グローバル・セキュリティーの設定

このパネルを使用して、管理およびデフォルト・アプリケーション・セキュリティー・ポリシーを構成します。 このセキュリティー構成はすべての管理機能のセキュリティー・ポリシーに適用され、ユーザー・アプリケーションのデフォルト・セキュリティー・ポリシーとして使用されます。 セキュリティー・ドメインは、ユーザー・アプリケーションのセキュリティー・ポリシーをオーバーライドおよびカスタマイズするように定義できます。

この管理コンソール・ページを表示するには、 「セキュリティー」>「グローバル・ セキュリティー」をクリックします。

[AIX Solaris HP-UX Linux Windows] [iSeries] セキュリティーは、ご使用のアプリケーションに対してパフォーマンス上多少の影響を与えます。 パフォーマンスへの影響は、アプリケーション・ワークロードの特性により異なることがあります。 まず、ご使用のアプリケーションに対して必要なレベルのセキュリティーを使用可能にし、次にアプリケーションのパフォーマンスに与えるセキュリティーの影響を測定する必要があります。

セキュリティーを構成する際、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みるか、管理 ID (internalServerID を使用する場合) の妥当性検査を試みます。 管理セキュリティーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、初めてサーバーを再始動するときに問題を回避することができます。

セキュリティー構成ウィザード

基本管理およびアプリケーション・セキュリティー設定を構成できるウィザードを起動します。このプロセスは、許可ユーザーに対する管理用タスクおよびアプリケーションを制限します。

このウィザードを使用すると、アプリケーション・セキュリティー、リソースまたは Java™ 2 コネクター (J2C) セキュリティー、およびユーザー・レジストリーを構成できます。既存のレジストリーを構成し、管理セキュリティー、アプリケーション・セキュリティー、およびリソース・セキュリティーを使用可能にします。

セキュリティー構成ウィザードを使用して行った変更を適用する場合、管理セキュリティーは、デフォルトでオンになります。

セキュリティー構成報告書

アプリケーション・サーバーの現行セキュリティー設定を収集および表示する報告書を起動します。 コア・セキュリティー設定、管理ユーザーおよびグループ、CORBA ネーミング・ロール、および Cookie 保護に関する情報が収集されます。 複数のセキュリティー・ドメインが構成されている場合、報告書は各ドメインに関連付けられたセキュリティー構成を表示します。

報告書への現在の制限により、アプリケーション・レベルのセキュリティー情報は表示されません。 この報告書はまた、Java Message Service (JMS) セキュリティー、バス・セキュリティー、 および Web サービス・セキュリティーに関する情報も表示しません。

管理セキュリティーを使用可能にする

このアプリケーション・サーバー・ドメインの管理セキュリティーを使用可能にするかどうかを指定します。 管理セキュリティーでは、アプリケーション・サーバーの管理制御を得る前に、ユーザーが認証される必要があります。

詳しくは、管理ロールおよび管理認証に関するリンクを参照してください。

セキュリティーを使用可能にするときには、認証メカニズムの構成を設定し、 選択されたレジストリー構成で有効なユーザー ID とパスワード (または、internalServerID 機能を使用している場合は、有効な管理 ID) を指定してください。

注: 環境を管理する管理者を識別するユーザー ID (通常は管理 ID と呼ばれる) とサーバーとサーバーの間での通信に使用するサーバー ID は異なります。 内部サーバー ID 機能を使用する場合には、サーバー ID およびパスワードの入力は必要ありません。ただし、 オプションで、サーバー ID およびパスワードを指定することができます。サーバー ID およびパスワードを指定するには、以下のステップを実行します。
  1. 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「User accounts repository」の下で、リポジトリーを選択し、「構成」をクリックします。
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] 「Server user identity」セクションでサーバー ID およびパスワードを指定します。

[z/OS]z/OS® 開始タスク (z/OS started task)」オプションは、ユーザー・レジストリーが「ローカル OS (Local OS)」である場合にのみ指定できます。

セキュリティー・ドメイン内でセキュリティーを使用可能にした後にサーバーが開始されないなどの問題が生じた場合には、そのセルのすべてのファイルをこのノードに再同期してください。 ファイルを再同期させるには、ノードから syncNode -username your_userid -password your_password というコマンドを実行してください。このコマンドによりデプロイメント・マネージャーに接続され、すべてのファイルが再同期されます。

