[バージョン 5.1.1 以降]Java 認証・承認サービス向けのシステム・ログイン構成エントリーの設定

このページを使用して、Java Authentication Authorization Service (JAAS) システム・ログイン構成のリストを指定します。

この管理コンソール・ページを表示するには、「セキュリティー」> 「JAAS 構成」>「System logins」の順にクリックします。

WebSphere Application Server セキュリティー・ランタイムの認証用の追加ログイン・モジュールの定義を開始する前に、『Java 認証・承認サービス』をご覧ください。以下のシステム・ログイン・モジュールは除去しないようにしてください。

RMI_INBOUND、WEB_INBOUND、DEFAULT
Remote Method Invocation (RMI)、Web アプリケーション、およびその他の大半のログイン・プロトコル用のインバウンド・ログイン要求を処理します。これらのログイン構成は、WebSphere Application Server バージョン 5.1.1 で使用されます。
RMI_INBOUND
RMI_INBOUND ログイン構成は、インバウンド RMI 要求のログインを処理します。一般に、これらのログインは、EJB ファイルへの認証済みアクセスの要求です。また、これらのログインは、RMI コネクターを使用する際には、Java Management Extensions (JMX) 要求である可能性もあります。
WEB_INBOUND
WEB_INBOUND ログイン構成は、サーブレットおよび JavaServer Page (JSP) が含まれる、 Web アプリケーション要求のログインを処理します。このログイン構成は、トラスト・アソシエーション・インターセプター (TAI) から生成された出力 (構成済みの場合) と相互作用することができます。 WEB_INBOUND ログイン構成に渡される Subject には、TAI で生成されたオブジェクトが含まれる可能性があります。
DEFAULT
DEFAULT ログイン構成は、その他の大半のプロトコルおよび内部認証で行われる、インバウンド要求に対するログインを処理します。

これら 3 つのログイン構成は、これらの構成内のログイン・モジュールによって処理される、以下のコールバック情報で渡すことができます。これらのコールバックは、同時には渡されません。ただし、これらのコールバックの組み合わせにより、WebSphere Application Server がユーザーを認証する仕方が決定されます。

コールバック 役割
callbacks[0] = new javax.security.auth.callback.NameCallback("Username: "); ログイン時に指定されたユーザー名を収集します。この情報は、以下のタイプのログイン用のユーザー名です。
  • 基本認証と呼ばれる、ユーザー名とパスワードのログイン。
  • ID アサーション専用のユーザー名。
callbacks[1] = new javax.security.auth.callback.PasswordCallback("Password: ", false); ログイン時に指定されたパスワードを収集します。
callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential Token: "); ログイン時の Lightweight Third Party Authentication (LTPA) トークン (または他のトークン・タイプ) を収集します。一般に、ユーザー名とパスワードが存在しないときに、この情報があります。
callbacks[3] = new com.ibm.wsspi.security.auth.callback.WSTokenHolderCallback("Authz Token List: "); WSOpaqueTokenHelper への呼び出しから戻された TokenHolder オブジェクトの ArrayList を収集します。入力データとして Common Secure Interoperability バージョン 2 (CSIv2) 許可トークンを使用した createTokenHolderListFromOpaqueToken () メソッド。


システム・ログイン構成では、WebSphere Application Server は、コールバックによって収集した情報を基にしてユーザーを認証します。ただし、カスタム・ログイン・モジュールは、これらのコールバックを操作する必要はありません。以下のリストで、これらのコールバックの標準的組み合わせを説明します。

前に定義したコールバックのほかに、WEB_INBOUND ログイン構成にのみ以下の追加のコールバックを含むことができます。

コールバック 役割
callbacks[4] = new com.ibm.websphere.security.auth.callback.WSServletRequestCallback("HttpServletRequest: "); HTTP サーブレット要求オブジェクトを収集します (存在する場合)。このコールバックにより、ログイン・モジュールは HTTP 要求から、ログイン時に使用する情報を抽出することができます。
callbacks[5] = new com.ibm.websphere.security.auth.callback.WSServletResponseCallback("HttpServletResponse: "); HTTP サーブレット応答オブジェクトを収集します (存在する場合)。このコールバックにより、ログイン・モジュールは、ログインの結果として HTTP 応答に情報を追加できます。例えば、ログイン・モジュールは応答に SingleSignonCookie を追加する可能性があります。
callbacks[6] = new com.ibm.websphere.security.auth.callback.WSAppContextCallback("ApplicationContextCallback: "); ログイン時に使用された Web アプリケーション・コンテキストを収集します。このコールバックは、アプリケーション名とリダイレクト Web アドレスを含む HashMap から構成されます (存在する場合)。


以下のログイン・モジュールは、RMI_INBOUND、WEB_INBOUND、および DEFAULT システム・ログイン構成のために事前定義されています。これらのログイン・モジュールの前、間、または後に、カスタム・ログイン・モジュールを追加することはできますが、これらの事前定義のログイン・モジュールを除去することはできません。

RMI_OUTBOUND
com.ibm.CSI.rmiOutboundLoginEnabled または com.ibm.CSIOutboundPropagationEnabled のいずれかのプロパティーが true である場合に、別のサーバーへアウトバウンド送信される RMI 要求を処理します。

これらのプロパティーは、CSIv2 認証パネルで設定されます。このパネルにアクセスするには、「セキュリティー」>「認証プロトコル」>「CSIv2 アウトバウンド認証」の順にクリックします。 com.ibm.CSI.rmiOutboundLoginEnabled プロパティーを設定するために、「Custom outbound mapping」を選択します。 com.ibm.CSIOutboundPropagationEnabled プロパティーを設定するために、「Security attribute propagation」を選択します。

