[修正パッケージ 5.0.2 以降]グローバル・セキュリティーの設定

このページを使用してセキュリティーを構成します。 セキュリティーを使用可能にすると、グローバル・レベルでセキュリティー設定が行えるようになります。 セキュリティーが使用不可になっていると、WebSphere Application Server のパフォーマンスは 10% から 20% 向上します。 したがって、セキュリティーが不要なときには、セキュリティーを使用不可にすることを考慮してください。

この管理コンソール・ページを表示するには、「セキュリティー」>「グローバル・セキュリティー」をクリックします。

初めてセキュリティーの構成を行うときには、問題を回避するために、資料の 『グローバル・セキュリティーの構成』に記載されたステップを行ってください。 セキュリティーを構成した後で、レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を 検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みます。 グローバル・セキュリティーを使用可能にした後でユーザー・レジストリー設定を妥当性検査すると、 初めてサーバーを再始動するときに問題を回避することができます。

「構成」タブ

使用可能
サーバーがセキュリティー・サブシステムを使用可能にするように指定します。

このフラグは、WebSphere Application Server 情報では通常、グローバル・セキュリティー・フラグ と呼ばれています。 セキュリティーを使用可能にするときには、認証メカニズムの構成を設定し、 選択されたユーザー・レジストリー構成で有効なユーザー ID とパスワードを指定してください。

データ型: ブール
デフォルト: 使用不可
Java 2 セキュリティーの実行
Java 2 セキュリティーによる許可検査を使用可能にするのか、使用不可にするのかを指定します。デフォルトでは、Java 2 セキュリティーは使用不可になっています。 ただし、グローバル・セキュリティーを使用可能にすると、自動的に Java 2 セキュリティーが使用可能になります。グローバル・セキュリティーが使用可能になっている場合にも、Java 2 セキュリティーを使用不可にすることができます。

Java 2 セキュリティーが使用可能になっているときに、アプリケーションが デフォルト・ポリシーで与えられるよりも多くの Java 2 セキュリティー許可を要求する場合、 そのアプリケーションは、アプリケーションの app.policy ファイルまたは was.policy ファイル に必要な許可が与えられるまでは、正しく実行できない可能性があります。 必要なすべての許可を与えられていないアプリケーションは、AccessControl 例外を生成します。Java 2 セキュリティーに関する詳しい説明については、インフォセンターおよび『Java 2 セキュリティー および動的ポリシー』のセクションを参照してください。

グローバル・セキュリティーを使用可能にした後にサーバーが再始動しなくなった場合には、 セキュリティーを使用不可にしてください。 $<install_root>¥bin ディレクトリーに進み、wsadmin -conntype NONE コマンドを実行します。 wsadmin> プロンプトで securityoff と入力し、次に exit と入力してコマンド・プロンプトに戻ります。セキュリティーを使用不可にしてサーバーを再始動し、管理コンソールを介して誤っている設定を検査します。

データ型: ブール
デフォルト: 使用不可
範囲: 使用可能または使用不可
ドメイン修飾ユーザー名の使用
ユーザー名を、そのユーザー名が入っているセキュリティー・ドメインで修飾することを指定します。
データ型: ブール
デフォルト: 使用不可
範囲: 使用可能または使用不可

[5.0 のみ][修正パッケージ 5.0.1]セキュリティー」>「グローバル・セキュリティー 」構成パネルで「ドメイン修飾ユーザー名の使用」を指定すると、Enterprise Bean から getCallerPrincipal() へのランタイム呼び出しによって戻される修飾名の前に、レルムが 2 回付加されます。例えば、フォーマットの戻りは realm/realm/user となります。API を呼び出すときは、戻された値から最初のレルムを取り除いてかまいません。サーブレット API getUserPrincipal() は、 正しく動作します。

キャッシュ・タイムアウト
セキュリティー・キャッシュのタイムアウト値を秒単位で指定します。 この値は相対タイムアウト値です。

WebSphere Application Server のセキュリティーが使用可能になっている場合、 セキュリティー・キャッシュのタイムアウトによってパフォーマンスが影響を受ける可能性があります。 このタイムアウト設定値では、セキュリティー関連のキャッシュのリフレッシュ頻度が指定されます。 キャッシュに入るのは、Bean、許可、および信任状に関するセキュリティー情報です。キャッシュ・タイムアウトが満了すると、キャッシュされた情報はすべて無効になります。 その後でその情報に関する要求が行われると、データベースが検索されます。情報を獲得するために、Lightweight Directory Access Protocol(LDAP) バインドまたはネイティブの認証を呼び出すことが 必要になる場合があります。そのサイトの使用パターンとセキュリティーの必要性を検討して、アプリケーションに最適な トレードオフを決定してください。

20 分間のパフォーマンス・テストでは、 タイムアウトが生じないようにキャッシュ・タイムアウトを設定すると、 パフォーマンスが 40% 向上します。

データ型: 整数
単位:
デフォルト: 600
範囲: 30 秒より大
許可警告の発行
許可警告の発行 が使用可能になっている場合、 アプリケーションになんらかのカスタム認可が与えられているときには、 アプリケーションのデプロイメント時およびアプリケーション開始時に セキュリティー・ランタイムが警告を発します。 カスタム許可とは、JDK 許可ではなく、ユーザー・アプリケーションによって定義された許可のことです。 JDK 許可は、package java.* および javax.* で定義されている許可です。