[iSeries] [z/OS] 管理セキュリティーを使用可能にしたあとにサーバーが再始動しなくなった場合は、セキュリティーを使用不可にできます。 app_server_root/bin ディレクトリーに 移動して、wsadmin -conntype NONE コマンドを実行します。 wsadmin> プロンプトで securityoff と入力します。 次に exit と入力して、コマンド・プロンプトに戻ります。 セキュリティーを使用不可にしてサーバーを再始動し、管理コンソールを介して誤っている設定を検査します。

[z/OS] ローカル OS ユーザー・レジストリー・ユーザー: アクティブ・ユーザー・レジストリーとして、「ローカル OS」を選択した場合、 ユーザー・レジストリー構成でパスワードを入力する必要はありません。

デフォルト: 使用可能
アプリケーション・セキュリティーの使用可能化

ご使用の環境内のアプリケーションのセキュリティーを 使用可能にします。このタイプのセキュリティーは、アプリケーションの独立性とアプリケーション・ユーザーを認証するための要件を提供します。

WebSphere® Application Server の以前のリリースでは、ユーザーがグローバル・セキュリティーを使用可能にすると、管理とアプリケーションの両方のセキュリティーが使用可能になりました。 WebSphere Application Server バージョン 6.1 では、これまでのグローバル・セキュリティーの概念が管理セキュリティーとアプリケーション・セキュリティーに分割され、それぞれを別々に使用可能にすることができます。

この分割の結果、WebSphere Application Server クライアントは、ターゲット・サーバーでアプリケーション・セキュリティーが使用不可になっているかどうかを認識する必要があります。 管理セキュリティーは、デフォルトで使用可能になっています。 アプリケーション・セキュリティーは、デフォルトで使用不可になっています。 アプリケーション・セキュリティーを使用可能にするには、管理セキュリティーを使用可能にする必要があります。 アプリケーション・セキュリティーは、管理セキュリティーが使用可能になっている場合にのみ有効です。

デフォルト: 使用不可
Java 2 セキュリティーを使用してローカル・リソースへのアプリケーションのアクセスを制限する

Java 2 セキュリティー権限の検査を使用可能にするのか、使用不可にするのかを指定します。 デフォルトでは、ローカル・リソースへのアクセスは制限されません。アプリケーション・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。

Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションを使用可能にしている場合に、アプリケーションがデフォルト・ポリシーで付与されている権限以上の Java 2 セキュリティー権限を要求すると、このアプリケーションは、要求した権限がアプリケーションの app.policy ファイルまたは was.policy ファイル内で付与されるまで適切に実行されない可能性があります。必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。 Java 2 セキュリティーについて詳しくは、関連リンクを参照してください。

デフォルト: 使用不可
アプリケーションがカスタム許可を認可されたときに警告する

アプリケーションに何らかのカスタム許可が付与されている場合、 アプリケーションのデプロイメント時およびアプリケーション開始時に、 セキュリティー・ランタイムが警告を発するように指定します。 カスタム許可とは、Java API 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 Java API 許可は、 java.* および javax.* パッケージ内の許可です。

アプリケーション・サーバーは、ポリシー・ファイル管理をサポートします。この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。動的ポリシーは、 特定のリソース・タイプに対するアクセス権のテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されておらず、関連コード・ベースが使用されていません。実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。 filter.policy ファイルには、J2EE 1.4 仕様に従って、アプリケーションに与えたくない許可のリストが入っています。 アクセス権の詳細については、Java 2 セキュリティー・ポリシー・ファイルに関するリンクを参照してください。

重要:Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションを使用可能にしない限り、このオプションは使用可能にできません。
デフォルト: 使用不可
リソース認証データへのアクセスを制限する

このオプションを使用可能にすると、 重要な Java Connector Architecture (JCA) マッピング認証データへのアプリケーションのアクセスが制限されます。

次の両方の条件が満たされる場合は、このオプションを使用可能にすることを検討してください。
  • Java 2 セキュリティーが実行される場合。
  • アプリケーション・エンタープライズ・アーカイブ (EAR) ファイル内にある was.policy ファイルで、アプリケーション・コードに accessRuntimeClasses WebSphereRuntimePermission 認可が付与されている場合。例えば、was.policy ファイルに次のような行があれば、 アプリケーション・コードにこの許可が付与されています。
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

