ibm websphere application server...

IBM Tivoli Access Manager for e-business

IBM WebSphere Application Server 統合ガイド

バージョン 5.1

SC88-9860-00

(英文原典：SC32-1368-00)

��

お願い本書および本書で紹介する製品をご使用になる前に、 121ページの『付録 B. 特記事項』に記載されている情報をお読みください。

本書は、IBM Tivoli Access Manager バージョン 5 リリース 1 モディフィケーション 0 (プロダクト番号 5724-C08)に適用されます。また、新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。

本マニュアルに関するご意見やご感想は、次の URL からお送りください。今後の参考にさせていただきます。

http://www.ibm.com/jp/manuals/main/mail.html

なお、日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは

http://www.ibm.com/jp/manuals/ の「ご注文について」をご覧ください。

(URL は、変更になる場合があります)

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

　原　典： SC32-1368-00

Tivoli Access Manager for e-business

IBM WebSphere Application Server Integration Guide

Version 5.1

　発　行：日本アイ・ビー・エム株式会社

　担　当：ナショナル・ランゲージ・サポート

第1刷 2004.1

この文書では、平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、および平成角ゴシック体™W7を使用しています。この(書体*)は、（財）日本規格協会と使用契約を締結し使用しているものです。フォントとして無断複製することは禁止されています。

　　注* 平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、平成角ゴシック体™W7

© Copyright International Business Machines Corporation 2002, 2003. All rights reserved.

© Copyright IBM Japan 2004

目次

まえがき . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii本書の対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii本書の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viii資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viiiリリース情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viii基本情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ixWeb セキュリティー情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ixデベロッパーの参照情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x技術上の補足情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x関連資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

アクセシビリティー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xivソフトウェア・サポートへの連絡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv本書の規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv書体の規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xivオペレーティング・システムの違い . . . . . . . . . . . . . . . . . . . . . . . . . . xv

第 1 章概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Tivoli Access Manager と WebSphere Application Server の統合 . . . . . . . . . . . . . . . . . . 2Java 2 Enterprise Edition 役割ベースのセキュリティー . . . . . . . . . . . . . . . . . . . . . 4プリンシパルおよびグループの役割へのマッピング . . . . . . . . . . . . . . . . . . . . . . 5複数の WebSphere サーバー用の集中ポリシー管理 . . . . . . . . . . . . . . . . . . . . . . . 8

第 2 章インストールについて . . . . . . . . . . . . . . . . . . . . . . . . . . 11ソフトウェアの内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11サポートされているプラットフォーム . . . . . . . . . . . . . . . . . . . . . . . . . . 11

WebSphere Application Server バージョン 5.1 のサポート . . . . . . . . . . . . . . . . . . . 12ディスクおよびメモリー所要量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12ソフトウェア前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Tivoli Access Manager Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Java Runtime Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

ユーザー・レジストリーの前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . 15前のリリースからのアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . 16インストール・ウィザードを使用したインストール . . . . . . . . . . . . . . . . . . . . . . 17ネイティブ・ユーティリティーを使用した Tivoli Access Manager for WebSphere のインストール . . . . . . 20

Solaris へのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21AIX へのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22HP-UX へのインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Linux へのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Windows へのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

第 3 章構成手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29初期インストールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29パート 1: WebSphere Application Server 用の Tivoli Access Manager 管理ユーザーの作成 . . . . . . . . 30パート 2: WebSphere セキュリティーの使用可能化 . . . . . . . . . . . . . . . . . . . . . 31パート 3: Access Manager Java Runtime Environment の構成 . . . . . . . . . . . . . . . . . . 34パート 4: セキュア・ドメインの結合 . . . . . . . . . . . . . . . . . . . . . . . . . . 35パート 5a: WebSphere セキュリティー設定のマイグレーション — WebSphere バージョン 4.0.6 . . . . . . 37パート 5b: WebSphere セキュリティー設定のマイグレーション — WebSphere バージョン 5.0.2 . . . . . . 39

WebSphere Application Server バージョン 5.1 環境における Tivoli Access Manager for WebSphere の構成 . . . . 43

© Copyright IBM Corp. 2002, 2003 iii

パート 1: WebSphere Application Server 用の Tivoli Access Manager 管理ユーザーの作成 . . . . . . . . 43パート 2: WebSphere Application Server バージョン 5.1 におけるセキュリティーの使用可能化 . . . . . . 43パート 3: Access Manager Java Runtime Environment の構成 . . . . . . . . . . . . . . . . . . 44パート 4: Tivoli Access Manager for WebSphere の構成 . . . . . . . . . . . . . . . . . . . 44パート 5: 管理ポリシーのマイグレーション . . . . . . . . . . . . . . . . . . . . . . . 44

追加インストールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45パート A-1: Access Manager Java Runtime Environment の構成 . . . . . . . . . . . . . . . . . 46パート A-2: セキュア・ドメインへの結合 . . . . . . . . . . . . . . . . . . . . . . . . 47

第 4 章セキュリティー役割のマイグレーション . . . . . . . . . . . . . . . . . . 49セキュリティー役割をマイグレーションする方法 . . . . . . . . . . . . . . . . . . . . . . . 49マイグレーション・ユーティリティーに関する制限 . . . . . . . . . . . . . . . . . . . . . . 53トラブルシューティングのヒント . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54ログ・ファイルの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55ユーザーが、作成した ACL に付加されていない . . . . . . . . . . . . . . . . . . . . . . 55ショート・ネームの Windows ファイルのマイグレーションに失敗した . . . . . . . . . . . . . . 55Web Portal Manager が ACL をオブジェクトに付加できない . . . . . . . . . . . . . . . . . . 55ユーザー [...] が pdwas-admin のメンバーであるという警告 . . . . . . . . . . . . . . . . . . 56セッション満了のためクライアント認証が失われた . . . . . . . . . . . . . . . . . . . . . 56マイグレーション・ユーティリティー・メッセージが正しい言語で表示されない . . . . . . . . . . . 56

第 5 章管理タスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59WebSphere アドバンスト版シングル・サーバー、バージョン 4.0.6 . . . . . . . . . . . . . . . . . 59Tivoli Access Manager 管理ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60ランタイム・プロパティーの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60静的役割キャッシングの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61動的役割キャッシングの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61役割ベースのポリシー・フレームワーク・パラメーター . . . . . . . . . . . . . . . . . . . 62

追加の許可サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64オブジェクト・クラスをコンソールに追加する . . . . . . . . . . . . . . . . . . . . . . . 65GSO プリンシパル・マッピングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . 66新規アプリケーション・ログインの作成 . . . . . . . . . . . . . . . . . . . . . . . . . 67

Tivoli Access Manager for WebSphere ロギング . . . . . . . . . . . . . . . . . . . . . . . 71WebSEAL を使用した WebSphere Application Server のシングル・サインオン . . . . . . . . . . . . . 73ステップ 1 — Tivoli Access Manager におけるトラステッド・ユーザー・アカウントの作成 . . . . . . . 73ステップ 2 — WebSphere Application Server との WebSEAL junction の作成 . . . . . . . . . . . . 74ステップ 3a — TAI for WebSphere Application Server バージョン 4.0.6 を使用した SSO の構成 . . . . . 74ステップ 3b — TAI for WebSphere Application Server バージョン 5.0.2 を使用した SSO の構成 . . . . . 75ステップ 4 — WebSEAL での SSO パスワードの設定 . . . . . . . . . . . . . . . . . . . . 76ステップ 5 — WebSEAL 接続のテスト . . . . . . . . . . . . . . . . . . . . . . . . . 76

トラブルシューティングのヒント . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76構成およびマイグレーション後に WebSphere サーバーが開始しない — WebSphere Application Server バージョン 4.0.6 のみ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76構成解除後に WebSphere サーバーが開始しない — WebSphere Application Server バージョン 4.0.6 のみ . . . 77

Tivoli Access Manager for WebSphere ファイルのバックアップ . . . . . . . . . . . . . . . . . . 78

第 6 章チュートリアル: セキュリティーを使用可能にする方法 . . . . . . . . . . . . 79チュートリアル : Tivoli Access Manager for WebSphere Application Server バージョン 4.0.6 の場合 . . . . . . 79チュートリアルの使用法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79パート 1: LDAP ユーザー・レジストリーへのユーザーの追加 . . . . . . . . . . . . . . . . . 81パート 2: Tivoli Access Manager for WebSphere のインストール . . . . . . . . . . . . . . . . 82パート 3: WebSphere アプリケーションへのセキュリティーの追加 . . . . . . . . . . . . . . . . 82パート 4: WebSphere Application Server 用の Tivoli Access Manager 管理ユーザーの作成 . . . . . . . . 84パート 5: WebSphere セキュリティーの使用可能化 . . . . . . . . . . . . . . . . . . . . . 85パート 6: アプリケーションのデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . 85パート 7: デプロイ済みアプリケーションのセキュリティーのテスト . . . . . . . . . . . . . . . 86

iv IBM Tivoli Access Manager for e-business: IBM WebSphere Application Server 統合ガイド

パート 8: Tivoli Access Manager へのアプリケーションのマイグレーション . . . . . . . . . . . . . 87パート 9: デプロイ済みアプリケーションのセキュリティーのテスト . . . . . . . . . . . . . . . 89パート 10: 役割の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89パート 11: デプロイ済みアプリケーションのセキュリティーのテスト . . . . . . . . . . . . . . . 90

チュートリアル : Tivoli Access Manager for WebSphere Application Server バージョン 5.0.2 の場合 . . . . . . 90チュートリアルの使用法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90パート 1: LDAP ユーザー・レジストリーへのユーザーの追加 . . . . . . . . . . . . . . . . . 91パート 2: Tivoli Access Manager for WebSphere のインストール . . . . . . . . . . . . . . . . 92パート 3: WebSphere アプリケーションへのセキュリティーの追加 . . . . . . . . . . . . . . . . 93パート 4: WebSphere Application Server 用の Tivoli Access Manager 管理ユーザーの作成 . . . . . . . . 95パート 5: WebSphere セキュリティーの使用可能化 . . . . . . . . . . . . . . . . . . . . . 96パート 6: アプリケーションのデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . 96パート 7: デプロイ済みアプリケーションのセキュリティーのテスト . . . . . . . . . . . . . . . 97パート 8: Tivoli Access Manager へのアプリケーションのマイグレーション . . . . . . . . . . . . . 98パート 9: デプロイ済みアプリケーションのセキュリティーのテスト . . . . . . . . . . . . . . . 100パート 10: 役割の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100パート 11: デプロイ済みアプリケーションのセキュリティーのテスト . . . . . . . . . . . . . . 100

第 7 章除去に関する指示 . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Solaris からの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Windows からの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104AIX からの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104HP-UX からの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Linux からの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

付録 A. コマンド・リファレンス . . . . . . . . . . . . . . . . . . . . . . . . 107pdwascfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108migrateEAR4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112migrateEAR5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

付録 B. 特記事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121商標 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

目次 v

vi IBM Tivoli Access Manager for e-business: IBM WebSphere Application Server 統合ガイド

まえがき

IBM® Tivoli® Access Manager for WebSphere Application Server (Tivoli Access

Manager for WebSphere) へようこそ。この製品は、Tivoli Access Manager を拡張し、 IBM® WebSphere™ Application Server 用に作成されたアプリケーションをサポートします。

IBM® Tivoli® Access Manager (Tivoli Access Manager) は、IBM Tivoli Access

Manager 製品でのアプリケーションの実行に必要な基本ソフトウェアです。このソフトウェアにより、広範囲の許可および管理ソリューションを提供する IBM Tivoli

Access Manager アプリケーションの統合が可能になります。統合ソリューションとして販売されているこれらの製品は、e-business アプリケーションのためのネットワークおよびアプリケーション・セキュリティー・ポリシーを集中化させる、アクセス・コントロール管理ソリューションを提供します。

注: IBM Tivoli Access Manager は、以前 Tivoli SecureWay® Policy Director という名前でリリースされていたソフトウェアの新しい名前です。また、Tivoli

SecureWay Policy Director のソフトウェアと資料に精通しているユーザーならご存じの、管理サーバーという用語は、新しくポリシー・サーバーという用語になりました。

「IBM Tivoli Access Manager for WebSphere Application Server 統合ガイド」は、インストール、構成、および管理手順を示しています。この資料には、 WebSphere アプリケーションの集中型のセキュリティー・ポリシーを構成する方法に関するチュートリアルも記載されています。

本書の対象読者この管理ガイドの対象読者は以下のとおりです。

v セキュリティー管理者

v ネットワーク・システム管理者

v IT 設計者

本書の読者は以下について精通している必要があります。

v インターネット・プロトコル。 HTTP、TCP/IP、ファイル転送プロトコル(FTP)、および Telnet が含まれます。

v WebSphere Application Server のシステムとアプリケーションのデプロイメントと管理

v セキュリティー管理。認証や許可を含みます。

Secure Sockets Layer (SSL) 通信を使用している場合は、 SSL プロトコル、鍵の交換 (公開鍵と秘密鍵)、ディジタル・シグニチャー、暗号アルゴリズム、および認証局について精通している必要もあります。

© Copyright IBM Corp. 2002, 2003 vii

本書の構成本書は以下の章で構成されています。

v 第 1 章『概要』

WebSphere Application Server に対する許可サービスを備えている Tivoli Access

Manager コンポーネントについて概説します。

v 第 2 章『インストールについて』

Tivoli Access Manager for WebSphere のインストール方法について説明します。

v 第 3 章『構成手順』

Tivoli Access Manager for WebSphere の構成方法について説明します。

v 第 4 章『セキュリティー役割のマイグレーション』

Tivoli Access Manager for WebSphere マイグレーション・ユーティリティーを使用して、Java 2 Enterprise Edition のセキュリティー役割を Tivoli Access Manager