WebSphere 製品は、ポリシー・ファイル管理をサポートしています。 この製品には多数のポリシー・ファイルがあり、その中には静的なものと動的なものがあります。 動的ポリシーは、特定タイプのリソースの許可についてのテンプレートです。 動的ポリシー・テンプレートでは、コード・ベースが定義されていないか、または相対コード・ベースが使用されています。 実際のコード・ベースは、構成データおよびランタイム・データから動的に作成されます。filter.policy ファイルには、J2EE 1.3 仕様に従って、 アプリケーションが持つべきではないアクセス権のリストが入っています。 アクセス権の詳細については、インフォセンターの『Java 2 セキュリティー・ポリシー管理』 の項目を参照してください。

データ型: ブール
デフォルト: 使用不可
範囲: 使用可能または使用不可
アクティブなプロトコル
セキュリティーが使用可能になっている場合 の、Remote Method Invocation over the Internet Inter-ORB Protocol (RMI IIOP) 要求のための アクティブな認証プロトコルを指定します。前のリリースでは、Security Authentication Service (SAS) プロトコルが唯一の使用可能なプロトコルでした。

Common Secure Interoperability Version 2 (CSIv2) と呼ばれるオブジェクト管理グループ (OMG) はさらなる ベンダー・インターオペラビリティーおよび追加機能をサポートします。セキュリティー・ドメインに含まれるすべてのサーバーが バージョン Version 5.0 のサーバーである場合、プロトコルとして CSI を指定します。 3.x または 4.x のサーバーが存在する場合には、CSI and SAS を指定してください。

データ型: ストリング
デフォルト: BOTH
範囲: CSI and SAS、CSI
アクティブな認証メカニズム
セキュリティーが使用可能になっている場合のアクティブな認証プロトコルを指定します。

WebSphere Application Server バージョン 5 では、Simple WebSphere Authentication Mechanism (SWAM) と Lightweight Third Party Authentication (LTPA) という認証メカニズムがサポートされています。

データ型: ストリング
デフォルト: SWAM (WebSphere Application Server)
範囲: SWAM、LTPA
アクティブなユーザー・レジストリー
セキュリティーが使用可能になっている場合の アクティブなユーザー・レジストリーを指定します。

以下のユーザー・レジストリーのうちの 1 つについて、設定を構成することができます。

  • ローカル・オペレーティング・システム
  • LDAP ユーザー・レジストリー。 ユーザーおよびグループが外部 LDAP ディレクトリーに置かれている場合には、LDAP ユーザー・レジストリーの設定値が 使用されます。セキュリティーが使用可能になっていて、これらのプロパティーのどれかが変更されている場合、「 グローバル・セキュリティー 」パネルに進み、「 適用」または「OK」をクリックして変更内容を確認してください。
  • カスタム・ユーザー・レジストリー

データ型: ストリング
デフォルト: Local OS
範囲: Local OS、LDAP、カスタム
Use FIPS   [修正パッケージ 5.0.2 以降]
FIPS (連邦情報処理規格) 承認済みの暗号アルゴリズムを使用可能にします。

Use FIPS」が使用可能になっている場合には、Lightweight Third Party Authentication (LTPA) インプリメンテーションは IBMJCEFIPS を使用します。IBMJCEFIPS は、DES、Triple-DES、および AES で、連邦情報処理標準 (FIPS) 承認済み暗号アルゴリズムをサポートしています。 ただし LTPA キーは、WebSphere Application Server の以前のリリースと互換性がありますが、LTPA トークンは以前のリリースとは互換性はありません。

WebSphere Application Server では、IBMJSSEFIPS という FIPS 承認済みの Java Secure Socket Extension (JSSE) プロバイダーを提供しています。FIPS 承認済みの JSSE には Secure Sockets Layer (SSL) プロトコルとの互換性がないので、Transport Layer Security (TLS) プロトコルが必要です。FIPS 承認済みの JSSE プロバイダーおよび TLS プロトコルを指定せずに「 Use FIPS」チェック・ボックスを選択すると、「グローバル・セキュリティー」パネルの上部に以下のエラー・メッセージが 表示されます。

The security policy is set to use only FIPS approved cryptographic algorithms.
However at least one SSL configuration may not be using a FIPS approved JSSE provider.
FIPS approved cryptographic algorithms may not be used in those cases.

この問題を訂正するには、以下のいずれかのタスクを完了して、「SSL Configuration Repertoires」パネルで JSSE プロバイダーおよびセキュリティー・プロトコルを構成してください。
  • セキュリティー」>「SSL」をクリックし、既存の構成を修正する。
  • 新規」をクリックし、新しい構成を作成する。

関連情報

管理コンソールのボタン
管理コンソール・ページのフィーチャー
管理コンソールの有効範囲設定
管理コンソールのフィルター設定
管理コンソールの設定の変更