リソース認証データへのアクセスを制限する」オプションによって、WSPrincipalMappingLoginModule 実装のデフォルト・プリンシパル・マッピングに、Java 2 セキュリティー権限の厳密な検査機能が追加されます。「Java 2 セキュリティーを使用してアプリケーションのアクセスをローカル・リソースに制限する」オプションと「リソース認証データへのアクセスを制限する」オプションを使用可能にする場合は、Java Authentication and Authorization Service (JAAS) ログインで直接 WSPrincipalMappingLoginModule 実装を使用する Java 2 Platform, Enterprise Edition (J2EE) アプリケーションに、明示的なアクセス権を付与する必要があります。

デフォルト: 使用不可
現在のレルムの定義

アクティブ・ユーザー・リポジトリーの現在の設定を指定します。

このフィールドは読み取り専用です。

使用可能なレルムの定義

使用可能なユーザー・アカウントのリポジトリーを指定します。

ドロップダウン・リストに表示される選択項目には、以下のものがあります。
  • ローカル・オペレーティング・システム
  • スタンドアロン LDAP レジストリー
  • スタンドアロン・ カスタム・ レジストリー
現在値として設定 [AIX Solaris HP-UX Linux Windows] [z/OS]

ユーザー・リポジトリーが構成されたあとに、それを使用可能にします。

[AIX Solaris HP-UX Linux Windows] UNIX® 非ルート・ユーザーとして実行する場合や、マルチノード環境で実行する場合は、LDAP またはカスタム・ユーザー・レジストリーが必要です。

以下のユーザー・リポジトリーのうちの 1 つについて、設定を構成することができます。
フェデレーテッド・リポジトリー
この設定を指定して、単一レルムの下の複数のリポジトリーでプロファイルを管理します。 レルムは以下の ID で構成することができます。
  • システムにビルドされるファイル・ベース・リポジトリー
  • 1 つ以上の外部リポジトリー
  • 組み込みファイル・ベース・リポジトリーと 1 つ以上の外部リポジトリーの両方
注: 管理者特権を持つユーザーのみがフェデレーテッド・リポジトリーの構成を表示できます。
ローカル・オペレーティング・システム

[z/OS] この設定は、構成済みの Resource Access Control Facility (RACF®) または System Authorization Facility (SAF) 準拠のセキュリティー・サーバーをアプリケーション・サーバー・ユーザー・レジストリーとして使用する場合に指定します。

[AIX Solaris HP-UX Linux Windows] [iSeries] マルチノード、または UNIX プラットフォーム上で非ルートとして実行中の場合、ローカル・オペレーション・システムを使用できません。

[AIX Solaris HP-UX Linux Windows] ローカル・オペレーティング・システム・レジストリーが有効なのは、ドメイン・コントローラーを使用している場合、または Network Deployment セルが単一マシン上にある場合に限られます。後者の場合、ローカル OS ユーザー・レジストリーを使用するこの構成が無効なので、 セル内の複数のノードを複数のマシンにわたって広げることはできません。

スタンドアロン LDAP レジストリー

この設定を指定して、ユーザーおよびグループが外部の LDAP ディレクトリーに常駐している場合に、スタンドアロン LDAP レジストリー設定を使用します。セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、 「セキュリティー」>「グローバル・セキュリティー」パネルに進み、 「適用」または「OK」をクリックして変更内容を有効にしてください。

注: 複数の LDAP サーバーがサポートされているので、この設定は 1 つの LDAP レジストリーを意味するものではありません。
スタンドアロン・ カスタム・ レジストリー
この設定を指定して、com.ibm.websphere.security.UserRegistry インターフェースを実装したスタンドアロン・カスタム・レジストリー (standalone custom registry) を実装します。セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、 「グローバル・セキュリティー」パネルに進み、「適用」または「OK」をクリックして変更内容を有効にしてください。
デフォルト: 使用不可
構成...