のユーザーやグループにマイグレーションする方法について説明します。

v 第 5 章『管理タスク』

Tivoli Access Manager for WebSphere を管理する管理タスクを実行する方法について説明します。

v 第 6 章『チュートリアル: セキュリティーを使用可能にする方法』

WebSphere Application Server アプリケーションにセキュリティーを追加する方法について説明します。また、Tivoli Access Manager にセキュリティー情報をマイグレーションする方法や、セキュリティーが正常に使用可能化されたかどうかをテストする方法も説明します。

v 第 7 章『除去に関する指示』

Tivoli Access Manager for WebSphere の除去方法について説明します。

資料Tivoli Access Manager ライブラリー、前提資料、および関連資料に目を通して、どの資料が役立ちそうであるか判別してください。

IBM Tivoli Access Manager for e-business 製品そのものに関する追加情報は、次のサイトにあります。

http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/

Tivoli Access Manager のライブラリーは、以下のカテゴリーに編成されています。

v 『リリース情報』

v ixページの『基本情報』

v ixページの『Web セキュリティー情報』

v xページの『デベロッパーの参照情報』

v xページの『技術上の補足情報』

リリース情報v IBM Tivoli Access Manager for e-business はじめにお読みください (GI88-8647-00)

viii IBM Tivoli Access Manager for e-business: IBM WebSphere Application Server 統合ガイド

http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/

Tivoli Access Manager のインストールに関する情報と入門編の情報が記載されています。

v IBM Tivoli Access Manager for e-business リリース情報 (GI88-8648-00)

ソフトウェアの制限、問題の回避、および資料の更新などの最新情報が記載されています。

基本情報v IBM Tivoli Access Manager Base インストール・ガイド (SC88-9854-00)

Tivoli Access Manager 基本ソフトウェアのインストールおよび構成方法を、Web

Portal Manager インターフェースも含めて説明しています。この資料は、「IBM

Tivoli Access Manager for e-business Web Security インストール・ガイド」のサブセットであり、他の Tivoli Access Manager 製品 (たとえば、IBM Tivoli Access

Manager for Business Integration や IBM Tivoli Access Manager for Operating

Systems など) と併用するようになっています。

v IBM Tivoli Access Manager Base 管理者ガイド (SC88-9852-00)

Tivoli Access Manager サービスを使用する場合の概念と手順について説明されています。Web Portal Manager インターフェースからタスクを実行したり、pdadmin コマンドを使用してタスクを実行したりする場合の指示が記載されています。

Web セキュリティー情報v IBM Tivoli Access Manager for e-business Web Security インストール・ガイド

(SC88-9853-00)

Web Security コンポーネントだけでなく、Tivoli Access Manager 基本ソフトウェアのインストール、構成、および除去についても説明しています。この資料は、「IBM Tivoli Access Manager Base インストール・ガイド」のスーパーセットです。

v IBM Tivoli Access Manager for e-business WebSEAL 管理者ガイド (SC88-9851-00)

WebSEAL を使用してセキュア Web ドメインを管理することに関する背景情報、管理手順、および技術上の参照情報が記載されています。

v IBM Tivoli Access Manager for e-business IBM WebSphere Application Server 統合ガイド (SC88-9860-00)

Tivoli Access Manager を IBM WebSphere® Application Server に統合するためのインストール、除去、および管理手順について説明しています。

v IBM Tivoli Access Manager for e-business Plug-in for IBM WebSphere Edge Server

統合ガイド (SC88-9859-00)

Tivoli Access Manager を IBM WebSphere Edge Server アプリケーションに統合するためのインストール、除去、および管理手順について説明しています。

v IBM Tivoli Access Manager for e-business Plug-in for Web Servers 統合ガイド(SC88-9857-00)

Web サーバーのプラグインを使用して Web ドメインを保護することに関するインストール指示、管理手順、および技術上の参照情報が記載されています。

v IBM Tivoli Access Manager for e-business BEA WebLogic Server 統合ガイド(SC88-9858-00)

まえがき ix

Tivoli Access Manager を BEA WebLogic Server に統合するためのインストール、除去、および管理手順について説明しています。

v IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager プロビジョニング・ファースト・スタート・ガイド (SC88-9856-00)

Tivoli Access Manager と Tivoli Identity Manager の統合に関連するタスクの概要を示し、プロビジョニング・ファースト・スタート・コレクションの使用およびインストール方法について説明しています。

デベロッパーの参照情報v IBM Tivoli Access Manager for e-business Authorization C API デベロッパーズ・リファレンス (SC88-9847-00)

Tivoli Access Manager 許可 C API および Tivoli Access Manager サービス・プラグイン・インターフェースを使用して、Tivoli Access Manager セキュリティーをアプリケーションに追加する方法を説明する参照資料を示しています。

v IBM Tivoli Access Manager for e-business Authorization Java Classes デベロッパーズ・リファレンス (SC88-9842-00)

許可 API の Java™ 言語インプリメンテーションを使用して、アプリケーションが Tivoli Access Manager セキュリティーを使用できるようにするための参照情報が記載されています。

v IBM Tivoli Access Manager for e-business Administration C API デベロッパーズ・リファレンス (SC88-9849-00)

管理 API を使用して、アプリケーションが Tivoli Access Manager の管理タスクを実行できるようにするための参照情報が記載されています。この資料には、管理 API の C インプリメンテーションについて説明されています。

v IBM Tivoli Access Manager for e-business Administration Java Classes デベロッパーズ・リファレンス (SC88-9848-00)

管理 API の Java 言語インプリメンテーションを使用して、アプリケーションがTivoli Access Manager の管理タスクを実行できるようにするための参照情報が記載されています。

v IBM Tivoli Access Manager for e-business Web Security デベロッパーズ・リファレンス (SC88-9850-00)

クロスドメイン認証サービス (CDAS)、クロスドメイン・マッピング・フレームワーク (CDMF)、およびパスワード・ストレングス・モジュールに関する管理情報とプログラミング情報を提供します。

技術上の補足情報v IBM Tivoli Access Manager for e-business コマンド・リファレンス

(SC88-9864-00)

Tivoli Access Manager で提供されるコマンド行ユーティリティーとスクリプトに関する情報が記載されています。

v IBM Tivoli Access Manager エラー・メッセージ・リファレンス (SC88-9845-00)

Tivoli Access Manager によって作成されるメッセージに関する説明と推奨処置が記載されています。

v IBM Tivoli Access Manager for e-business 問題判別ガイド (SC88-9844-00)

x IBM Tivoli Access Manager for e-business: IBM WebSphere Application Server 統合ガイド

Tivoli Access Manager の問題判別情報が記載されています。

v IBM Tivoli Access Manager for e-business パフォーマンス・チューニング・ガイド (SC88-9843-00)

Tivoli Access Manager と、ユーザー・レジストリーとして定義された IBM Tivoli

Directory サーバーからなる環境でのパフォーマンス・チューニングに関する情報を示しています。

関連資料Tivoli Access Manager ライブラリーに関連する資料を以下にリストします。

Tivoli Software Library は、白書、データ・シート、デモンストレーション、レッドブック、発表レターなど、各種の Tivoli 資料を提供します。Tivoli Software Library

は、http://www.ibm.com/software/tivoli/library/ の Web にあります。

Software Tivoli Glossary には、Tivoli ソフトウェアに関係する数多くの技術用語の定義が組み込まれています。 Tivoli Software Glossary は、Tivoli Software Library

Web ページ http://www.ibm.com/software/tivoli/library/ の左側の Glossary リンクから提供されます (英語のみ)。

IBM Global Security KitTivoli Access Manager は、IBM Global Security Kit (GSKit) バージョン 7.0 を使用してデータ暗号化を行います。GSKit は、お客様のプラットフォーム用の IBM

Tivoli Access Manager Base CD のほか、IBM Tivoli Access Manager Web Security

CD、IBM Tivoli Access Manager Web Administration Interfaces CD、および IBM

Tivoli Access Manager Directory Server CD に収録されています。

GSKit パッケージは、iKeyman 鍵管理ユーティリティー gsk7ikm を提供します。このユーティリティーは、鍵データベース、公開鍵と秘密鍵のペア、および証明書要求の作成に使用されます。以下の資料を、Tivoli Information Center Web サイト上の、IBM Tivoli Access Manager 製品資料と同じセクションから入手できます。

v IBM Global Security Kit Secure Sockets Layer の入門および iKeyman ユーザーズ・ガイド (SC88-9855-00)

ネットワークやシステムのセキュリティー管理者が、Tivoli Access Manager 環境で SSL 通信を使用可能にするよう計画する場合に利用できる情報が記載されています。

IBM Tivoli Directory ServerIBM Tivoli Directory Server バージョン 5.2 は、希望するオペレーティング・システムの IBM Tivoli Access Manager Directory Server CD で提供されます。

注: IBM Tivoli Directory Server は、次のような従来リリースされていたソフトウェアに代わる新規名です。

v IBM Directory Server (バージョン 4.1 およびバージョン 5.1)

v IBM SecureWay Directory Server (バージョン 3.2.2)

IBM Directory Server バージョン 4.1、IBM Directory Server バージョン 5.1、および IBM Tivoli Directory Server バージョン 5.2 は、いずれも IBM Tivoli Access

Manager バージョン 5.1 によってサポートされます。

まえがき xi

http://www.ibm.com/software/tivoli/library/

http://www.ibm.com/software/tivoli/library/

IBM Tivoli Directory Server に関する追加情報は、次のサイトにあります。

http://www.ibm.com/software/network/directory/library/

IBM DB2 Universal DatabaseIBM DB2® Universal Database™ Enterprise Server Edition バージョン 8.1 は、IBM

Tivoli Access Manager Directory Server CD で提供され、IBM Tivoli Directory

Server ソフトウェアを使用してインストールされます。IBM Tivoli Directory

Server、z/OS™、または OS/390® LDAP サーバーを Tivoli Access Manager のユーザー・レジストリーとして使用するときは、DB2 が必要です。

DB2 に関する追加情報は、次のサイトにあります。

http://www.ibm.com/software/data/db2/

IBM WebSphere Application ServerIBM WebSphere Application Server の Advanced Single Server Edition 5.0 は、希望するオペレーティング・システムの IBM Tivoli Access Manager Web Administration

Interfaces CD で提供されます。WebSphere Application Server では、Tivoli Access

Manager の管理に使用される Web Portal Manager インターフェースと、IBM Tivoli

Directory Server の管理に使用される Web Administration Tool の両方のサポートが可能です。 Tivoli Access Manager には、IBM WebSphere Application Server フィックスパック 2 も必要であり、このフィックスパックは IBM Tivoli Access Manager

WebSphere Fix Pack CD で提供されます。

IBM WebSphere Application Server に関する追加情報は、次のサイトにあります。

http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager for Business IntegrationIBM Tivoli Access Manager for Business Integration は、別個に注文可能な製品であり、IBM MQSeries® バージョン 5.2 および IBM WebSphere® MQ バージョン 5.3

のメッセージに対するセキュリティー・ソリューションを提供します。IBM Tivoli

Access Manager for Business Integration によって、WebSphere MQSeries アプリケーションは、送信側および受信側アプリケーションに関連付けられた鍵を使用してプライバシーと保全性を維持しながらデータを送信することができます。WebSEAL

および IBM Tivoli Access Manager for Operating Systems と同様に、IBM Tivoli

Access Manager for Business Integration は IBM Tivoli Access Manager のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Business Integration に関する追加情報は、次のサイトにあります。

http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/

IBM Tivoli Access Manager for Business Integration バージョン 5.1 に関連する以下の資料は、Tivoli Information Center Web サイトにあります。

v IBM Tivoli Access Manager for Business Integration Administration Guide

(SC23-4831-01)

xii IBM Tivoli Access Manager for e-business: IBM WebSphere Application Server 統合ガイド

http://www.ibm.com/software/network/directory/library/

http://www.ibm.com/software/data/db2/



v IBM Tivoli Access Manager for Business Integration Problem Determination Guide

(GC23-1328-00)

v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-01)

v IBM Tivoli Access Manager for Business Integration Read This First

(GI11-4202-00)

IBM Tivoli Access Manager for WebSphere BusinessIntegration BrokersIBM Tivoli Access Manager for WebSphere Business Integration Brokers は、IBM

Tivoli Access Manager for Business Integration の一部として提供され、WebSphere

Business Integration Message Broker バージョン 5.0 および WebSphere Business

Integration Event Broker バージョン 5.0 に対するセキュリティー・ソリューションを提供します。 IBM Tivoli Access Manager for WebSphere Business Integration

Brokers は、Tivoli Access Manager と一緒に機能して JMS パブリッシュ/サブスクライブ・アプリケーションを保護します。その際、パスワードと証明書ベースの認証、中央定義の許可、および監査サービスが提供されます。

IBM Tivoli Access Manager for WebSphere Integration Brokers に関する追加情報は、次のサイトにあります。


IBM Tivoli Access Manager for WebSphere Integration Brokers バージョン 5.1 に関連する以下の資料は、Tivoli Information Center Web サイトにあります。

v IBM Tivoli Access Manager for WebSphere Business Integration Brokers

Administration Guide (SC32-1347-00)

v IBM Tivoli Access Manager for WebSphere Business Integration Brokers リリース情報 (GI88-8638-00)

v IBM Tivoli Access Manager for Business Integration Read This First

(GI11-4202-00)

IBM Tivoli Access Manager for Operating SystemsIBM Tivoli Access Manager for Operating Systems は別個に注文可能な製品で、ネイティブ・オペレーティング・システムが提供する許可ポリシー実施層に加えて、UNIX システムで許可ポリシー実施層を実現します。IBM Tivoli Access Manager

for Operating Systems は、WebSEAL および IBM Tivoli Access Manager for

Business Integration と同様に、IBM Tivoli Access Manager のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Operating Systems に関する追加情報は、次のサイトにあります。

http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/

IBM Tivoli Access Manager for Operating Systems バージョン 5.1 に関連した以下の資料は、Tivoli Information Center Web サイトにあります。

v IBM Tivoli Access Manager for Operating Systems インストール・ガイド(SC88-9494-00)

まえがき xiii


http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/

v IBM Tivoli Access Manager for Operating Systems 管理者ガイド (SC88-9492-00)

v IBM Tivoli Access Manager for Operating Systems 問題判別ガイド (SC88-9493-00)

v IBM Tivoli Access Manager for Operating Systems リリース情報 (GI88-8613-00)

v IBM Tivoli Access Manager for Operating Systems 最初にお読みください(GI88-8611-00)

IBM Tivoli Identity ManagerIBM Tivoli Identity Manager バージョン 4.5 は、別個に注文可能な製品として提供され、ユーザー (ユーザー ID、パスワードなど) とプロビジョニング (アプリケーション、リソース、またはオペレーティング・システムに対するアクセス権を提供したり取り消したりする) を集中管理することができます。 Tivoli Identity Manager

