セキュリティー・ドメインの構成

このページを使用して、ドメインのセキュリティー属性を構成し、そのドメインをセルのリソースに割り当てます。 各セキュリティー属性では、グローバル・セキュリティー設定 またはそのドメイン用のカスタマイズ設定を使用できます。

この管理コンソール・ページを表示するには、「セキュリティー」>「セキュリティー・ドメイン」とクリックします。「セキュリティー・ドメイン・コレクション (Security domains collection)」ページで、 既存のドメインを選択して構成するか、新規ドメインを作成するか、または既存のドメインをコピーします。

複数のセキュリティー・ドメインの内容と、 それらがこのバージョンの WebSphere® Application Server でどのようにサポートされるかについて理解を深めるには、 複数のセキュリティー・ドメインを参照してください。

名前

ドメインの固有の名前を指定します。最初の送信が行われた後は、この名前を編集することはできません。

ドメイン名は、 セル内で固有でなければならず、無効文字を含むことはできません。

説明

ドメインの説明を指定します。

割り当てられている有効範囲

セル・トポロジーを表示する場合に選択します。セキュリティー・ドメインをセル全体に割り当てることができますが、特定のクラスター、ノード、およびサービス統合バスを選択して、それらをセキュリティー・ドメインに組み込むこともできます。

すべての有効範囲」を選択した場合、セル・トポロジー全体が表示されます。

割り当てられている有効範囲」を選択すると、セル・トポロジーが、現在のドメインに組み込まれているサーバーおよびクラスターとともに表示されます。

すべてのリソースの隣に、明示的に割り当てられたドメインの名前が表示されます。 チェックのマークが付いたボックスは、そのドメインに現在割り当てられているリソースを示します。 また、他のリソースを選択して「適用」または「OK」をクリックすることによって、 それらを現在のドメインに割り当てることもできます。

チェックのマークのない (使用不可の) リソースは、 そのリソースが現在のドメインに割り当てられておらず、現在のドメインで 使用できるようにするにはまず別のドメインから除去する必要があることを示しています。

リソースに明示的に割り当てられたドメインがない場合は、 セルに割り当てられているドメインが使用されます。 セルにドメインが割り当てられていない場合、リソースはグローバル設定を使用します。

クラスター・メンバーは個別にドメインに割り当てられないため、 エンタープライズ・クラスターでは同じドメインが使用されます。

アプリケーション・セキュリティー:

アプリケーション・セキュリティーを使用可能にする」を選択するかどうかによって、ユーザー・アプリケーションに対するセキュリティーを使用可能または使用不可に設定します。 グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。

この選択を使用不可に設定すると、 セキュリティー・ドメイン内のすべての EJB および Web アプリケーションは、保護されなくなります。 これらのリソースに対するアクセス権限は、ユーザー認証を行わずに付与されます。 この選択を使用可能に設定すると、J2EE セキュリティーは、 セキュリティー・ドメイン内の EJB および Web アプリケーションのすべてに実行されます。 J2EE セキュリティーが実行されるのは、グローバル・セキュリティー構成でグローバル・セキュリティーが使用可能になっている場合だけです (つまり、アプリケーション・セキュリティーを使用可能にする場合は、必ず最初にグローバル・セキュリティーをグローバル・レベルで使用可能にする必要があります)。

アプリケーション・セキュリティーの使用可能化

ご使用の環境内のアプリケーションのセキュリティーを 使用可能にします。このタイプのセキュリティーは、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供します。

WebSphere Application Server の以前のリリースでは、ユーザーがグローバル・セキュリティーを使用可能にすると、管理とアプリケーションの両方のセキュリティーが使用可能になりました。 WebSphere Application Server バージョン 6.1 では、 これまでのグローバル・セキュリティーの概念が管理セキュリティーと アプリケーション・セキュリティーに分割され、それらを個別に使用可能化できるようになりました。

