer、DefaultPrincipalMapping、および WSLogin ログイン構成を除去しないでください。これらの構成が除去されると、 他のアプリケーションがログインに失敗することがあります。
システム・リソースによって使用される JAAS ログイン構成 (認証メカニズム、プリンシパル・マッピング、およびクレデンシャル・マッピング) を定義する場合に選択します。
Java Authentication and Authorization Service (JAAS) Java 2 コネクター (J2C) 認証データの設定を指定する場合に選択します。
グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。
アプリケーション・サーバーがサーバー間で データを安全に送信できるよう、認証情報を暗号化する場合に選択します。
サーバー間で交換される認証情報の暗号化には、 Lightweight Third Party Authentication (LTPA) メカニズムが必要です。
アプリケーション・サーバーがサーバー間で データを安全に送信できるよう、認証情報を暗号化する場合に選択します。
あるサーバーから別のサーバーにアプリケーション・サーバーがセキュアな方法でデータを送信できるように認証情報を暗号化する場合に選択します。
サーバー間で交換される認証情報の暗号化には、LTPA メカニズムの KRB5 が使用されます。
認証キャッシュの設定を行う場合に選択します。
メソッド (getUserPrincipal() メソッドなど) によって戻されるユーザー名を、ユーザー名が配置されているセキュリティー・レルムで修飾するように指定します。
セキュリティー・ドメインのリンクを使用して、ユーザー・アプリケーションの追加のセキュリティー構成を行います。
例えば、あるユーザー・アプリケーションのセットに対して、 グローバル・レベルのものとは異なるユーザー・レジストリーを使用する場合、 そのユーザー・レジストリーを使用してセキュリティー構成を作成し、 当該のアプリケーションのセットに関連付けることができます。 これらの追加セキュリティー構成は、さまざまな有効範囲 (セル、クラスター/サーバー、SIBuses) に関連付けることができます。 セキュリティー構成が 1 つの有効範囲に関連付けられると、 そのセキュリティー構成は、その有効範囲内のすべてのユーザー・アプリケーションによって使用されます。詳しくは、複数のセキュリティー・ドメインを参照してください。
各セキュリティー属性では、グローバル・セキュリティー設定 またはそのドメイン用のカスタマイズ設定を使用できます。
デフォルトの許可構成と外部の許可プロバイダーのどちらを使用するかを指定する場合に選択します。
外部プロバイダーは、Java Authorization Contract for Containers (JACC) 仕様に 基づいて Java(TM) 2 Platform, Enterprise Edition (J2EE) 許可を処理できるものでなければなりません。 外部セキュリティー・プロバイダーを JACC 許可プロバイダーとして 構成していない場合、許可プロバイダー・パネルの設定は変更しないでください。
データの名前と値のペアを指定する場合に選択します。 名前はプロパティー・キー、値はストリング値です。
マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。