は、Tivoli Access Manager Agent を使用して Tivoli Access Manager に統合できます。 Agent の購入について詳しくは、IBM 営業担当員にお問い合わせください。

IBM Tivoli Identity Manager に関する追加情報は、次のサイトにあります。

http://www.ibm.com/software/tivoli/products/identity-mgr/

アクセシビリティーアクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つユーザーがソフトウェア・プロダクトを快適に使用できるようにサポートします。これらの製品を使用することにより、インターフェースを耳で聴いて確認したり、ナビゲートしたりするための支援テクノロジーをご利用いただけます。また、グラフィカル・ユーザー・インターフェースのすべてのフィーチャーは、マウスを使用しなくてもキーボードから操作できるようになっています。

ソフトウェア・サポートへの連絡IBM 営業担当員にお問い合わせください。

本書の規則本書では、特殊な用語とアクション、およびオペレーティング・システムに依存するコマンドとパスについて、いくつかの表記規則を使用しています。

書体の規則本書では、以下の書体規則を使用しています。

太字周りのテキスト、キーワード、パラメーター、オプション、Java クラス名、およびオブジェクトと見分けにくい小文字コマンドまたは大文字小文字混合コマンドは、太字で示します。

イタリック変数、資料のタイトル、および強調したい特殊な語または句は、イタリックで示します。

モノスペース周りのテキスト、システム・メッセージ、ユーザーが入力しなければならな

xiv IBM Tivoli Access Manager for e-business: IBM WebSphere Application Server 統合ガイド

http://www.ibm.com/software/tivoli/products/identity-mgr/

いテキスト、および引き数またはコマンド・オプションの値と見分けにくいコード例、コマンド行、画面出力、ファイルおよびディレクトリー名は、モノスペースで示します。

オペレーティング・システムの違い本書では、環境変数の指定とディレクトリーの表記に UNIX 規約を使用しています。 Windows コマンド行を使用する場合は、環境変数の $variable を %variable%

と置き換え、ディレクトリー・パスの各スラッシュ (/) をバックスラッシュ (\) と置き換えます。Windows システムで bash シェルを使用している場合は、UNIX 規則を使用できます。

まえがき xv

xvi IBM Tivoli Access Manager for e-business: IBM WebSphere Application Server 統合ガイド

第 1 章概要

IBM Tivoli Access Manager for WebSphere Application Server (Tivoli Access

Manager for WebSphere) は、IBM WebSphere Application Server アプリケーションのためのコンテナー・ベースの許可および中央ポリシー管理機能を備えた、IBM

Tivoli Access Manager (Tivoli Access Manager) の拡張機能です。

Tivoli Access Manager for WebSphere は、Tivoli Access Manager を使用してWebSphere Application Server リソースおよび WebSphere Application Server に関連しないリソースの両方についてセキュリティー・ポリシーを容易に集中管理することができます。

Tivoli Access Manager の機能には、共通識別の管理、ユーザー・プロファイル、および許可機構が含まれます。Tivoli Access Manager には、Java™ 2 Enterprise

Edition (J2EE) に準拠したリソースおよび J2EE に準拠しないリソースの両方についてセキュリティー管理のシングル・ポイントとして使用可能な、グラフィカル・ユーザー・インターフェース・ユーティリティーの Tivoli Access Manager Web ポータル・マネージャーが備わっています。

WebSphere Application Server は、J2EE セキュリティー・クラスと API をサポートします。Tivoli Access Manager for WebSphere は、J2EE セキュリティー・クラスを使用する WebSphere アプリケーションをサポートしています。Tivoli Access

Manager for WebSphere によるこのサポートでは、アプリケーションのコーディングまたはデプロイメントの変更を必要としません。

Tivoli Access Manager for WebSphere を WebSphere コンテナーと統合することで、これらのコンテナーは、Tivoli Access Manager セキュア・ドメインが提供するセキュリティー・サービスを使用できるようになります。セキュア・ドメインは、Tivoli Access Manager for WebSphere のインストールよりも前にデプロイしなければなりません。

Tivoli Access Manager を初めて使用するユーザーは、Tivoli Access Manager セキュア・ドメインをデプロイする前に Tivoli Access Manager セキュリティー・モデルを確認してください。ここでは、概要を簡単に説明します。

Tivoli Access Manager は完全な許可およびネットワーク・セキュリティー・ポリシー管理ソリューションであり、地理的に分散したイントラネットおよびエクストラネット上に存在するリソースのエンドツーエンドの保護を提供します。

Tivoli Access Manager には、最新技術のセキュリティー・ポリシー管理が備わっています。さらに、Tivoli Access Manager は認証、許可、データ・セキュリティー、およびリソース管理の機能も備わっています。Tivoli Access Manager を標準のインターネット・ベースのアプリケーションと共に使用して、高度にセキュアで適切に管理されたイントラネットおよびエクストラネットを作成します。

Tivoli Access Manager のコアの部分では、以下が提供されます。

v 認証フレームワーク

© Copyright IBM Corp. 2002, 2003 1

Tivoli Access Managerr は、広範囲の認証メカニズムをサポートしています。しかし、WebSphere は Tivoli Access Manager for WebSphere を使用する前に独自の認証ステップを実行することに注意してください。

v 許可フレームワーク

標準の J2EE 2 許可クラスを介してアクセスする Tivoli Access Manager 許可サービスは、ネイティブの Tivoli Access Manager サーバーおよびサード・パーティーのアプリケーションに対するアクセス要求について、アクセスおよび拒否の判断を行います。

デプロイメントの判断をするために必要な情報を含む、Tivoli Access Manager の詳細については、製品資料を参照してください。以下のガイドから開始してください。

v IBM Tivoli Access Manager Base インストール・ガイド

本書は、Tivoli Access Manager セキュア・ドメインを計画、インストール、および構成する方法について説明しています。一連の簡単なインストール・スクリプトによって、完全に機能するセキュア・ドメインを素早くデプロイすることができます。これらのスクリプトは、セキュア・ドメインのデプロイメントのプロトタイピングに役立ちます。

v IBM Tivoli Access Manager Base 管理者ガイド

本書は、保護リソースを管理するための Tivoli Access Manager セキュリティー・モデルの概要を示しています。本書は、アクセス・コントロールの決定を行う Tivoli Access Manager サーバーの構成方法について説明しています。さらに、セキュリティー・ポリシーの宣言、保護オブジェクト・ネーム・スペースの定義、ユーザー・プロファイルとグループ・プロファイルの管理などの重要なタスクを実行する方法について詳細に示しています。

Tivoli Access Manager と WebSphere Application Server の統合Tivoli Access Manager for WebSphere は Tivoli Access Manager セキュリティー・モデルを、IBM WebSphere Application Server 用に構築されたアプリケーションと連動するように拡張します。セキュリティー・モデルは、以下のように使用されます。

ユーザー (プリンシパル) が保護リソースにアクセスしようとすると、WebSphere

は以下のタスクを実行します。

v プリンシパルの認証。

v アプリケーションのデプロイメント記述子にセキュリティーが指定された場合(宣言セキュリティー)、WebSphere コンテナーは、リソースへのアクセスに必要な役割を判断し、Tivoli Access Manager for WebSphere を使用して現在のプリンシパルに必要な役割のいずれかが付与されているかどうかを判別します。

v アプリケーション・デベロッパーがセキュリティー・コードをアプリケーションに直接追加した場合 (プログラマチック・セキュリティー)、WebSphere コンテナーは Tivoli Access Manager を使用して必要な役割のメンバーシップを検査します。

2 IBM Tivoli Access Manager for e-business: IBM WebSphere Application Server 統合ガイド

図 1 は、以下のイベントの順序を示しています。

1. J2EE セキュリティーの備わった WebSphere アプリケーションが実行しているとき、ユーザーが保護リソースにアクセスしようとすると、WebSphere はユーザー・レジストリーを使用してユーザーを認証します。たとえば、図 1 でWebSphere アドバンスト版 (複数サーバー・バージョン) は IBM Directory ユーザー・レジストリーに対して認証します。ユーザー・レジストリーは Tivoli

Access Manager と共用します。(WebSphere アドバンスト・シングル・サーバー版では、認証はホスト・ベースのセキュリティーに対して行われます。)

2. ユーザーが保護メソッドまたはリソースへのアクセスを要求するとき、WebSphere コンテナーは J2EE アプリケーションのデプロイメント記述子からの情報を使用して、必要な役割メンバーシップを判別します。

3. WebSphere コンテナーは組み込まれた Tivoli Access Manager モジュールを使用して、Tivoli Access Manager 許可サーバーからの許可判断 (「認可」または「拒否」) を要求します。

さらに WebSphere コンテナーは追加のコンテキスト情報が存在する場合にそれを許可サーバーに渡します。オプションのコンテキスト情報には、セル名、ホスト名、およびサーバー名が含まれることがあります。Tivoli Access Manager ポリシー・データベースにいずれかのコンテキスト情報のポリシーが指定されている場合、許可サーバーはこの情報を使用して許可判断を行います。

図 1. WebSphere Application Server と共にデプロイされる Tivoli Access Manager

第 1 章概要 3

4. 許可サーバーは共用ユーザー・レジストリー内の Tivoli Access Manager ユーザー定義を参照します。(WebSphere アドバンスト・シングル・サーバー版が使用されていなければ、ユーザー・レジストリーは WebSphere と共用します。) その後、許可サーバーは Tivoli Access Manager 保護オブジェクト・ネーム・スペース内にある、指定されたユーザーに定義された許可を参照します。保護オブジェクト・ネーム・スペースは、図 1 のポリシー・データベース内に含まれています。

5. Tivoli Access Manager 許可サーバーはアクセス判断を WebSphere コンテナーに戻します。

6. WebSphere Application Server は、保護メソッドまたはリソースに対するアクセスを認可または拒否します。

Java 2 Enterprise Edition 役割ベースのセキュリティーJava 2 Enterprise Edition (J2EE) セキュリティーはプリンシパルの概念を使用して、アクティビティーを実行するエンティティーの識別を表します。エンティティーは、人 (ユーザー) またはプロセスです。さらに、J2EE は以下に示すように役割の概念を使用します。

メソッドは役割にマップされます。サンプルの銀行用アプリケーションに基づく下の表は、役割を定義して、それらにメソッドをマップします。下の表にある項目「認可」は、役割が指定のメソッドにアクセスできることを示しています。

表 1. 役割へのメソッドのマッピング

役割

メソッド

getBalance deposit closeAccount

Teller 認可認可

Cashier 認可

Supervisor 認可

上で定義された役割は、次にプリンシパルまたはグループ、もしくはその両方にマップされます。下の表のセルにある項目「起動」は、プリンシパルまたはグループがその役割に認可されたすべてのメソッドを起動できることを示しています。

表 2. プリンシパルまたはグループのメソッド起動許可

プリンシパル/グループ

役割

Teller Cashier Supervisor

TellerGroup 起動

CashierGroup 起動

SupervisorGroup

Frank (プリンシパル。上記のどのグループのメンバーでもありません)

起動起動

上記の表で、プリンシパル Frank は getBalance および closeAccount メソッドを起動できますが、deposit メソッドは Cashier または Supervisor 役割に認可されているので起動できません。


プリンシパルおよびグループの役割へのマッピングアプリケーション実行時よりも前に、Tivoli Access Manager for WebSphere マイグレーション・ユーティリティーが実行されて、Tivoli Access Manager 保護オブジェクト・ネーム・スペースに値が入れられます。マイグレーション・ユーティリティーは役割およびメソッドに関する情報を J2EE アプリケーション・デプロイメント記述子から取得します。

アプリケーションの実行時に、ユーザーが保護リソースへのアクセスを要求するとき、以下の情報が WebSphere コンテナーに渡されます。

v Principal

ユーザーの認証済み識別。

v RoleName

役割の名前。

v AppName

アプリケーションの名前。

v CellName

ネットワーク上のホスト・システムのグループ名。

v HostName

CellName に含まれるホスト・システムの名前。

v ServerName

HostName がホストとなるサーバーの名前。

役割名は、デプロイメント記述子内にあるメソッドから役割へのマッピングから取得されます。デフォルトでは、Tivoli Access Manager のアクセス・チェックはRoleName および AppName に基づいて実行されます。アクセス検査は、CellName、HostName、および ServerName を対象に含めるように容易に拡張できます。これらの値はオプションであり、定義された場合にのみ評価されます。

Tivoli Access Manager のアクセス・コントロール・リスト (ACL) は、プリンシパルに割り当てられた J2EE アプリケーションを判別します。マイグレーション・ユーティリティーは、ACL を保護オブジェクト・ネーム・スペース内の AppName に付加します。

図 2 は、以下のイベントの順序を示しています。

1. アプリケーションの実行時よりも前に、Tivoli Access Manager for WebSphere マイグレーション・ユーティリティーは J2EE アプリケーション・デプロイメント記述子にアクセスして、役割に関する情報、および役割からプリンシパルまたは役割からグループへのマッピングに関する情報を抽出します。

2. マイグレーション・ユーティリティーは情報を Tivoli Access Manager 形式に変換して、それを Tivoli Access Manager ポリシー・サーバーに渡します。

3. ポリシー・サーバーは項目を保護オブジェクト・ネーム・スペースに追加して、アプリケーションに定義された役割を表します。役割からプリンシパルまたは役割からグループへのマッピングがデプロイメント記述子に定義されているとき、適切なプリンシパル/グループが新規オブジェクトに接続された ACL に追加されます。

第 1 章概要 5

Tivoli Access Manager セキュリティー・モデルは保護オブジェクト・ネーム・スペースに保存されている定義を使用して、ACL を接続できるリソースの階層を構築します。これらの ACL は、役割からユーザーまたはグループへのマッピングを定義します。

下記の図 3 は、役割を記述する保護オブジェクト・ネーム・スペースに ACL を適用する方法について示しています。すべての WebSphere アプリケーション用の保護オブジェクト・ネーム・スペースは、WebAppServer と呼ばれる最上位の保護オブジェクトから成ります。WebAppServer オブジェクトには、deployedResources と

図 2. 役割の Tivoli Access Manager 保護オブジェクト・スペースへのマッピング


呼ばれる子オブジェクトがあります。これら 2 つのオブジェクト名は共に、WebSphere アプリケーションに定義されたすべての J2EE 役割に対する最上位のプレフィックスとなります。