この分割の結果、WebSphere Application Server クライアントは、ターゲット・サーバーでアプリケーション・セキュリティーが使用不可になっているかどうかを認識する必要があります。 管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーを使用可能にするには、管理セキュリティーを使用可能にする必要があります。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。

この選択を使用不可に設定すると、 セキュリティー・ドメイン内のすべての EJB および Web アプリケーションは、保護されなくなります。 これらのリソースに対するアクセス権限は、ユーザー認証を行わずに付与されます。 この選択を使用可能に設定すると、J2EE セキュリティーは、 セキュリティー・ドメイン内の EJB および Web アプリケーションのすべてに実行されます。 J2EE セキュリティーが実行されるのは、グローバル・セキュリティー構成でグローバル・セキュリティーが使用可能になっている場合だけです (つまり、アプリケーション・セキュリティーを使用可能にする場合は、必ず最初にグローバル・セキュリティーをグローバル・レベルで使用可能にする必要があります)。

Java 2 セキュリティー:

「Java™ 2 セキュリティーを使用 (Use Java 2 security)」を選択して、Java 2 セキュリティーをドメイン・レベルで使用可能または使用不可にするか、または Java 2 セキュリティーに関連するプロパティーを割り当てるか、または追加します。グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。

この選択項目により、Java 2 セキュリティーをプロセス (JVM) レベルで使用可能または使用不可に設定して、 すべてのアプリケーション (管理アプリケーションとユーザー・アプリケーションの両方) で Java 2 セキュリティーを使用可能または使用不可にすることができます。

グローバル・セキュリティーの設定を使用する

使用される「グローバル・セキュリティーの設定」を指定する場合に選択します。

このドメインに対してカスタマイズする

ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。

Java 2 セキュリティーを使用してローカル・リソースへのアプリケーションのアクセスを制限する

Java 2 セキュリティー権限の検査を使用可能にするのか、使用不可にするかを指定する場合に選択します。デフォルトでは、ローカル・リソースへのアクセスは制限されません。アプリケーション・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。

Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションを使用可能にしている場合に、アプリケーションがデフォルト・ポリシーで付与されている権限以上の Java 2 セキュリティー権限を要求すると、このアプリケーションは、要求した権限がアプリケーションの app.policy ファイルまたは was.policy ファイル内で付与されるまで適切に実行されない可能性があります。必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。

アプリケーションがカスタム許可を認可されたときに警告する

アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 Java API 許可は、 java.* および javax.* パッケージ内の許可です。

アプリケーション・サーバーは、ポリシー・ファイル管理をサポートします。この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。 filter.policy ファイルには、J2EE 1.4 仕様に従って、アプリケーションに与えたくない許可のリストが入っています。

重要:Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションを使用可能にしない限り、このオプションは使用可能にできません。
リソース認証データへのアクセスを制限する

Java 2 セキュリティーが使用可能になっていない場合、このオプションも使用不可です。

次の両方の条件が満たされる場合は、このオプションを使用可能にすることを検討してください。
  • Java 2 セキュリティーが実行される場合。
  • アプリケーション・エンタープライズ・アーカイブ (EAR) ファイル内にある was.policy ファイルで、アプリケーション・コードに accessRuntimeClasses WebSphereRuntimePermission 認可が付与されている場合。例えば、was.policy ファイルに次のような行があれば、 アプリケーション・コードにこの許可が付与されています。
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

リソース認証データへのアクセスを制限する」オプションによって、WSPrincipalMappingLoginModule 実装のデフォルト・プリンシパル・マッピングに、Java 2 セキュリティー権限の厳密な検査機能が追加されます。「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションと「リソース認証データへのアクセスを制限する」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接 WSPrincipalMappingLoginModule 実装を使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的なアクセス権を付与する必要があります。

デフォルト: 使用不可
ユーザー・レルム: (User Realm:)