このログイン構成により、ターゲット・サーバーとそのセキュリティー・ドメインのセキュリティー機能が決定されます。たとえば、WebSphere Application Server バージョン 5.1.1 がバージョン 5.x のアプリケーション・サーバーと通信する場合、バージョン 5.1.1 アプリケーション・サーバーは、LTPA トークンを使用して、認証情報をバージョン 5.x アプリケーション・サーバーに送信します。ただし、WebSphere Application Server バージョン 5.1.1 がバージョン 5.1.x アプリケーション・サーバーと通信する場合は、送信側サーバーと受信側サーバーの両方で伝搬が使用可能になっていれば、認証および許可情報は受信側アプリケーション・サーバーに送信されます。

RMI_OUTBOUND ログイン構成では、以下のコールバックが使用可能です。このコールバックによって戻された com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy オブジェクトを使用して、この特定アウトバウンド要求のセキュリティー・ポリシーを照会することができます。これを照会することは、ターゲット・レルムが、現行レルムと異なるかどうか、および WebSphere Application Server がそのレルムをマップする必要があるかどうかを判別するために役立ちます。詳しくは、『異なるターゲット・レルムへのアウトバウンド・マッピングの構成』を参照してください。

コールバック 役割
callbacks[0] = new WSProtocolPolicyCallback("Protocol Policy Callback: ");

このアウトバウンド呼び出しでのログイン・モジュール用のプロトコル特有のポリシー情報を提供します。この情報は、ターゲット・レルム、ターゲット・セキュリティー要件、および結合セキュリティー要件を含む、セキュリティー・レベルの判別に使用されます。

次のメソッドにより、この特定ログイン・モジュールから CSIv2PerformPolicy を取得します。

csiv2PerformPolicy = (CSIv2PerformPolicy)
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();

RMI 以外の別のプロトコルでは、異なるタイプのポリシー・オブジェクトが使用される可能性があります。



RMI_OUTBOUND ログイン構成では、以下のログイン・モジュールが事前定義されています。これらのログイン・モジュールの前、間、または後に、カスタム・ログイン・モジュールを追加することはできますが、これらの事前定義のログイン・モジュールを除去することはできません。

com.ibm.ws.security.lm.wsMapCSIv2OutboundLoginModule
Common Secure Interoperability バージョン 2 (CSIv2) の許可トークン・レイヤーを使用して別のサーバーに送信される不透明なバイトを作成する前に、以下のトークンおよびオブジェクトを取り出します。
  • Subject からの、転送可能な com.ibm.wsspi.security.token.Token インプリメンテーション
  • Subject からの直列化可能なカスタム・オブジェクト
  • スレッドからの伝搬トークン

このログイン・モジュールの前にカスタム・ログイン・モジュールを使用して、証明書マッピングを実行することができます。ただし、このログイン・モジュールを使用して、ログイン・フェーズ時に渡された Subject のコンテンツを変更することをお勧めします。この推奨事項に従った場合、このログイン・モジュールの後に処理されたログイン・モジュールが、新規の Subject コンテンツを操作します。

SWAM
認証方式として SWAM が使用されるときに、単一サーバー環境でログイン要求を処理します。

Simple WebSphere Authentication Mechanism (SWAM) では、転送可能な証明書はサポートされません。認証方式が SWAM であるとき、WebSphere Application Server は、サーバーからサーバーへ要求を送信できません。この場合は、LTPA を使用する必要があります。

wssecurity.IDAssertion
識別表明を使用して、Web サービス・セキュリティー用のログイン構成要求を処理します。
wssecurity.signature
ディジタル・シグニチャー検証を使用して、Web サービス・セキュリティー用のログイン構成要求を処理します。
LTPA_WEB
サーブレット、JavaServer Page などの Web コンテナーで使用されるログイン要求を処理します。

このログイン構成は、WebSphere Application Server バージョン 5.1 以前のバージョンで使用されます。

com.ibm.ws.security.web.AuthenLoginModule ログイン・モジュールは、LTPA ログイン構成で事前定義されています。 LTPA_WEB ログイン構成でこのモジュールの前または後に、カスタム・ログイン・モジュールを追加することができます。

LTPA_WEB ログイン構成は、コールバック・ハンドラーを使用して渡された HttpServletRequest オブジェクト、HttpServletResponse オブジェクト、および Web アプリケーション名を処理できます。詳しくは、この資料の『サーバー・サイドの Java 認証・承認サービスの認証およびログイン構成のカスタマイズ』を参照してください。

LTPA
LTPA_WEB ログイン構成で処理されないログイン要求を処理します。

このログイン構成は、WebSphere Application Server バージョン 5.1 以前のバージョンで使用されます。

com.ibm.ws.security.server.lm.ltpaLoginModule ログイン・モジュールは、LTPA ログイン構成で事前定義されています。LTPA ログイン構成でこのモジュールの前または後に、カスタム・ログイン・モジュールを追加することができます。詳しくは、この資料の『サーバー・サイドの Java 認証・承認サービスの認証およびログイン構成のカスタマイズ』を参照してください。

関連情報

管理コンソールのボタン
管理コンソール・ページのフィーチャー
管理コンソールの有効範囲設定
管理コンソールのフィルター設定
管理コンソールの設定の変更
Java 認証・承認サービス向けの構成エントリーの設定