役割は階層の次のレベルで、役割のリソース名 RoleName として定義されます。このオブジェクトのすぐ下に、アプリケーションを表すリソース AppName があります。AppName 保護オブジェクトの下には、役割へのアクセスをより詳細に制御するために定義可能な複数のオプショナル・リソースがあります。それらのオプショナル・リソースは、CellName、HostName、および ServerName です。

上記の図 3 で、ACL 1 は user1 にネットワーク内の任意のロケーションにある任意のアプリケーションで、指定の RoleName へのアクセスを認可します。User2 および group1 はアクセスを拒否します。

Tivoli Access Manager セキュリティー・モデルでは、これらのアクセス設定は保護オブジェクト・スペース階層の RoleName の下にあるオブジェクトによって継承されます。この継承は、デフォルトで行われます。そのため、図 3 で、アクセス設定は AppName/CellName/HostName/ServerName を表すオブジェクトによって継承されます。

場合によっては、セキュリティー・ポリシーに基づいて、ACL 接続点の下にあるオブジェクトのアクセス設定が継承されたアクセス設定と異なっていなければならないことがあります。その場合、Tivoli Access Manager アドミニストレーターは、必要なアクセス設定を含む新規の ACL を定義します。その後アドミニストレーターは、新規の ACL を指定の制御点でオブジェクトに接続します。この新規の ACL

は、継承されたアクセス設定を指定変更します。

たとえば、セキュリティー・ポリシーは、アプリケーションが特定のセル内の特定のホスト上の特定のサーバー上で実行するときに、user1 が RoleName 許可を継承してはならないことを規定している場合があります。このポリシーを強制するために、アドミニストレーターは図 3 で ACL 2 によって表されているように、より制

図 3. ACL の保護オブジェクト・ネーム・スペース内のオブジェクトへの接続

第 1 章概要 7

約の大きい ACL を定義することがあります。この ACL は、user1、user2、およびgrp1 へのアクセスを拒否します。その後アドミニストレーターは、この ACL をアクセスを制限しなければならないサーバーを表す ServerName オブジェクトに接続します。

図 3 は、ACL 2 の ServerName への接続を表しています。ACL 2 が指定のサーバーにだけ適用されることに注意してください。複数の ServerName オブジェクトがHostName の下に定義されているとき、ACL 2 はそれが接続される ServerName オブジェクトだけに適用されます。階層のこのレベルにある他のすべての ServerName

オブジェクトは、ACL 1 で定義されて RoleName に接続されたアクセス設定を引き続き継承します。

保護オブジェクト・ネーム・スペース内で ACL を使用する方法についての詳細は、「IBM Tivoli Access Manager Base 管理者ガイド」を参照してください。

複数の WebSphere サーバー用の集中ポリシー管理Tivoli Access Manager は、セキュリティー・ポリシーの集中管理を提供します。Tivoli Access Manager は、複数の WebSphere Application Server に及ぶセキュリティー・ポリシーを管理できます。さらに、Tivoli Access Manager は同じモデルを使用して WebSphere 以外のアプリケーションのセキュリティーも管理します。

J2EE アプリケーションのデプロイメント記述子に記述された役割およびプリンシパルまたはグループ・マッピングが Tivoli Access Manager にマイグレーションされて、グループが Tivoli Access Manager に登録された後、Tivoli Access Manager 管理ツールを使用してセキュリティー定義に対するその他の変更を管理できます。Tivoli Access Manager Web Portal Manager を使用して、役割からプリンシパルまたはグループの役割へのマッピングに関連したセキュリティー定義に対する変更を管理します。WebSphere コンソールを使用して、セキュリティーに関連した他の変更を行ないます。WebSphere コンソールを介して変更された役割マッピングは、Tivoli

Access Manager セキュリティー・モデルからは見えないことに注意してください。

以下の Tivoli Access Manager ツールを使用して、セキュリティー・ポリシーを管理します。

v Tivoli Access Manager Web Portal Manager

Web Portal Manager は、Tivoli Access Manager の管理コンソールです。このコンソールは、Tivoli Access Manager 保護オブジェクト・ネーム・スペース内に定義された Tivoli Access Manager ユーザー、アクション、およびリソースを管理するためのグラフィカル・ユーザー・インターフェースを提供します。このコンソールを使用して、ACL を作成および管理することができます。さらにこのコンソールを使用して、ユーザー・レジストリー内のユーザー定義およびグループ定義を管理することもできます。

v pdadmin

pdadmin ユーティリティーは、Tivoli Access Manager セキュリティー・モデルを管理するためのコマンド行ベースのユーティリティーです。この強力なユーティリティーを使用して、ユーザー、オブジェクト、リソース、および ACL を含む Tivoli Access Manager 保護オブジェクト・ネーム・スペースのすべての局面


を管理することができます。さらに、pdadmin はユーザー・レジストリー内のユーザー項目およびグループ項目も管理できます。アドミニストレーターはこのユーティリティーをスクリプトまたはプログラム内で使用して、管理タスクを自動化することができます。

詳しくは、「IBM Tivoli Access Manager Base 管理者ガイド」を参照してください。

v Tivoli Access Manager 管理 API

Tivoli Access Manager は、pdadmin および Web Portal Manager によって達成される管理タスクへのプログラマチック・インターフェースを提供します。アプリケーション・デベロッパーは C API または Java API を使用して、アプリケーションに特定の管理タスクを実行することができます。

詳しくは、「IBM Tivoli Access Manager for e-business Administration C API デベロッパーズ・リファレンス」または「IBM Tivoli Access Manager for e-business

Administration Java Classes デベロッパーズ・リファレンス」を参照してください。

図 4. Tivoli Access Manager は、複数サーバー集中管理を提供します

第 1 章概要 9

上記の図 4 は、複数の WebSphere サーバーに及ぶ Tivoli Access Manager のセキュリティーの管理を示しています。Web Portal Manager は、マシン A 上のWebSphere Application Server と共にインストールされています。pdadmin ユーティリティーは、非 WebSphere システムのマシン B 上に示されています。

Web Portal Manager および pdadmin の両方は、マシン D 上のポリシー・サーバーを使用してセキュリティー・ポリシーを管理します。

Tivoli Access Manager 許可サーバーは、WebSphere システムとは異なるシステム上にインストールすることが可能です。図 4 で、マシン E は WebSphere Application

Server のホストとして機能します。このサーバーには、許可判断を担当するWebSphere コンテナーに統合された Tivoli Access Manager for WebSphere モジュールがあります。WebSphere コンテナーは、マシン F 上の Tivoli Access Manager

許可サーバーから許可判断を取得します。

マシン G で示されているように、許可サーバーを WebSphere Application Server と同じシステム上にインストールすることもできます。提供される Tivoli Access

Manager 機能は (マシン E およびマシン F で示されているように) サーバーが別のシステム上にある場合と同じです。許可サーバーが WebSphere Application Server

と共存していると、許可判断を行う際のパフォーマンスが最適化されます。この構成が推奨されています。

Tivoli Access Manager ポリシー・データベースがマシン D からマシン F およびマシン G の両方に複製されていることに注意してください。この複製により、パフォーマンスは向上し、フェイルオーバー能力が備わります。

図 4 は Tivoli Access Manager サーバーおよび WebSphere サーバーがマシン C 上で LDAP ユーザー・レジストリーが共用されていることも示しています。図 4

は、WebSphere アドバンスト版 (マルチサーバー) を使用していることを想定しています。WebSphere アドバンスト・シングル・サーバー版を使用しているときには、ユーザー・レジストリーは共用されていません。


第 2 章インストールについて

この章には、以下のトピックが含まれます。

v 『ソフトウェアの内容』

v 『サポートされているプラットフォーム』

v 12ページの『ディスクおよびメモリー所要量』

v 12ページの『ソフトウェア前提条件』

v 15ページの『ユーザー・レジストリーの前提条件』

v 16ページの『前のリリースからのアップグレード』

v 20ページの『ネイティブ・ユーティリティーを使用した Tivoli Access Manager

for WebSphere のインストール』

ソフトウェアの内容Tivoli Access Manager for WebSphere は、WebSphere Application Server と統合可能なコンポーネントを提供し、プリンシパルまたはグループへの役割の全マッピングの責任を負っています。

Tivoli Access Manager for WebSphere は、役割からプリンシパル/グループへのマッピングを Java 2 Enterprise Edition (J2EE) デプロイメント記述子から Tivoli Access

Manager セキュリティー・スキーマにインポートするために使用できるマイグレーション・ユーティリティーも提供します。このユーティリティーは、圧縮された、または拡張された WebSphere Enterprise Archive (EAR) ファイルからデータをマイグレーションすることができます。

Tivoli Access Manager for WebSphere 配布物には、以下のソフトウェアが添付されています。

v Tivoli Access Manager for WebSphere Java クラス

v Java クラス用の pdwascfg という構成スクリプト

v マイグレーション・ユーティリティー migrateEAR4 および migrateEAR5.

v マイグレーション・ユーティリティーおよび Java classes の使用方法を示すサンプルのチュートリアル・コード

サポートされているプラットフォームTivoli Access Manager for WebSphere は、リストされているバージョンのWebSphere Application Server 用の以下のプラットフォームでサポートされます。

v WebSphere Application Server バージョン 4.0.6

– IBM AIX 5.1 および 5.2

– Sun Solaris 8

– HP-UX 11i

– Microsoft Windows 2000 Server および Advanced Server (Service Pack 3)


– SuSE SLES8 on IA32

v WebSphere Application Server バージョン 5.0.2

– IBM AIX 5.1 および 5.2

– Sun Solaris 8 および 9

– HP-UX 11i

– Microsoft Windows 2000 Server および Advanced Server (Service Pack 3)

– Windows 2003 Standard Server および Enterprise Server

– SuSE SLES8 on IA32 および zSeries

WebSphere Application Server バージョン 5.1 のサポートWebSphere Application Server バージョン 5.1 は、Tivoli Access Manager for

WebSphere にパッケージされて提供されます。 WebSphere Application Server バージョン 5.1 を使用する場合は、Tivoli Access Manager for WebSphere のインストールは必要ありません。

WebSphere Application Server バージョン 5.1 を使用する場合は、11 ページの『第2 章インストールについて』に示されている手順を無視して、43 ページの『WebSphere Application Server バージョン 5.1 環境における Tivoli Access

Manager for WebSphere の構成』に示されている手順を使用してください。

ディスクおよびメモリー所要量Tivoli Access Manager for WebSphere には、以下のディスクおよびメモリー所要量があります。

v 64 MB RAM、128 MB を推奨。

これは WebSphere Application Server および他のすべての Tivoli Access Manager

コンポーネントが指定するメモリー所要量に加えて必要となるメモリー量です。他の Tivoli Access Manager コンポーネントが必要とするメモリー量は、ホスト・システムにどの Tivoli Access Manager コンポーネントがインストールされているかによって異なります。詳しくは、「IBM Tivoli Access Manager Base インストール・ガイド」を参照してください。

v 2 MB ディスク・スペース、4 MB 推奨。

この要件は、WebSphere Application Server および他のすべての Tivoli Access

Manager コンポーネントが必要とするディスク・スペースに加えて必要となります。

v 5 MB ディスク・スペース (ログ・ファイル用)。

ソフトウェア・コンポーネントに必要なスペースに加えて、このスペースが必要です。

ソフトウェア前提条件以下のセクションでは、Tivoli Access Manager for WebSphere と WebSphere

Application Server 環境の統合のための前提条件について説明します。

v 13ページの『WebSphere Application Server』

v 13 ページの『Tivoli Access Manager Base』


v 14ページの『Java Runtime Environment』

WebSphere Application ServerTivoli Access Manager for WebSphere をインストールするには、前もって以下のいずれかのバージョンの WebSphere Application Server をホスト・システムにインストールしておかなければなりません。

v IBM WebSphere Application Server アドバンスト版バージョン 4.0.6

または

IBM WebSphere Application Server アドバンスト版シングル・サーバー、バージョン 4.0.6

v IBM WebSphere Application Server バージョン 5.0.2

v IBM WebSphere Application Server バージョン 5.1

WebSphere Application Server アドバンスト版バージョン 4.0.6 および 5.0.2、および WebSphere Application Server バージョン 5.1 は、Tivoli Access Manager と共用するユーザー・レジストリーを使用するように構成しなければなりません。WebSphere ユーザーおよびグループは、Tivoli Access Manager にインポートされていなければなりません。

注: ユーザー・レジストリーを共用する必要性は、WebSphere Application Server アドバンスト版シングル・サーバー、バージョン 4.0.6 には適用されません。このバージョンはホスト・ベースのセキュリティーを使用します。詳細については、 59ページの『WebSphere アドバンスト版シングル・サーバー、バージョン4.0.6』を参照してください。

IBM WebSphere Application Server のインストールに関する資料は、以下の URL

から入手できます。

http://www-4.ibm.com/software/webservers/appserv/doc/v40/ae/infocenter/was/nav_pdf.html

IBM WebSphere Application Server を初めて使用する場合は、「Getting Started with

IBM WebSphere Application Server」ガイドを参照してください。このガイドは、上記の Web サイトで入手できます。

Tivoli Access Manager BaseTivoli Access Manager for WebSphere は、最低 1 つの Tivoli Access Manager コンポーネントをローカル・ホストにインストールすること、および Tivoli Access

Manager セキュア・ドメインを確立することを必要とします。通常、セキュア・ドメインは複数のシステムに分散されます。

ローカル・ホスト上に必要なコンポーネントTivoli Access Manager for WebSphere では、WebSphere Application Server のホストとなるローカル・コンピューターに Access Manager Java Runtime Environment コンポーネントがインストールされている必要があります。これは、Tivoli Access

Manager for WebSphere をサポートするための最小の Tivoli Access Manager Base

ソフトウェア前提条件です。

第 2 章インストールについて 13

Tivoli Access Manager for WebSphere は、WebSphere Application Server のホストとなるローカル・コンピューター上に追加の Tivoli Access Manager コンポーネントを必要としません。

ローカル・ホスト上のオプションのコンポーネント追加の Tivoli Access Manager コンポーネントをローカル・ホスト上に追加する必要はありませんが、 Tivoli Access Manager 許可サーバーを WebSphere Application