このセクションにより、セキュリティー・ドメインのユーザー・レジストリーを構成できます。 ドメイン・レベルで使用されるフェデレーテッド・レジストリーを除き、すべてのレジストリーは、個別に構成できます。 フェデレーテッド・リポジトリーはグローバル・レベルでしか構成できませんが、ドメイン・レベルで使用することは可能です。

レジストリーをドメイン・レベルで構成する場合は、そのレジストリーに独自のレルム名を定義することもできます。レルム名は、レジストリーを区別します。レルム名は、複数の環境 (ユーザーにプロンプトを表示する Java クライアント・ログイン・パネル内、認証キャッシュ内、およびネイティブ許可の使用時) で使用されます。

システムは、グローバル構成レベルでユーザー・レジストリー用のレルムを作成します。以前のリリースの WebSphere Application Server では、システムには 1 つのユーザー・レジストリーしか構成されません。セキュリティー・ドメインが複数ある場合は、システム内に複数のレジストリーを構成できます。 これらのドメインでレルムを固有にするには、セキュリティー・ドメインに対して独自のレルム名を構成します。作成されるレルム名が固有であることが明確な場合は、システムにその固有のレルム名を作成させることもできます。後者の場合、レルム名は使用されているレジストリーに基づきます。

トラスト・アソシエーション:

トラスト・アソシエーションの設定を指定する場合に選択します。トラスト・アソシエーションは、 リバース・プロキシー・サーバーをアプリケーション・サーバーに接続するために使用されます。

トラスト・アソシエーションにより、 IBM® WebSphere Application Server セキュリティーとサード・パーティー製セキュリティー・サーバーとを統合することができます。 具体的には、 リバース・プロキシー・サーバーがフロントエンド認証サーバーとして機能できるようになる一方で、この製品は、 製品自体の許可ポリシーを、プロキシー・サーバーから渡された信任状に適用します。

Tivoli® Access Manager のトラスト・アソシエーション・インターセプターは、グローバル・レベルでしか構成できません。ドメイン構成もそれらのインターセプターを使用できますが、異なるバージョンのトラスト・アソシエーション・インターセプターを持つことはできません。システム内に存在できる、Tivoli Access Manager のトラスト・アソシエーション・インターセプターのインスタンスは 1 つのみです。

注: Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) の 認証へのトラスト・アソシエーション・インターセプター (TAI) の使用は非推奨となっています。 SPNEGO Web 認証パネルは、SPNEGO をより簡単に構成する方法を提供しています。
インターセプター

リバース・プロキシー・サーバーのトラスト情報へアクセスする場合、 またはこの情報を指定する場合に選択します。

トラスト・アソシエーションを使用可能にする

IBM WebSphere Application Server セキュリティーと サード・パーティー製セキュリティー・サーバーの統合を有効にする場合に選択します。具体的には、 リバース・プロキシー・サーバーがフロントエンド認証サーバーとして機能できるようになる一方で、この製品は、 製品自体の許可ポリシーを、プロキシー・サーバーから渡された信任状に適用します。

SPNEGO Web 認証:

Simple and Protected GSS-API Negotiation (SPNEGO) の設定を Web 認証メカニズムとして指定します。

SPNEGO Web 認証は、Web リソース認証用の SPNEGO の構成を可能にし、ドメイン・レベルで構成できます。

注: WebSphere Application Server バージョン 6.1 では、 Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されているリソースに対する HTTP 要求を安全にネゴシエーションし、認証する TAI が導入されました。 WebSphere Application Server 7.0 では、 この機能は現在推奨されていません。代わって SPNEGO Web 認証が使用されるようになり、SPNEGO フィルターの動的再ロード、 およびアプリケーション・ログイン・メソッドのフォールバックが可能になりました。
RMI/IIOP セキュリティー:

Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) の設定を指定します。

オブジェクト・リクエスト・ブローカー (ORB) は、 Internet InterORB Protocol (IIOP) を使用して、クライアントとサーバーの間の対話を管理します。 ORB によって、クライアントはネットワーク分散環境でサーバーに対して 要求を行い、応答を受け取ることができます。

これらの属性をドメイン・レベルで構成すると、便宜上、グローバル・レベルにある RMI/IIOP セキュリティー構成がコピーされます。ドメイン・レベルでは別のものを使用する必要がある属性を変更することができます。 CSIv2 インバウンド通信のトランスポート層設定は、グローバル・レベルとドメイン・レベルの両方で一致している必要があります。 これらの設定が異なっていると、ドメイン・レベルの属性がプロセス内のすべてのアプリケーションに適用されます。

あるプロセスが、異なるレルムを使用する別のプロセスと通信するとき、LTPA 認証および伝搬トークンはダウンストリーム・サーバーに伝搬されます。ただし、ダウンストリーム・サーバーがアウトバウンドのトラステッド・レルムのリスト内にある場合は伝搬されません。 この設定は、「CSIv2 アウトバウンド通信 (CSIv2 outbound communication)」パネルの 「トラステッド認証レルム - アウトバウンド (Trusted authentication realms - outbound)」 リンクを使用して実行できます。

CSIv2 インバウンド通信

このサーバーが Object Management Group (OMG) Common Secure Interoperability (CSI) 認証プロトコルを使用して受け入れる 接続のトランスポート設定と、受信する要求の認証設定を指定する場合に選択します。

WebSphere Application Server によって、インバウンド認証要求およびアウトバウンド認証要求の両方に対して、Internet Inter-ORB Protocol (IIOP) 認証を指定できます。 インバウンド要求の場合、基本認証などの受け入れられた認証タイプを指定できます。

CSIv2 アウトバウンド通信

サーバーが Object Management Group (OMG) Common Secure Interoperability (CSI) 認証プロトコルを使用して開始する 接続のトランスポート設定と、送信する要求の認証設定を指定する場合に選択します。

WebSphere Application Server によって、インバウンド認証要求およびアウトバウンド認証要求の両方に対して、Internet Inter-ORB Protocol (IIOP) 認証を指定できます。 アウトバウンド要求の場合、認証タイプ、ID アサーション、またはダウンストリーム・サーバーへの要求で使用するログイン構成などのプロパティーを指定できます。

JAAS アプリケーション・ログイン

JAAS で使用されるログイン構成を定義する場合に選択します。

JAAS アプリケーション・ログイン、JAAS システム・ログイン、および JAAS J2C 認証データ別名は、すべてドメイン・レベルで構成できます。 デフォルトでは、システム内のすべてのアプリケーションは、 グローバル・レベルで構成されている JAAS ログインにアクセスできます。 セキュリティー・ランタイムは、初めにドメイン・レベルの JAAS ログインを検査します。見つからない場合は、グローバル・セキュリティー構成の JAAS ログインを調べます。セキュリティー・ドメイン内のアプリケーションが排他的に使用するログインを指定する必要がある場合にのみ、これらの JAAS ログインのいずれかをドメインで構成します。

JAAS およびカスタム・プロパティーの場合にのみ、グローバル属性をあるドメイン用にカスタマイズしても、ユーザー・アプリケーションはそれらの属性を使用することができます。

他のアプリケーションが使用する可能性があるため、ClientContainer、DefaultPrincipalMapping、および WSLogin ログイン構成を除去しないでください。これらの構成が除去されると、 他のアプリケーションがログインに失敗することがあります。

グローバル・ログインおよびドメイン固有のログインを使用する

ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。

JAAS システム・ログイン:

JAAS システム・ログインの構成設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの構成設定をカスタマイズすることもできます。

システム・ログイン

システム・リソースによって使用される JAAS ログイン構成 (認証メカニズム、プリンシパル・マッピング、およびクレデンシャル・マッピング) を定義する場合に選択します。

