グローバル・セキュリティーの設定このページを使用してセキュリティーを構成します。 セキュリティーを使用可能にすると、グローバル・レベルでセキュリティー設定が行えるようになります。 セキュリティーが使用不可になっていると、WebSphere Application Server のパフォーマンスは 10% から 20% 向上します。 したがって、セキュリティーが不要なときには、セキュリティーを使用不可にすることを考慮してください。
この管理コンソール・ページを表示するには、「セキュリティー」>「グローバル・セキュリティー」をクリックします。
初めてセキュリティーの構成を行うときには、問題を回避するために、資料の 『グローバル・セキュリティーの構成』に記載されたステップを行ってください。 セキュリティーを構成した後で、レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を 検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みます。 グローバル・セキュリティーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、 初めてサーバーを再始動するときに問題を回避することができます。
「構成」タブ
このフラグは、WebSphere Application Server 情報では通常、グローバル・セキュリティー・フラグ と呼ばれています。 セキュリティーを使用可能にするときには、認証メカニズムの構成を設定し、 選択されたユーザー・レジストリー構成で有効なユーザー ID とパスワードを指定してください。
| データ型: | ブール |
| デフォルト: | 使用不可 |
Java 2 セキュリティーが使用可能になっているときに、アプリケーションが デフォルト・ポリシーで与えられるよりも多くの Java 2 セキュリティー許可を要求する場合、 そのアプリケーションは、アプリケーションの app.policy ファイルまたは was.policy ファイル に必要な許可が与えられるまでは、正しく実行できない可能性があります。 必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。Java 2 セキュリティーに関する詳しい説明については、インフォセンターおよび『Java 2 セキュリティー および動的ポリシー』のセクションを参照してください。
グローバル・セキュリティーを使用可能にした後にサーバーが再始動しなくなった場合には、 セキュリティーを使用不可にしてください。 $<install_root>¥bin ディレクトリーに進み、wsadmin -conntype NONE コマンドを実行します。 wsadmin> プロンプトで securityoff と入力し、次に exit と入力してコマンド・プロンプトに戻ります。セキュリティーを使用不可にしてサーバーを再始動し、管理コンソールを介して誤っている設定を検査します。
| データ型: | ブール |
| デフォルト: | 使用不可 |
| 範囲: | 使用可能または使用不可 |
| データ型: | ブール |
| デフォルト: | 使用不可 |
| 範囲: | 使用可能または使用不可 |
![[5.0 のみ]](v50x.gif)
「セキュリティー」>「グローバル・セキュリティー 」構成パネルで「ドメイン修飾ユーザー名の使用」を指定すると、Enterprise Bean から getCallerPrincipal() へのランタイム呼び出しによって戻される修飾名の前に、レルムが 2 回付加されます。例えば、フォーマットの戻りは realm/realm/user となります。API を呼び出すときは、戻された値から最初のレルムを取り除いてかまいません。サーブレット API getUserPrincipal() は、
正しく動作します。
WebSphere Application Server のセキュリティーが使用可能になっている場合、 セキュリティー・キャッシュのタイムアウトによってパフォーマンスが影響を受ける可能性があります。 このタイムアウト設定値では、セキュリティー関連のキャッシュのリフレッシュ頻度が指定されます。 キャッシュに入るのは、Bean、許可、および信任状に関するセキュリティー情報です。キャッシュ・タイムアウトが満了すると、キャッシュされた情報はすべて無効になります。 その後でその情報に関する要求が行われると、データベースが検索されます。情報を獲得するために、Lightweight Directory Access Protocol(LDAP) バインドまたはネイティブの認証を呼び出すことが 必要になる場合があります。そのサイトの使用パターンとセキュリティーの必要性を検討して、アプリケーションに最適な トレードオフを決定してください。
20 分間のパフォーマンス・テストでは、 タイムアウトが生じないようにキャッシュ・タイムアウトを設定すると、 パフォーマンスが 40% 向上します。
| データ型: | 整数 |
| 単位: | 秒 |
| デフォルト: | 600 |
| 範囲: | 30 秒より大 |
WebSphere 製品は、ポリシー・ファイル管理をサポートしています。 この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。 動的ポリシーは、特定タイプのリソースの許可についてのテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されていないか、または相対コード・ベースが使用されています。 実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。filter.policy ファイルには、J2EE 1.3 仕様に従って、 アプリケーションが持つべきではないアクセス権のリストが入っています。 アクセス権の詳細については、インフォセンターの『Java 2 セキュリティー・ポリシー管理』 の項目を参照してください。
| データ型: | ブール |
| デフォルト: | 使用不可 |
| 範囲: | 使用可能または使用不可 |
Common Secure Interoperability Version 2 (CSIv2) と呼ばれるオブジェクト管理グループ (OMG) はさらなる ベンダー・インターオペラビリティーおよび追加機能をサポートします。セキュリティー・ドメインに含まれるすべてのサーバーが バージョン Version 5.0 のサーバーである場合、プロトコルとして CSI を指定します。 3.x または 4.x のサーバーが存在する場合には、CSI and SAS を指定してください。
| データ型: | ストリング |
| デフォルト: | BOTH |
| 範囲: | CSI and SAS、CSI |
WebSphere Application Server バージョン 5 では、Simple WebSphere Authentication Mechanism (SWAM) と Lightweight Third Party Authentication (LTPA) という認証メカニズムがサポートされています。
| データ型: | ストリング |
| デフォルト: | SWAM (WebSphere Application Server) |
| 範囲: | SWAM、LTPA |
以下のユーザー・レジストリーのうちの 1 つについて、設定を構成することができます。
| データ型: | ストリング |
| デフォルト: | Local OS |
| 範囲: | Local OS、LDAP、カスタム |
![[修正パッケージ 5.0.2 以降]](v502.gif)
「Use FIPS」が使用可能になっている場合には、Lightweight Third Party Authentication (LTPA) インプリメンテーションは IBMJCEFIPS を使用します。IBMJCEFIPS は、DES、Triple-DES、および AES で、連邦情報処理標準 (FIPS) 承認済み暗号アルゴリズムをサポートしています。 ただし LTPA キーは、WebSphere Application Server の以前のリリースと互換性がありますが、LTPA トークンは以前のリリースとは互換性はありません。
WebSphere Application Server では、IBMJSSEFIPS という FIPS 承認済みの Java Secure Socket Extension (JSSE) プロバイダーを提供しています。FIPS 承認済みの JSSE には Secure Sockets Layer (SSL) プロトコルとの互換性がないので、Transport Layer Security (TLS) プロトコルが必要です。FIPS 承認済みの JSSE プロバイダーおよび TLS プロトコルを指定せずに「 Use FIPS」チェック・ボックスを選択すると、「グローバル・セキュリティー」パネルの上部に以下のエラー・メッセージが 表示されます。
The security policy is set to use only FIPS approved cryptographic algorithms. However at least one SSL configuration may not be using a FIPS approved JSSE provider. FIPS approved cryptographic algorithms may not be used in those cases.この問題を訂正するには、以下のいずれかのタスクを完了して、「SSL Configuration Repertoires」パネルで JSSE プロバイダーおよびセキュリティー・プロトコルを構成してください。