Server と同じホスト上にインストールすることによってパフォーマンスを最適化することができます。 Tivoli Access Manager ランタイム環境は、許可サーバーの前提条件です。許可サーバーを WebSphere ホストにインストールする場合は、Tivoli

Access Manager ランタイム環境をこのマシンにもインストールする必要があります。これらのコンポーネントはどちらも、Tivoli Access Manager Base 製品の一部として配布されています。

Tivoli Access Manager セキュア・ドメインTivoli Access Manager for WebSphere は、Tivoli Access Manager セキュア・ドメインにアクセス可能でなくてはなりません。マイグレーション・ツールは、Tivoli

Access Manager ポリシー・サーバーと交信可能でなければなりません。最高のパフォーマンスを得るために、1 つ以上の Tivoli Access Manager 許可サーバーもセキュア・ドメインにインストールすることをお勧めします。そのため、IBM

WebSphere Application Server をインストールした後、Tivoli Access Manager for

WebSphere のインストール前にセキュア・ドメインを確立しなければなりません。

セキュア・ドメインを確立するには、ポリシー・サーバーをインストールおよび構成する必要があります。通常これは、WebSphere Application Server と同じホスト上では実行しません。 WebSphere Application Server ホストまたは異なるシステムのいずれかに、許可サーバーをインストールして構成することができます。

Access Manager Java Runtime Environment も含め、Tivoli Access Manager セキュア・ドメインのインストールおよび構成についての詳細は、「IBM Tivoli Access

Manager Base インストール・ガイド」を参照してください。

Java Runtime EnvironmentTivoli Access Manager for WebSphere のホストとなるコンピューター・システムには、Java Runtime Environment バージョン 1.3.1 がインストールされている必要があります。

Java Runtime Environment は、IBM WebSphere Application Server インストールの一部としてインストールおよびアクセスされます。 Tivoli Access Manager for

WebSphere は、同じ Java Runtime Environment を使用します。

注: Tivoli Access Manager for WebSphere は、Access Manager Java Runtime

Environment も使用します。 Access Manager Java Runtime Environment は、バージョン 1.3.1 Java ランタイムを拡張します。


ユーザー・レジストリーの前提条件Tivoli Access Manager for WebSphere は、Tivoli Access Manager セキュア・ドメインの一部として機能します。セキュア・ドメインのポリシー・サーバーは、ユーザー・レジストリーを使用してユーザーおよびグループ情報を管理します。

Tivoli Access Manager for WebSphere は、Tivoli Access Manager Base がサポートするすべてのユーザー・レジストリー・タイプをサポートします。

v IBM Directory Server

v Sun ONE Directory Server

v IBM Lotus Domino Server

v Microsoft Active Directory (アプリケーション以外のバージョンも含む)

v Novell eDirectory

ユーザー・レジストリー・タイプごとのサポートされているバージョンの完全なリストは、「IBM Tivoli Access Manager Base インストール・ガイド」を参照してください。

Sun ONE Directory Server バージョン 5.1 および 5.2 は、Tivoli Access Manager

Base によってサポートされますが、WebSphere Application Server 4.0.6 または5.0.2 ではサポートされません。以下のバージョンを確認する場合は、WebSphere

Application Server のソフトウェア前提条件ページを参照してください。

WebSphere Application Server バージョン 4.0.6

http://www.ibm.com/software/webservers/appserv/ doc/v40/prereqs/ae_v406.htm

WebSphere Application Server バージョン 5.0.2

http://www.ibm.com/software/webservers/appserv/ doc/v50/prereqs/was_v502.htm

インストールごとのユーザー・レジストリーの前提条件は、 Tivoli Access Manager

for WebSphere と共に使用される WebSphere Application Server のバージョンによっても異なります。

v WebSphere Application Server アドバンスト版バージョン 4.0.6、およびWebSphere Application Server バージョン 5.0.2 および 5.1

ユーザー・レジストリーを使用するためには、 Tivoli Access Manager for

WebSphere をインストールする前に次の 2 つの前提条件を満たしておく必要があります。

– Tivoli Access Manager ポリシー・サーバーおよび WebSphere Application

Server は、同じユーザー・レジストリーを使用するように構成しなければなりません。

– WebSphere Application Server に定義されている既存のユーザーおよびグループを Tivoli Access Manager のユーザーおよびグループにするためには、それらを Tivoli Access Manager にインポートしなければなりません。ここで、インポートとは、拡張された Tivoli Access Manager 属性を既存のユーザーおよびグループ定義と共に、 Tivoli Access Manager セキュリティー・スキーマに追加することを意味します。


http://www.ibm.com/software/webservers/appserv/doc/v40/prereqs/ae_v406.htm

http://www.ibm.com/software/webservers/appserv/doc/v50/prereqs/was_v502.htm

pdadmin コマンドを使用して、ユーザーを手動で Tivoli Access Manager ユーザー・レジストリーにインポートすることができます。 IBM Directory

LDAP を使用する Tivoli Access Manager ドメインは、Directory のバルク・ロード機能を利用できます。

pdadmin コマンドを使用してユーザーを手動でインポートする方法についての詳細は、「IBM Tivoli Access Manager Base 管理者ガイド」を参照してください。

IBM Directory ユーザーのバルク・ロードについての詳細は、「IBM Tivoli

Access Manager for e-business パフォーマンス・チューニング・ガイド」を参照してください。

v WebSphere Application Server アドバンスト版シングル・サーバー、バージョン4.0.6

WebSphere アドバンスト・シングル・サーバー版は、外部ユーザー・レジストリーを使用しません。代わりにそれは、ホスト・ベースのセキュリティーを使用します。ホスト・システム上の各ユーザー・アカウントには、 Tivoli Access

Manager によって使用される同等の項目がユーザー・レジストリー内にあります。

注: 時間内にホスト・ベースのセキュリティーに対して行われた変更は、すべてTivoli Access Manager によって使用されるユーザー・レジストリーに対しても行う必要があります。

前のリリースからのアップグレードTivoli Access Manager for WebSphere は、下記の前のリリースからアップグレードできます。

v IBM Tivoli Access Manager for WebSphere Application Server、バージョン 3.9

v IBM Tivoli Access Manager for WebSphere Application Server、バージョン 4.1

アップグレード・プロセスは、前のリリースの構成解除、前のリリースの除去、および Tivoli Access Manager for WebSphere バージョン 5.1 のインストールとその構成からなっています。

Tivoli Access Manager for WebSphere をアップグレードするには、以下の手順を実行します。

1. 前のリリースを構成解除して除去します。該当するユーザー・ガイドの中の、ご使用のオペレーティング・システムでの除去に関する指示に従ってください。

v IBM Tivoli Access Manager for WebSphere Application Server ユーザーズ・ガイド、バージョン 3.9

v IBM Tivoli Access Manager for e-business WebSphere Application Server User’s

Guide, Version 4.1

2. 前提条件の Tivoli Access Manager 基本パッケージとセキュア・ドメインを、バージョン 3.9 またはバージョン 4.1 からバージョン 5.1 にアップグレードします。


Tivoli Access Manager for WebSphere とホストとして機能するコンピューターにインストールされている Tivoli Access Manager 基本パッケージを判別します。各デプロイメントには、最小の Access Manager Java Runtime Environment が組み込まれています。

Tivoli Access Manager セキュア・ドメインのトポロジーによっては、ホスト・コンピューターに以下のものが含まれている場合もあります。

v Tivoli Access Manager ランタイム環境

v Tivoli Access Manager ポリシー・サーバー

v Tivoli Access Manager 許可サーバー

ローカル・コンピューター・システムにポリシー・サーバーまたは許可サーバーが含まれていない場合は、最初に、これらのサーバーのホストとして機能するコンピューター上のセキュア・ドメインをアップグレードする必要があります。ポリシー・サーバーと許可サーバーをバージョン 5.1 にアップグレードする場合は、その後にローカル・コンピューター上の Access Manager Java Runtime

Environment パッケージをアップグレードできます。

ローカル・コンピューターにポリシー・サーバーと許可サーバーが含まれている場合は、1 度にすべての Tivoli Access Manager 基本パッケージをアップグレードできます。

Tivoli Access Manager 基本パッケージとセキュア・ドメインのアップグレードについては、「IBM Tivoli Access Manager Base インストール・ガイド」を参照してください。次のステップに進む前に、この文書に書かれている処理を完了させてください。

3. Tivoli Access Manager for WebSphere の現行バージョンをインストールします。『インストール・ウィザードを使用したインストール』または 20ページの『ネイティブ・ユーティリティーを使用した Tivoli Access Manager for WebSphere

のインストール』の手順に従います。

インストールが完了したら、ソフトウェアを構成します。

インストール・ウィザードを使用したインストールinstall_amwas インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールおよび構成することにより、Tivoli Access Manager for WebSphere

システムのセットアップを単純化します。

v Access Manager Java Runtime Environment

v Tivoli Access Manager for WebSphere Application Server

インストール・ウィザードを実行する前に、UNIX および Windows で WAS_HOME

環境変数を設定し、UNIX で PDWAS_HOME 環境変数を設定する必要があります。

WAS_HOME 環境変数を WebSphere Application Server インストール・ディレクトリーに設定するには、ディレクトリーを WebSphere_install_directory/bin に移動して次のコマンドを実行します。

UNIX

setupCmdLine.sh


Windows

setupCmdLine.bat

UNIX プラットフォームでは、PDWAS_HOME 環境変数を Tivoli Access Manager for

WebSphere のインストール・ロケーションに設定します。

PDWAS_HOME=/opt/amwasexport PDWAS_HOME

WebSphere Application Server に付随して配送された Java Runtime の java /bin ディレクトリーが、システム・パスの先頭にあることを確認します。

install_amwas ウィザードを使用して Tivoli Access Manager for WebSphere

Application Server を構成するには、以下のステップを実行します。

1. Tivoli Access Manager レジストリー・サーバー、ポリシー・サーバー、および許可サーバーがドメインに設定済みであることを確認します。

2. 必要なすべてのオペレーティング・システム・パッチがインストール済みであることを確認します。詳しくは、 12ページの『ソフトウェア前提条件』を参照してください。

3. 状況およびメッセージを英語 (デフォルト) 以外の言語で表示するには、インストール・ウィザードを実行する前に、言語サポート・パッケージをインストールする必要があります。

4. WebSphere Application Server がこのマシンにインストールされ、構成済みであることを確認します。

5. 以下の構成ステップを実行します。

v 30ページの『パート 1: WebSphere Application Server 用の Tivoli Access

Manager 管理ユーザーの作成』

v 31ページの『パート 2: WebSphere セキュリティーの使用可能化』

v 実行中の WebSphere Application Server のバージョンに応じて、 37ページの『パート 5a: WebSphere セキュリティー設定のマイグレーション —

WebSphere バージョン 4.0.6』または 39ページの『パート 5b: WebSphere セキュリティー設定のマイグレーション — WebSphere バージョン 5.0.2』

6. Windows システムでは、実行中のすべてのプログラムを終了してからインストール・ウィザードを開始します。

7. WebSphere Application Server を停止します。

8. install_amwas プログラムを実行します。このプログラムは、AIX、HP-UX、Linux、Solaris、および Windows プラットフォーム用の Tivoli

Access Manager Web Security CD の Root ディレクトリーに入っています。

注: WebSphere アプリケーション・サーバーがデフォルト・ロケーションにインストールされていない場合は、install_amwas コマンドを実行するときに、-is javahome を使用してそのロケーションを指定します。例:

install_amwas -is:javahome websphere_install_dir/AppServer/java/jre

インストール・ウィザードが開始されます。

a. 「セットアップ言語の選択 (Choose Setup Language)」ダイアログが表示されます。適切な言語を選択して、「OK」をクリックします。

b. 「ようこそ」ダイアログが表示されます。「次へ」をクリックします。


c. 「ご使用条件」ダイアログで、ライセンス条件を受け入れる場合は「受諾 (IAgree)」をクリックします。

d. Tivoli Access Manager Base コンポーネントがインストールされていない場合は、今それらをインストールするよう要求するプロンプトが出されます。「次へ」をクリックして AMJRTE インストールに進みます。 AMJRTE がインストール済みの場合は、インストール・ウィザードはステップ e に進みます。インストール済みでない場合は、AMJRTE 環境構成ウィンドウが表示されます。以下のテーブルを参照して構成値を入力します。

構成オプション説明デフォルト値

Policy server ホスト名* Policy server の完全修飾ホスト名。例:

pdmgr.tivoli.com

なし

Policy server SSL ポート* Policy server が SSL 要求を listen するポート番号。 7135

JRE ディレクトリー* WebSphere Application Server と一緒にインストールされ、配送された JRE のパス。 -is:javahome オプションを使用してインストールした場合は、表示されるパスは javahome オプションとして指定したパスです。

なし

* 必須指定のオプションを示します。

e. Tivoli Access Manager for WebSphere Application Server インストール・ディレクトリーの入力を要求するプロンプトが出されます。デフォルト値を受け入れ、「次へ」をクリックします。

f. 構成項目を入力するよう要求するプロンプトが出されます。以下のテーブルを参照して値を入力します。

表 3. install_amwas インストール・ウィザードの構成オプション。

構成オプション説明デフォルト値

リモート ACL ユーザー*

Tivoli Access Manager が許可検査を行うために使用する Access Manager

Application ID の作成に使用する名前。例: pdpermadmin

なし

sec_master password*

Tivoli Access Manager sec_master アドミニストレーター・アカウントのパスワード。

なし

Policy server ホスト名*

Policy server の完全修飾ホスト名。例:

pdmgr.tivoli.com

Policy server ポート*Policy server が要求を listen するポート番号。

7135

Authorization server ホスト名*

Tivoli Access Manager for WebSphere

によって使用される Authorization

server のホスト名。このホスト名をWebSphere ホスト名と同じにすることをお勧めします。例:

pdacld.tivoli.com

Authorization server ポート番号*Authorization server が SSL 要求をlisten するポート番号。

7136


表 3. install_amwas インストール・ウィザードの構成オプション。 (続き)