グローバル・セキュリティー設定を構成する場合に選択します。

Web および SIP セキュリティー (Web and SIP security)

「認証」の下にある「Web および SIP セキュリティー (Web and SIP security)」を展開すると、以下に対するリンクが表示されます。

  • 一般設定
  • シングル・サインオン (SSO)
  • SPNEGO Web 認証
  • トラスト・アソシエーション
一般設定

Web 認証を設定するときに指定します。

シングル・サインオン (SSO)

シングル・サインオン (SSO) の構成値を指定する場合に選択します。

SSO のサポートにより、Web ユーザーは、WebSphere Application Server リソース (HTML、JavaServer Pages (JSP) ファイル、サーブレット、エンタープライズ Bean など) および Lotus® Domino® リソースの両方にアクセスする場合、 認証を一度で済ませることができます。

SPNEGO Web 認証

Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) は、 Web クライアントおよびサーバーに、通信を許可するために使用される Web 認証プロトコルをネゴシエートする方法を提供します。

トラスト・アソシエーション

トラスト・アソシエーションの設定を指定する場合に選択します。トラスト・アソシエーションは、 リバース・プロキシー・サーバーをアプリケーション・サーバーに接続するために使用されます。

グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。

注: SPNEGO 認証へのトラスト・アソシエーション・インターセプター (TAI) の使用は非推奨となりました。 SPNEGO Web 認証パネルは、現在、SPNEGO をより簡単に構成する方法を提供しています。
RMI/IIOP セキュリティー

「認証」の下にある「RMI/IIOP セキュリティー」を展開すると、以下に対するリンクが表示されます。

  • CSIv2 インバウンド通信
  • CSIv2 アウトバウンド通信
CSIv2 インバウンド通信

このサーバーが Object Management Group (OMG) Common Secure Interoperability (CSI) 認証プロトコルを使用して受け入れる 接続のトランスポート設定と、受信する要求の認証設定を指定する場合に選択します。

認証フィーチャーには、以下のような 3 つの認証の層が含まれていますが、 それらは同時に使用することができます。
  • CSIv2 属性層。属性層には、アップストリーム・サーバーからの識別情報で、既に認証済みの識別トークンが含まれている 場合があります。 識別層の優先順位は最も高く、次にメッセージ層、トランスポート層の順で低くなります。 クライアントが 3 つの層をすべて送信する場合は、識別層だけが使用されます。 SSL クライアント証明書は、それが要求中に提示された唯一の情報である場合にのみ、識別情報として使用されます。クライアントは、 名前空間から相互運用オブジェクト参照 (IOR) を取り出し、タグ付きコンポーネントから値を読み取って、 セキュリティーに関してサーバーが何を必要とするのかを判別します。
  • CSIv2 トランスポート層。トランスポート層 (一番下の層) には、識別情報として Secure Sockets Layer (SSL) クライアント 証明書を含む場合があります。
  • [iSeries] [AIX Solaris HP-UX Linux Windows] CSIv2 メッセージ層。メッセージ層には、ユーザー ID とパスワード、または有効期限を持つ認証済みトークンが含まれている場合があります。
CSIv2 アウトバウンド通信

サーバーが Object Management Group (OMG) Common Secure Interoperability (CSI) 認証プロトコルを使用して開始する 接続のトランスポート設定と、送信する要求の認証設定を指定する場合に選択します。

認証フィーチャーには、以下のような 3 つの認証の層が含まれていますが、 それらは同時に使用することができます。
  • CSIv2 属性層。属性層には、アップストリーム・サーバーからの識別情報で、既に認証済みの識別トークンが含まれている 場合があります。 識別層の優先順位は最も高く、次にメッセージ層、トランスポート層の順で低くなります。 クライアントが 3 つの層をすべて送信する場合は、識別層だけが使用されます。 SSL クライアント証明書は、それが要求中に提示された唯一の情報である場合にのみ、識別情報として使用されます。クライアントは、 名前空間から相互運用オブジェクト参照 (IOR) を取り出し、タグ付きコンポーネントから値を読み取って、 セキュリティーに関してサーバーが何を必要とするのかを判別します。
  • CSIv2 トランスポート層。トランスポート層 (一番下の層) には、識別情報として Secure Sockets Layer (SSL) クライアント 証明書を含む場合があります。
  • [iSeries] [AIX Solaris HP-UX Linux Windows] CSIv2 メッセージ層。メッセージ層には、ユーザー ID とパスワード、または有効期限を持つ認証済みトークンが含まれている場合があります。
Java Authentication and Authorization Service