JAAS J2C 認証データ:

JAAS J2C 認証データの設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。

Java 2 Platform, Enterprise Edition (J2EE) コネクター認証データ・エントリーは、 リソース・アダプターおよび Java DataBase Connectivity (JDBC) データ・ソースによって使用されます。

グローバル・エントリーおよびドメイン固有のエントリーを使用する

ドメインに定義されている設定を指定するために選択します (アプリケーション および Java 2 セキュリティーを使用可能にするオプション、 およびレルムで修飾された認証データを使用するオプションなど)。

認証メカニズムの属性:

ドメイン・レベルで適用する必要のある各種キャッシュ設定を指定します。

  • 認証キャッシュの設定 - 認証キャッシュの設定値を指定する場合に使用します。このパネルで指定した構成は、このドメインにのみ適用されます。
  • LTPA タイムアウト - ドメイン・レベルの別の LTPA タイムアウト値を構成できます。デフォルトのタイムアウト値は 120 分です。この値はグローバル・レベルで設定されます。LTPA タイムアウトがドメイン・レベルで設定されると、ユーザー・アプリケーションへのアクセス時にセキュリティー・ドメインで作成されるすべてのトークンは、この有効期限の時間に基づいて作成されます。
  • レルム修飾されたユーザー名を使用 - この選択が有効になっている場合、getUserPrincipal( ) などのメソッドによって返されるユーザー名は、セキュリティー・ドメイン内のアプリケーションが使用するセキュリティー・レルム (ユーザー・レジストリー) で修飾されます。
許可プロバイダー:

許可プロバイダーの設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。

外部のサード・パーティー JACC (Java Authorization Contract for Containers) プロバイダーをドメイン・レベルで構成できます。Tivoli Access Manager の JACC プロバイダーは、グローバル・レベルでしか構成できません。セキュリティー・ドメインは、 別の JACC プロバイダーまたは組み込みのネイティブ許可によって許可プロバイダーをオーバーライドしない場合、 そのプロバイダーを引き続き使用できます。

デフォルト許可」または「JAAC プロバイダーを使用する外部許可」を選択します。「構成」ボタンは、「JAAC プロバイダーを使用する外部許可」が選択されている場合にのみ使用できます。

[z/OS] System Authorization Facility (SAF) の許可の場合、ドメイン・レベルで SAF プロファイルの接頭部を設定すると、そのサーバー内のすべてのアプリケーション (管理アプリケーションとユーザー・アプリケーションの両方) でその接頭部を使用可能または使用不可にできるように、その接頭部がサーバー・レベルで適用されます。

z/OS セキュリティー・ オプション:

z/OS® の設定を指定します。グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。

カスタム・プロパティー

データの名前と値のペアを指定する場合に選択します。 名前はプロパティー・キー、値はストリング値です。

新規のカスタム・プロパティー、またはグローバル・レベルのものとは異なるカスタム・プロパティーをドメイン・レベルで設定します。 デフォルトでは、グローバル・セキュリティー構成のすべてのカスタム・プロパティーにシステム内のすべてのアプリケーション側からアクセスできます。 セキュリティー・ランタイム・コードは、まず最初にドメイン・レベルのカスタム・プロパティーを検査します。 見つからない場合は、グローバル・セキュリティー構成のカスタム・プロパティーを取得しようとします。

Web サービス・バインディング

デフォルト・ポリシー・セットのバインディング (Default policy set bindings)」をクリックして、 ドメインのデフォルトでのプロバイダーとクライアントのバインディングを設定します。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連概念
関連資料
スタンドアロン LDAP レジストリー設定
Java Authentication and Authorization Service 用のエントリー設定の構成
Java 2 コネクター認証データ・エントリー設定
外部の Java Authorization Contract for Containers プロバイダーの設定
関連情報
セキュリティー・カスタム・プロパティー


ファイル名: usec_sec_domains_edit.html