実行する構成のタイプ all、local、または remote all

この製品が WebSphere にパッケージされている場合は true に設定します。

インストール・ウィザードを使用してインストールするときは、これを常に false に設定する必要があります。

false

インストール済みの WebSphere

Application Server のバージョン*

インストール済みの WebSphere

Application Server のバージョン。選択項目: WAS5 または WAS4

WAS5


Application Server インストール・ディレクトリー


をインストールするディレクトリー。このデフォルトは、直前のインストール・ウィンドウで入力した値です。

なし

WebSphere Application Server インストール・ディレクトリー*

WebSphere Application Server がインストールされているディレクトリー。この値は、WAS_HOME 環境変数と同じ値に設定する必要があります。

なし

構成する JRTE プロパティー・ファイルへの URL

AMJRTE PdPerm.properties へのURL パス。

なし

AMJRTE 鍵ストア・ファイルの URL

内部的にポリシーおよびAuthorization server との通信に使用される AMJRTE 鍵ストアへの URL

パス。

なし

* 必須指定のオプションを示します。

注: Windows インストールの場合、Access Manager Runtime Environment に対する構成オプションの入力を要求するプロンプトが出されたら、WebSphere

Application Server と一緒に再送され、インストールされた JRE に対してJRE ディレクトリーを指定してください。例:

websphere_install_dir¥AppServer¥java¥jre

ネイティブ・ユーティリティーを使用した Tivoli Access Manager forWebSphere のインストール

このセクションでは、許可コンポーネントおよびマイグレーション・ユーティリティーの両方を含む Tivoli Access Manager for WebSphere をインストールする方法について説明します。

ご使用のオペレーティング・システムに適用される指示を完了してください。

v 21ページの『Solaris へのインストール』

v 22ページの『AIX へのインストール』

v 23ページの『HP-UX へのインストール』

v 24ページの『Linux へのインストール』

v 26ページの『Windows へのインストール』


Solaris へのインストールTivoli Access Manager for WebSphere のインストールは、ファイル抽出をパッケージ構成から分離します。 pkgadd を使用して、ソフトウェア・パッケージをSolaris にインストールします。

注: Tivoli Access Manager for WebSphere がすでにインストールおよび構成されていて、それを再インストールする必要がある場合、最初にそれを構成解除して除去しなければなりません。 103ページの『Solaris からの除去』を参照してください。

Tivoli Access Manager for WebSphere を Solaris にインストールするには、以下の指示を完了してください。

1. ユーザー root としてログインします。

2. Tivoli Access Manager for WebSphere をインストールするための前提条件を満たしていることを確認します。

ソフトウェア依存関係を検討するには、 12ページの『ソフトウェア前提条件』を参照してください。

3. Tivoli Access Manager ポリシー・サーバーと WebSphere Application Server

が、同じユーザー・レジストリーを使用するように構成されていることを確認してください。

注: このステップは、WebSphere アドバンスト・シングル・サーバー版には適用されません。

ユーザー・レジストリーの依存関係を検討するには、 15ページの『ユーザー・レジストリーの前提条件』を参照してください。

4. WebSphere Application Server のユーザーおよびグループが、ユーザー・レジストリーから Tivoli Access Manager ユーザー・レジストリー・スキーマにインポートされていることを確認します。

Tivoli Access Manager の pdadmin コマンドを使用して、手動でユーザーをインポートすることができます。たとえば、LDAP ユーザーをインポートするための構文は以下のとおりです。

pdadmin> user import UserID Distinguished_Name_of_the_user_in_LDAP

pdadmin の詳細については、「IBM Tivoli Access Manager Base 管理者ガイド」を参照してください。

IBM Directory LDAP 環境に多数のユーザーが存在する場合、LDAP バルク・インポート機能の使用を検討してください。詳しくは、「IBM Tivoli Access

Manager for e-business パフォーマンス・チューニング・ガイド」を参照してください。

5. IBM Tivoli Access Manager Web Security for Solaris CD を挿入します。

6. 以下のパッケージをインストールします (1 つずつ)。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault packages

ここで:

v -d /cdrom/cdrom0/solaris — パッケージのロケーションを指定します。


v -a /cdrom/cdrom0/solaris/pddefault — インストール管理スクリプトのロケーションを指定します。

また、パッケージは以下のとおりです。

v PDJrte — Access Manager Java Runtime Environment パッケージ。

v PDWAS — Tivoli Access Manager WebSphere Application Server パッケージ。

注: これらのパッケージは、WebSphere Application Server と同じシステムにインストールする必要があります。

7. 次に、Tivoli Access Manager for WebSphere を構成します。 29ページの『第 3

章構成手順』に進んで、指示に従ってください。

AIX へのインストールTivoli Access Manager for WebSphere のインストールは、ファイル抽出をパッケージ構成から分離します。

注: Tivoli Access Manager for WebSphere がすでにインストールおよび構成されていて、それを再インストールする必要がある場合、最初に Tivoli Access

Manager for WebSphere パッケージを構成解除して除去しなければなりません。104ページの『AIX からの除去』を参照してください。

Tivoli Access Manager for WebSphere を AIX にインストールするには、以下の指示を完了してください。

1. root としてログインします。














5. IBM Tivoli Access Manager Web Security for AIX CD を CD ドライブに挿入します。

6. 以下のパッケージをインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images packages

ここで、cd_mount_point/usr/sys/inst.images は CD をマウントするディレクトリーで、パッケージは次のとおりです。

PDJ.rte Access Manager Java Runtime Environment パッケージを指定します。

PDWAS Access Manager for WebLogic Application Server パッケージを指定します。




HP-UX へのインストールTivoli Access Manager for WebSphere のインストールは、ファイル抽出をパッケージ構成から分離します。 swinstall を使用して、ソフトウェア・パッケージをHP-UX にインストールします。

Tivoli Access Manager for WebSphere を HP-UX にインストールするには、以下の手順を実行します。















5. pfs_mountd と pfsd が実行されていなければ、それらを順にバックグラウンドで開始します。 pfs_mount コマンドを使用して CD をマウントします。たとえば、次のコマンドを入力します。

/usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom

ここで、/dev/dsk/c0t0d0 は CD デバイス、/cd-rom はマウント・ポイントです。

6. 以下のコマンドを入力して、Tivoli Access Manager for WebSphere パッケージをインストールします。

# swinstall -s /cd-rom/hp packages

ここで、パッケージは次のとおりです。

PDJ.rte Access Manager Java Runtime Environment パッケージを指定します。

PDWAS Access Manager for WebSphere Application Server パッケージを指定します。


分析段階が正常に終了したことを示すメッセージが表示されます。実行段階が開始していることを示す別のメッセージが表示されます。ファイルが CD から抽出されて、ハード・ディスク上にインストールされます。実行段階が正常に終了したことを示すメッセージが表示されます。 swinstall ユーティリティーが終了します。



Linux へのインストールTivoli Access Manager for WebSphere のインストールは、ファイル抽出をパッケージ構成から分離します。 rpm を使用して、ソフトウェア・パッケージを Linux にインストールします。

Tivoli Access Manager for WebSphere がすでにインストールおよび構成されていて、それを再インストールする必要がある場合、最初にそれを構成解除して除去しなければなりません。 105ページの『Linux からの除去』を参照してください。


注: Linux on zSeries ユーザー: まず、IBM Tivoli Access Manager for Linux on

zSeries CD から Linux rpm にアクセスします。

Tivoli Access Manager for WebSphere を Linux にインストールするには、以下の指示を完了してください。














5. IBM Tivoli Access Manager Web Security CD for xSeries または zSeries をマウントします。

6. /mnt/cdrom/series ディレクトリーに移動します。ここで、/mnt/cdrom は CD

のマウント・ポイントであり、series は xSeries、zSeries、iSeries、またはpSeries を指定します。

7. 以下のパッケージをインストールします。

rpm -ihv packages

ここで、packages は以下のいずれかを指定します。


Access Manager Java RuntimeEnvironment パッケージ

Access Manager forWebSphere Application Server

Linux on xSeries PDJrte-PD-5.1.0-0.i386.rpm PDWAS-PD-5.1.0-0.i386.rpm

Linux on zSeries PDJrte-PD-5.1.0-0.i390.rpm PDWAS-PD-5.1.0-0.i390.rpm




Windows へのインストールTivoli Access Manager for WebSphere のインストールは、ファイル抽出をパッケージ構成から分離します。 InstallShield setup.exe を使用して、 Tivoli Access

Manager for WebSphere のファイルをインストールします。

注: Tivoli Access Manager for WebSphere がすでにインストールおよび構成されていて、それを再インストールする必要がある場合、最初にそれを構成解除して除去しなければなりません。 104ページの『Windows からの除去』を参照してください。

Tivoli Access Manager for WebSphere を Windows にインストールして構成するには、以下の指示を完了してください。

1. Windows ドメインに、Windows 管理者特権を持つユーザーとしてログインします。














5. IBM Tivoli Access Manager Web Security for Windows CD を CD ドライブに挿入します。

6. Access Manager Java Runtime Environment および Access Manager for

WebSphere Application Server パッケージをインストールします。そのためには、次のいずれかのディレクトリーにある setup.exe スクリプトを実行します。

¥windows¥PolicyDirector¥Disk Images¥Disk1¥setup.exe

「セットアップ言語の選択 (Choose Setup Language)」ダイアログが表示されます。

7. インストールに使用したい言語を選択して、「OK」をクリックします。

8. 「ようこそ」ダイアログが表示されます。「次へ」をクリックして先に進みます。

9. ご使用条件を読み、その条件を受け入れるのであれば「はい」をクリックします。

10. 以下のパッケージを選択し、「次へ」をクリックします。

v Access Manager Java Runtime Environment

v Access Manager for WebSphere Application Server

11. デフォルト宛先ディレクトリーを受け入れるか、または「参照」をクリックしてローカル・システム上の他のディレクトリーへのパスを選択します。そのディレクトリーが存在しない場合は、そのディレクトリーを作成することを確認するか、または存在するディレクトリーを指定します。

12. 「終了」をクリックして、セットアップ・プログラムを終了します。




第 3 章構成手順

Tivoli Access Manager for WebSphere の構成手順は、Tivoli Access Manager for

WebSphere システムを Tivoli Access Manager セキュア・ドメイン内に初めて構成するか、または追加の Tivoli Access Manager for WebSphere システムをインストールするのかによって異なります。

それぞれの Tivoli Access Manager for WebSphere システムは、pdwascfg ユーティリティーを使用してセキュア・ドメイン内に構成します。J2EE アプリケーションのためのセキュリティー情報を、Tivoli Access Manager ポリシー・データベースにマイグレーションする必要があります。Tivoli Access Manager for WebSphere が、このためのマイグレーション・ユーティリティーを提供します。このマイグレーション作業は、セキュリティー・ポリシーを指定している EAR ファイルがある J2EE

アプリケーションが存在するシステムの場合にのみ必要です。

さらに、初めて Tivoli Access Manager for WebSphere システムを特定の Tivoli

Access Manager セキュア・ドメインに構成する場合にのみ、実行する必要のある構成ステップがいくつかあります。

以下のセクションのどちらかに進んでください。

v 『初期インストールの構成』

v 43ページの『WebSphere Application Server バージョン 5.1 環境における Tivoli

Access Manager for WebSphere の構成』

v 45ページの『追加インストールの構成』

初期インストールの構成ここでは、初めて Tivoli Access Manager for WebSphere をインストールする場合の方法を説明します。

Tivoli Access Manager for WebSphere では、構成プロセスを迅速するためのユーティリティーが用意されています。構成手順では、これらのユーティリティーの他に、Tivoli Access Manager 管理ユーティリティー pdadmin と WebSphere コンソールを使用します。Tivoli Access Manager for WebSphere を初めて特定の Tivoli

Access Manager セキュア・ドメインに構成する場合にのみ、実行する必要のあるステップが多数あります。

構成については、以下のように各セクションに分けて説明します。




v 34ページの『パート 3: Access Manager Java Runtime Environment の構成』

v 35ページの『パート 4: セキュア・ドメインの結合』

v 37ページの『パート 5a: WebSphere セキュリティー設定のマイグレーション —

WebSphere バージョン 4.0.6』


v 39ページの『パート 5b: WebSphere セキュリティー設定のマイグレーション —

WebSphere バージョン 5.0.2』

下の図は、セキュア・ドメインでの初期構成手順の要約です。

この後の各パートの指示に従って、作業を完了させてください。

パート 1: WebSphere Application Server 用の Tivoli AccessManager 管理ユーザーの作成

セキュリティーがすでに WebSphere Application Server で使用可能になっている場合は、WebSphere Application Server 管理ユーザーを Tivoli Access Manager オブジェクト・スペースにインポートする必要があります。 Tivoli Access Manager コマンド行ユーティリティー、pdadmin、または Tivoli Access Manager Web Portal

Manager のいずれかを使用して、WebSphere Application Server 用の Tivoli Access

Manager 管理ユーザーをインポートします。 Tivoli Access Manager コマンド行ユーティリティーからこれを行うには、次のようにします。

1. コマンド行で、管理ユーザー sec_master として pdadmin を始動します。

pdadmin -a sec_master -p sec_master_password

2. WebSphere Application Server 管理ユーザーをインポートします。例:

pdadmin> user import was_admin_user dn_registry_identifier

次のように入力して、WebSphere 管理ユーザーを有効にします。

pdadmin> user modify was_admin_user account-valid yes

セキュリティーがまだ WebSphere Application Server で使用可能になっていなければ、WebSphere Application Server 管理ユーザーを作成する必要があります。 Tivoli

Access Manager コマンド行ユーティリティー、pdadmin、または Tivoli Access

Manager Web Portal Manager のいずれかを使用して、WebSphere Application Server

用の Tivoli Access Manager 管理ユーザーを作成します。

pdadmin の使用法は、以下のとおりです。

図 5. Tivoli Access Manager for WebSphere の初期インストールの構成作業




2. WebSphere Application Server 用の Tivoli Access Manager 管理ユーザーを作成します。たとえば、新規ユーザー wsadmin を作成するとします。以下のコマンドを、1 行の切れ目のないコマンド行として入力してください。

pdadmin> user create wsadmin cn=wsadmin,o=organization,c=countrywsadmin wsadmin myPassword

organization および country には、LDAP ユーザー・レジストリーにとって有効な値を入力します。

次のように入力して、wsadmin アカウントを有効にします。

pdadmin> user modify wsadmin account-valid yes

パート 2: WebSphere セキュリティーの使用可能化使用している WebSphere Application Server のバージョンに応じて、以下のいずれかのセクションのステップを実行します。

v 『WebSphere Application Server バージョン 4.0.6 におけるセキュリティーの使用可能化』

v 32ページの『WebSphere Application Server バージョン 5.0.2 におけるセキュリティーの使用可能化』

WebSphere バージョン 5.1 セキュリティーを使用可能にする手順は、 43ページの『WebSphere Application Server バージョン 5.1 環境における Tivoli Access