「認証」の下にある「Java Authentication and Authorization Service」を展開すると、以下に対するリンクが表示されます。

  • アプリケーション・ログイン
  • システム・ログイン
  • J2C 認証データ
アプリケーション・ログイン

JAAS で使用されるログイン構成を定義する場合に選択します。

他のアプリケーションが使用する可能性があるため、ClientContainer、DefaultPrincipalMapping、および WSLogin ログイン構成を除去しないでください。これらの構成が除去されると、 他のアプリケーションがログインに失敗することがあります。

システム・ログイン

システム・リソースによって使用される JAAS ログイン構成 (認証メカニズム、プリンシパル・マッピング、およびクレデンシャル・マッピング) を定義する場合に選択します。

J2C 認証データ

Java Authentication and Authorization Service (JAAS) Java 2 コネクター (J2C) 認証データの設定を指定する場合に選択します。

グローバル・セキュリティー設定を使用することも、ドメインの設定をカスタマイズすることもできます。

LTPA

アプリケーション・サーバーがサーバー間で データを安全に送信できるよう、認証情報を暗号化する場合に選択します。

サーバー間で交換される認証情報の暗号化には、 Lightweight Third Party Authentication (LTPA) メカニズムが必要です。

Kerberos および LTPA (Kerberos and LTPA)

アプリケーション・サーバーがサーバー間で データを安全に送信できるよう、認証情報を暗号化する場合に選択します。

サーバー間で交換される認証情報の暗号化には、Kerberos メカニズムが必要です。
注: このオプションを選択するには、 事前に Kerberos を構成する必要があります。
Kerberos 構成 (Kerberos configuration)

あるサーバーから別のサーバーにアプリケーション・サーバーがセキュアな方法でデータを送信できるように認証情報を暗号化する場合に選択します。

サーバー間で交換される認証情報の暗号化には、LTPA メカニズムの KRB5 が使用されます。

認証キャッシュ設定

認証キャッシュの設定を行う場合に選択します。

レルムで修飾されたユーザー名を使用する

メソッド (getUserPrincipal() メソッドなど) によって戻されるユーザー名を、ユーザー名が配置されているセキュリティー・レルムで修飾するように指定します。

セキュリティー・ドメイン

セキュリティー・ドメインのリンクを使用して、ユーザー・アプリケーションの追加のセキュリティー構成を行います。

例えば、あるユーザー・アプリケーションのセットに対して、 グローバル・レベルのものとは異なるユーザー・レジストリーを使用する場合、 そのユーザー・レジストリーを使用してセキュリティー構成を作成し、 当該のアプリケーションのセットに関連付けることができます。 これらの追加セキュリティー構成は、さまざまな有効範囲 (セル、クラスター/サーバー、SIBuses) に関連付けることができます。 セキュリティー構成が 1 つの有効範囲に関連付けられると、 そのセキュリティー構成は、その有効範囲内のすべてのユーザー・アプリケーションによって使用されます。詳しくは、複数のセキュリティー・ドメインを参照してください。

各セキュリティー属性では、グローバル・セキュリティー設定 またはそのドメイン用のカスタマイズ設定を使用できます。

外部許可プロバイダー

デフォルトの許可構成と外部の許可プロバイダーのどちらを使用するかを指定する場合に選択します。

外部プロバイダーは、Java Authorization Contract for Containers (JACC) 仕様に 基づいて Java(TM) 2 Platform, Enterprise Edition (J2EE) 許可を処理できるものでなければなりません。 外部セキュリティー・プロバイダーを JACC 許可プロバイダーとして 構成していない場合、許可プロバイダー・パネルの設定は変更しないでください。

カスタム・プロパティー

データの名前と値のペアを指定する場合に選択します。 名前はプロパティー・キー、値はストリング値です。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連概念
関連タスク
[AIX Solaris HP-UX Linux Windows] [iSeries]
関連資料
RSA トークン認証設定
認証メカニズムおよび有効期限
ローカル・オペレーティング・システムの設定
スタンドアロン LDAP レジストリー設定
[z/OS] 制御の要約
スタンドアロン・カスタム・レジストリー設定
[iSeries] [z/OS] [AIX Solaris HP-UX Linux Windows]
セキュリティー・ドメインの構成
関連情報
[AIX Solaris HP-UX Linux Windows] [iSeries] Cryptographic Module Validation Program (オンライン)


ファイル名: usec_secureadminappinfra.html