Manager for WebSphere の構成』の一部として組み込まれています。

WebSphere Application Server バージョン 4.0.6 におけるセキュリティーの使用可能化セキュリティーを WebSphere Application Server バージョン 4.0.6 で使用可能にするには、次のようにします。

1. WebSphere Administration Server を開始します。

2. サーバーが開始したら、WebSphere Administration Client を開始します。

3. 「コンソール (Console)」→「セキュリティー・センター (Security Center)」を選択します。

4. 「一般 (General)」タブを選択します。「セキュリティーの使用可能化 (EnableSecurity)」ボックスにチェックマークを付けます。

5. 「認証」タブを選択します。

a. 「LTPA」を選択します。以下の LTPA 設定値を設定します。

v 「トークン有効期限 (Token Expiry)」に 120 を入力。

v 「ドメイン (Domain)」にユーザーのドメイン名を入力。例:

mydomain.ibm.com

b. 「LDAP」チェック・ボックスにチェックマークを付けます。 LDAP 設定を割り当てます。

第 3 章構成手順 31

表 4. LDAP 設定

LDAP 設定値の例

Security Server ID (セキュリティー・サーバー ID)

cn=wsadmin,o=ibm,c=us

Security Server Password (セキュリティー・サーバー・パスワード)

myPassword

Host (ホスト) ldapserver.mydomain.ibm.com

Directory Type (ディレクトリー・タイプ)

SecureWay

Base DN (基本 DN) o=ibm,c=us

Bind DN (バインド DN) cn=root

Bind Password (バインド・パスワード) myPassword

c. 「OK」をクリックします。

6. 「WebSphere 管理ドメイン (WebSphere Admin Domain)」→「ノード(Nodes)」→ Hostname を右クリックします。

7. 「再始動 (Restart)」を選択します。

WebSphere Application Server バージョン 5.0.2 におけるセキュリティーの使用可能化セキュリティーを WebSphere Application Server バージョン 5.0.2 で使用可能にするには、次のようにします。

1. WebSphere Administration Server を開始します。

2. サーバーが開始したら、Administrative Console を開きます。—

http://localhost:9090/admin/

3. 任意のユーザーとしてログインします。

4. LDAP を構成します。

a. 「セキュリティー (Security)」→「ユーザー・レジストリー (UserRegistries)」→「LDAP」を選択します。

b. 以下の値を構成します。

表 5. LDAP 設定

LDAP 設定値の例

Server User ID (サーバー・ユーザー ID) cn=wsadmin,o=ibm,c=us

Server User Password (サーバー・ユーザー・パスワード)

myPassword

Type (タイプ) IBM_Directory_Server

Host (ホスト) ldapserver.mydomain.ibm.com

Port (ポート) 389

Base DN (基本 DN) o=ibm,c=us

Bind DN (バインド DN) cn=root

Bind Password (バインド・パスワード) myPassword

Search Timeout (検索タイムアウト) 120

Reuse connection (再利用接続) true


表 5. LDAP 設定 (続き)

Ignore case (大文字小文字無視) true

SSL Enabled (使用可能 SSL) false

SSL Configuration (SSL 構成) cellname/DefaultSSLSettings

c. 「適用」をクリックします。

5. LTPA 認証を構成します。

a. 「認証メカニズム」→「LTPA」を選択します。

b. LTPA 鍵の暗号化および暗号化解除を行うためのパスワードを設定します。

c. LTPA 満了鍵タイムアウト値を 120 に設定します。

d. 同じウィンドウで、LTPA 鍵の暗号化および暗号化解除を行うためのパスワードを確認します。

e. 「適用」をクリックします。

f. 画面下部の「追加プロパティー (Additional Properties)」セクションから、「シングル・サインオン (SSO)」を選択します。

g. シングル・サインオンを使用可能にします。

h. シングル・サインオン DNS ドメイン名を入力します。

i. 「適用」をクリックします。

6. 次のようにして、セキュリティー設定を構成します。

a. 「セキュリティー (Security)」→「グローバル・セキュリティー (GlobalSecurity)」を選択します。

b. 以下の値を構成します。

表 6. セキュリティー設定

セキュリティー設定値の例

Enabled (使用可能) true

Enforce Java 2 Security (Java 2セキュリティーの実行)

false

Use domain qualified user IDs(ドメイン修飾ユーザー ID の使用)

true

Cache timeout (キャッシュ・タイムアウト)

600

Issue permission warning (許可警告の発行)

true

Active protocol (アクティブ・プロトコル)

CSI および SAS

Active authentication mechanism(アクティブ認証メカニズム)

LTPA

Active user registry (アクティブ・ユーザー・レジストリー)

LDAP

c. 「適用」をクリックします。

7. 「保管 (Save)」リンクをクリックします。

8. 「保管 (Save)」ボタンをクリックしてマスター構成を保管します。


9. WebSphere Application Server Administration Console をログアウトします。

10. WebSphere Application Server を再始動します。

パート 3: Access Manager Java Runtime Environment の構成

IBM WebSphere Application Server と共に配布された Java ランタイムを拡張するように Access Manager Java Runtime Environment を構成します。

注: Access Manager Java Runtime Environment は、Tivoli Access Manager for

WebSphere の前提ソフトウェアです。

Access Manager Java Runtime Environment は、Access Manager Base ランタイム構成 GUI を使用して構成することもできるし、pdjrtecfg コマンドを使用してコマンド行から構成することもできます。 Access Manager Java Runtime Environment をAccess Manager Base 構成 GUI から構成するには、次のようにします。

1. ディレクトリーを以下のロケーションに変更します。

v (UNIX) /opt/PolicyDirector/bin

v (Windows) C:¥Program Files¥Tivoli¥Policy Director¥bin

2. 以下のコマンドを入力します。

pdconfig

「Access Manager 構成」画面が表示され、Java ランタイムの構成が可能になります。

Access Manager Java Runtime Environment をコマンド行から構成するには、次のようにします。

1. 環境変数 WAS_HOME が IBM WebSphere Application Server のホーム・ディレクトリーに設定されていることを確認します。


v (UNIX) /opt/PolicyDirector/sbin

v (Windows) C:¥Program Files¥Tivoli¥Policy Director¥sbin

3. 以下のコマンドを 1 行の切れ目のない行として入力してください。

v UNIX

pdjrtecfg -action config-java_home $WAS_HOME/java/jre-host policy_server_host

v Windows

pdjrtecfg -action config-java_home %WAS_HOME%¥java¥jre-host policy_server_host

注: PATH 変数の最初に表示される java バイナリーのロケーションが、pdjrtecfg オプション -java_home pathname に指定した java バイナリーのロケーションと一致していることを確認します。


パート 4: セキュア・ドメインの結合以下のステップを完了します。


2. 以下の情報を集めます。

v Tivoli Access Manager for WebSphere アプリケーションのユーザー ID として使用するユーザー・アカウントの名前。この後のコマンド例では、pdpermadmin という ID を使用しています。選択するユーザー名がユーザー・レジストリーに存在していてはなりません。

v sec_master アカウントのパスワード。

v ポリシー・サーバーのホストとなるコンピューターの完全修飾ドメイン名。(たとえば、pdmgrserver.mysubnet.ibm.com)

v 許可サーバーのホストとなるコンピューターの完全修飾ドメイン名。 (たとえば、pdacldserver.mysubnet.ibm.com)

v WebSphere インストールのホーム・ディレクトリー。

3. WAS_HOME 環境変数を WebSphere Application Server インストール・ディレクトリーに設定するには、ディレクトリーを WebSphere_install_directory/bin に移動して次のコマンドを実行します。

UNIX

setupCmdLine.sh

Windows

setupCmdLine.bat

4. UNIX プラットフォームでは、PDWAS_HOME 環境変数を Tivoli Access Manager

for WebSphere のインストール・ディレクトリーに設定します。 Windows プラットフォームでは、PDWAS_HOME がすでに環境に存在しています。

UNIX



v (UNIX) /opt/amwas/sbin

v (Windows) C:¥Program Files¥Tivoli¥amwas¥sbin

6. pdwascfg ユーティリティーを実行します。直前のステップで集めた情報を使用して、pdwascfg のコマンド行オプションを指定します。

注: 以下のコマンド例では、pdpermadmin という新規の Tivoli Access Manager

ユーザー・アカウントを作成していることを想定しています。例:

-remote_acl_user pdpermadmin

前に組み立てたパラメーターをもとに、使用している WebSphere Application

Server のバージョンに応じて、-action configWAS4 または configWAS5 パラメーターのいずれかを使用して、次のコマンドを 1 行の切れ目のないコマンド行として入力します。


pdwascfg -action configWASversion_number-remote_acl_user pdpermadmin-sec_master_pwd myPassWord-pdmgrd_host fully_qualified_DN_of_the_policy_server_host-pdacld_host fully_qualified_DN_of_the_authorization_server_host-was_home c:¥WebSphere¥AppServer

注: 上のコマンドの -was_home オプション値は、例示用としてのみ示されています。この値は、実行している WebSphere Application Server のバージョンと使用しているプラットフォームによって変わります。たとえば、この値は次のとおりです。

WindowsWebSphere Application Server バージョン 4.0.6:

c:¥WebSphere¥AppServer

WebSphere Application Server バージョン 5.0.2:

"c:¥Program Files¥WebSphere¥AppServer"

Solaris、Linux、HP-UX/opt/WebSphere/AppServer

AIX /usr/WebSphere/AppServer

pdwascfg ユーティリティーは、Tivoli Access Manager for WebSphere を許可ベンダーとして使用するように WebSphere Application Server を構成します。

注:

1. pdwascfg ユーティリティーは、sec_master として作成された管理ユーザーを持つドメインしかサポートしません。

2. pdwascfg ユーティリティーは、AMWASConfig.log というログ・ファイルを、このユーティリティーが実行されるディレクトリーに作成します。

7. pdwascfg コマンドによって PdPerm プロパティー・ファイルが正常に作成されたことを確認してください。

v Solaris、Linux、HP-UX

/opt/WebSphere/AppServer/java/jre/PdPerm.properties

v AIX

/usr/WebSphere/AppServer/java/jre/PdPerm.properties

v Windows

– WebSphere Application Server バージョン 4.0.6

C:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties


C:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties

注: 上記のパス名は、WebSphere Application Server のデフォルトのインストール・ディレクトリーを想定しています。デフォルト・ロケーション以外の場所にインストールした場合は、それに応じてパス名を調整してください。


パート 5a: WebSphere セキュリティー設定のマイグレーション— WebSphere バージョン 4.0.6

WebSphere 5.0.2 を使用する場合は、このステップをスキップし、 39ページの『パート 5b: WebSphere セキュリティー設定のマイグレーション — WebSphere バージョン 5.0.2』に進みます。

このステップでは、アプリケーション・セキュリティー・ポリシーを、WebSphere

admin.ear デプロイメント記述子ファイルから Tivoli Access Manager ポリシー・データベースにマイグレーションします。マイグレーション・ユーティリティーは、WebSphere リソースを表すオブジェクトを Tivoli Access Manager オブジェクト・スペースに作成します。このセクションを完了しないと、WebSphere を開始することはできません。

以下のステップを完了します。

1. WebSphere が稼働している場合は、それを停止します。

2. WAS_HOME 環境変数が WebSphere Application Server インストールのロケーションに設定されていることを確認します。次の例はデフォルト・ロケーションを示しています。

v Solaris、Linux HP-UX

WAS_HOME=/opt/WebSphere/AppServer

v AIX

WAS_HOME=/usr/WebSphere/AppServer

v Windows

WAS_HOME=C:¥WebSphere¥AppServer

3. 次の情報を集めます。この情報は、マイグレーション・ユーティリティーへの入力パラメーターとして指定する必要があります。

v マイグレーションする EAR ファイルの名前。マイグレーション・ユーティリティーのこの初期の使用では、管理 EAR ファイルをマイグレーションする必要があります。

– Solaris、Linux、HP-UX

/opt/WebSphere/AppServer/config/admin.ear

– AIX

/usr/WebSphere/AppServer/config/admin.ear

– Windows

C:¥WebSphere¥AppServer¥config¥admin.ear

v PDPerm.properties ファイルへの絶対パス。このファイルは、WebSphere

Application Server インストール・ディレクトリーの下のディレクトリーにあります。以下に、各オペレーティング・システムでのデフォルト・ロケーションを示します。

注: ファイル・ロケーションは Uniform Resource ID (URI) として表す必要があります。


file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties


– AIX

file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties

– Windows

file:/c:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties

v Tivoli Access Manager アドミニストレーション・アカウントの名前。これはsec_master でなければなりません。


v WebSphere 管理ユーザー・アカウントの名前。この名前は、上のステップで作成/インポートしたアカウントと一致しなければなりません。例:

wsadmin

v LDAP 識別名 (DN) の接尾部。この DN の下に、Tivoli Access Manager ポリシー・サーバーと WebSphere Application Server の両方がユーザー情報を保管します。この DN の接尾部は、wsadmin ユーザーを作成した際に使用したDN 接尾部と一致していなければなりません。

30ページの『パート 1: WebSphere Application Server 用の Tivoli Access

Manager 管理ユーザーの作成』で示した例では、以下の DN を使用してwsadmin を作成しました。


この場合、DN 接尾部は次のとおりです。 o=ibm,c=us

この値は、migrateEAR4 ユーティリティーの -d オプションの引き数として指定する必要があります。

注: ご使用のシステムにおける wsadmin のための DN を表示するには、pdadmin を使用してください。

pdadmin> user show wsadmin

4. ディレクトリーをマイグレーション・ユーティリティーのロケーションに変更します。

v (UNIX) /opt/amwas/bin

v (Windows) C:¥Program Files¥Tivoli¥amwas¥bin

5. マイグレーション・ユーティリティーを実行して、admin.EAR に含まれるデータをマイグレーションします。

前のステップで集めたパラメーターを使用して、コマンド・プロンプトに以下のテキストを 1 行の切れ目のないコマンド行として入力します。

UNIX

migrateEAR4 -j /opt/WebSphere/AppServer/config/admin.ear-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties

AIX 上の PdPerm.properties ファイルのデフォルト・ロケーションは、次のとおりです。


Windows


migrateEAR4 -j c:¥WebSphere¥AppServer¥config¥admin.ear-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"-c file:/c:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties

状況メッセージは、マイグレーションが完了したときに表示されます。ユーティリティーの出力は、ユーティリティーが実行されたディレクトリーに作成されたpdwas_migrate.log ファイルにログ記録されます。ログ・ファイルを調べて、アプリケーションに関するすべてのポリシーがマイグレーションされたことを確認します。ログ・ファイルにエラーが表示されている場合は、最後に実行したトランザクションを調べ、エラーの原因を訂正し、マイグレーション・ツールを再実行します。

マイグレーションが正常に行われなかった場合は、正しい Uniform Resource ID

(URI) を -c オプションに指定しており、また正しいファイル名を -j オプションに指定していることを確認してください。

マイグレーション・ユーティリティーは、admin.ear へのアクセスを必要とします。デフォルトでは、アプリケーション・アセンブリー・ツールには、文書型定義 (DTD) 規格のロケーションに対する URL 参照が含まれています。つまり、デプロイメント記述子の DTD を検索するには、インターネットに接続する必要があります。ホスト・コンピューターがインターネットに接続していない場合は、 DTD のローカル・コピーを使用します。この場合、デプロイメント記述子を更新して、ローカル DTD を指すようにします。

重要: Tivoli Access Manager for WebSphere を使用する前に、マイグレーション・ユーティリティーを少なくとももう 1 回実行する必要があります。保証するそれぞれのアプリケーションごとに、EAR ファイルに対してマイグレーション・ユーティリティーを実行する必要があります。これを実行するための手順は、 49ページの『第 4 章セキュリティー役割のマイグレーション』に示されています。

管理 ACL への pdwas-admin グループの追加pdwas-admin グループを管理 ACL に追加するには、以下のステップを完了します。

1. pdadmin を使用して、pdwas-admin グループを適切な ACL に追加してください。以下のテキストを 1 行の切れ目のないコマンド行として入力してください。

pdadmin> acl modify _WebAppServer_deployedResources_AdminRole_admin_ACLset group pdwas-admin T[WebAppServer]i

2. セキュア・ドメインに複数の許可サーバーが含まれている場合は、pdadmin を使用して server replicate コマンドを実行し、すべての許可サーバーが ACL

変更によって即時に更新されるようにします。

パート 5b: WebSphere セキュリティー設定のマイグレーション— WebSphere バージョン 5.0.2

WebSphere Application Server 4.0.6 を使用する場合は、このステップをスキップします。


このステップでは、アプリケーション・セキュリティー・ポリシーを、WebSphere

adminconsole.ear デプロイメント記述子ファイルから Tivoli Access Manager ポリシー・データベースにマイグレーションします。マイグレーション・ユーティリティーは、WebSphere リソースを表すオブジェクトを Tivoli Access Manager オブジェクト・スペースに作成します。

注: Tivoli Access Manager for WebSphere は、WebSphere Application Server 管理タスクのセキュリティーをサポートしません。

以下のステップを完了します。

1. WebSphere が稼働している場合は、それを停止します。

2. WAS_HOME 環境変数が WebSphere Application Server インストールのロケーションに設定されていることを確認します。次の例はデフォルト・ロケーションを示しています。


WAS_HOME=/opt/WebSphere/AppServer

v AIX

WAS_HOME=/usr/WebSphere/AppServer

v Windows

WAS_HOME=C:¥Program Files¥WebSphere¥AppServer


v マイグレーションする EAR ファイルの名前。マイグレーション・ユーティリティーのこの初期の使用では、管理 EAR、admin-authz.xml、およびnaming-authz.xml をマイグレーションする必要があります。


/opt/WebSphere/AppServer/installedApps/cellname/adminconsole.ear/opt/WebSphere/AppServer/config/cells/cellname/admin-authz.xml/opt/WebSphere/AppServer/config/cells/cellname/naming-authz.xml

– AIX

/usr/WebSphere/AppServer/installedApps/cellname/adminconsole.ear/usr/WebSphere/AppServer/config/cells/cellname/admin-authz.xml/usr/WebSphere/AppServer/config/cells/cellname/naming-authz.xml

– Windows

C:¥Program Files¥WebSphere¥AppServer¥installedApps¥cellname¥adminconsole.earC:¥Program Files¥WebSphere¥AppServer¥config¥cells¥cellname¥admin-authz.xmlC:¥Program Files¥WebSphere¥AppServer¥config¥cells¥cellname¥naming-authz.xml



注: ファイル・ロケーションは Uniform Resource ID (URI) として表す必要があります。




– AIX


– Windows

file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"



v WebSphere 管理ユーザー・アカウントの名前。これは上のステップで作成したアカウントと一致しなければなりません。例:

wsadmin












5. マイグレーション・ユーティリティーを実行して、adminconsole.EAR、admin-authz.xml、および naming-authz.xml に含まれているデータをマイグレーションします。

前のステップで組み立てたパラメーターを使用して、次のテキストをコマンド行に 1 行の切れ目のないコマンド行として入力します。

Solaris、Linux、HP-UX

migrateEAR5-j /opt/WebSphere/AppServer/installedApps/cellname/adminconsole.ear-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties-e adminconsole

migrateEAR5-j /opt/WebSphere/AppServer/config/cells/cellname/admin-authz.xml-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties


migrateEAR5-j /opt/WebSphere/AppServer/config/cells/cellname/naming-authz.xml-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties

AIX

migrateEAR5-j /usr/WebSphere/AppServer/installedApps/cellname/adminconsole.ear-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"-c file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties-e adminconsole

migrateEAR5-j /usr/WebSphere/AppServer/config/cells/cellname/admin-authz.xml-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"-c file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties

migrateEAR5-j /opt/WebSphere/AppServer/config/cells/cellname/naming-authz.xml-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"-c file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties

Windows

migrateEAR5-j "c:¥Program Files¥WebSphere¥AppServer¥installedApps¥cellname¥adminconsole.ear"-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"-c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"-e adminconsole

migrateEAR5-j "c:¥Program Files¥WebSphere¥AppServer¥config¥cells¥cellname¥admin-authz.xml"-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"-c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"

migrateEAR5-j "c:¥Program Files¥WebSphere¥AppServer¥config¥cells¥cellname¥naming-authz.xml"-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"-c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"

状況メッセージは、マイグレーションが完了したときに表示されます。ユーティリティーの出力は、ユーティリティーが実行されたディレクトリーに作成されたpdwas_migrate.log ファイルにログ記録されます。ログ・ファイルを調べて、アプリケーションに関するすべてのポリシーがマイグレーションされたことを確認します。ログ・ファイルにエラーが表示されている場合は、最後に実行したトランザクションを調べ、エラーの原因を訂正し、マイグレーション・ツールを再実行します。



マイグレーション・ユーティリティーは、adminconsole.ear へのアクセスを必要とします。デフォルトでは、アプリケーション・アセンブリー・ツールには、文書型定義 (DTD) 規格のロケーションに対する URL 参照が含まれています。つまり、デプロイメント記述子の DTD を検索するには、インターネットに接続する必要があります。ホスト・コンピューターがインターネットに接続していな


い場合は、 DTD のローカル・コピーを使用します。この場合、デプロイメント記述子を更新して、ローカル DTD を指すようにします。

重要: Tivoli Access Manager for WebSphere を使用する前に、マイグレーション・ユーティリティーを少なくとももう 1 回実行する必要があります。保証するそれぞれのアプリケーションごとに、EAR ファイルに対してマイグレーション・ユーティリティーを実行する必要があります。これを実行するための手順は、 49ページの『第 4 章セキュリティー役割のマイグレーション』に示されています。

WebSphere Application Server バージョン 5.1 環境における TivoliAccess Manager for WebSphere の構成

Access Manager Java Runtime Environment と Tivoli Access Manager for WebSphere

が WebSphere Application Server バージョン 5.1 インストールで構成済みであれば、それらはいずれもインストールする必要はありません。 Access Manager Java

Runtime Environment と Tivoli Access Manager for WebSphere は、両方ともWebSphere Application Server 5.1 パッケージの一部として配布されます。ただし、構成ステップは他のバージョンの WebSphere と異なります。 WebSphere

Application Server バージョン 5.1 環境で Tivoli Access Manager for WebSphere を構成するには、以下のセクションに示されている手順を実行します。


WebSphere 管理ユーザーがまだ作成されていない場合は、ポリシー・マイグレーションの前にそれを Tivoli Access Manager に作成する必要があります。

pdadmin -a sec_master -p sec_master_passwordpdadmin> user create was_admin_uid was_admin_user_dnwas_admin_uid was_admin_uid was_admin_pwdpdadmin> user modify was_admin_uid account-valid true

パート 2: WebSphere Application Server バージョン 5.1 におけるセキュリティーの使用可能化

Tivoli Access Manager for WebSphere Application Server を使用してセキュリティーを使用可能にするステップは、ネイティブ WebSphere Application Server セキュリティーを使用可能にするステップと同じです。忘れてはならない重要なポイントは、次のとおりです。

v Tivoli Access Manager と WebSphere は、同じユーザー・レジストリーを共用します。したがって、WebSphere は、Tivoli Access Manager と同じユーザー・レジストリーを使用するように構成する必要があります。

v LDAP ディレクトリーを WebSphere Administration Console に構成する場合は、「アカウント・ポリシーでの Tivoli Access Manager の使用 (Use Tivoli Access

Manager for Account Policies)」チェック・ボックスにチェック・マークが付けられていることを確認する必要があります。


パート 3: Access Manager Java Runtime Environment の構成

必要な構成ステップについては、WebSphere Application Server バージョン 5.1

InfoCenter 資料の『Configuring WebSphere Application Server to use Tivoli Access

Manager for authentication』セクションを参照してください。

パート 4: Tivoli Access Manager for WebSphere の構成Tivoli Access Manager for WebSphere が WebSphere バージョン 5.1 と一緒に稼働するように構成するには、以下のステップを実行します。

1. WAS_HOME¥bin の setupcmdline スクリプトを実行して環境をセットアップします。

2. PDWAS_HOME 環境変数を WAS_HOME 環境変数の値に設定します。Windows では、コマンドは次のようになります。

set PDWAS_HOME=%WAS_HOME%

3. %WAS_HOME%¥bin ディレクトリーの pdwascfg スクリプトを実行して構成を行います。以下の例は pdwascfg.bat を使用しています。UNIX 環境の場合は、これを pdwascfg.sh に置き換えます。

%WAS_HOME%¥bin¥pdwascfg.bat -action configWAS5-remote_acl_user remote_ACL_user_name-sec_master_pwd sec_master_pwd -pdmgrd_host TAM_Policy_Server_host-pdacld_host TAM_Authorization_Server_host -was_home WAS_home-amwas_home WAS_home -embedded true -action_type local -verbose true

remote_ACL_user_name は、この構成によって作成されたユーザーに対応しています。このユーザーは、Tivoli Access Manager サーバーとのすべての通信で使用されます。これは特殊なユーザーであり、他のどの目的にも使用してはなりません。

パート 5: 管理ポリシーのマイグレーションWebSphere Application Server バージョン 5.1 では、追加のコンソール・ポリシー定義ファイルを Tivoli Access Manager にマイグレーションする必要があります。マイグレーション・ユーティリティーは %WAS_HOME%¥bin ディレクトリーに入っています。

必要なすべてのポリシーをマイグレーションするには (Windows の場合)、以下のコマンドを実行する必要があります (切れ目のない 1 行として)。

UNIX

注: WebSphere on AIX のデフォルト・ロケーションは/usr/WebSphere/AppServer です。

migrateEAR5-j /opt/WebSphere/AppServer/installedApps/cellname/adminconsole.ear-a sec_master -p sec_master_pwd-w was_admin_uid -e "adminconsole"-d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties-e adminconsole

migrateEAR5


-j /opt/WebSphere/AppServer/config/cells/cellname/admin-authz.xml-a sec_master -p sec_master_pwd-w was_admin_uid -d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties

migrateEAR5-j /opt/WebSphere/AppServer/config/cells/cellname/naming-authz.xml-a sec_master -p sec_master_pwd-w was_admin_uid -d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties

Windows

migrateEAR5-j "c:¥Program Files¥WebSphere¥AppServer¥installedApps¥cellname¥adminconsole.ear-a sec_master -p sec_master_pwd-w was_admin_uid-d "o=ibm,c=us" -c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"-e adminconsole

migrateEAR5-j "c:¥Program Files¥WebSphere¥AppServer¥config¥cells¥cellname¥admin-authz.xml"-a sec_master -p sec_master_pwd-w was_admin_uid -d "o=ibm,c=us"-c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"

migrateEAR5-j "c:¥Program Files¥WebSphere¥AppServer¥config¥cells¥cellname¥naming-authz.xml"-a sec_master -p sec_master_pwd-w was_admin_uid -d "o=ibm,c=us"-c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"

adminconsole.ear ファイルのマイグレーションには -e オプションが必要です。それは、WebSphere Application Server がデプロイメント中にこのアプリケーションを名前変更するからです。

追加インストールの構成ここでは、Tivoli Access Manager for WebSphere の追加インストールを Tivoli

Access Manager セキュア・ドメインに構成する方法について説明します。

このセクションでの説明は、以下を想定しています。

v 29ページの『初期インストールの構成』で指示されている処理を正常に完了した。

上記の手順を完了することによって、セキュリティー情報が admin.ear ファイルから Tivoli Access Manager にマイグレーションされ (WebSphere Application

Server バージョン 4.0.6 を使用している場合)、または adminconsole.ear ファイルから Tivoli Access Manager にマイグレーションされます (WebSphere

Application Server バージョン 5.0.2 を使用している場合)。

v Tivoli Access Manager for WebSphere を、以前に構成した初期ホスト・システムとは別の (追加の) ホスト・システム上にインストールした。これで、追加のホスト・システム上に Tivoli Access Manager for WebSphere を構成する準備が完了しました。


注: 事前に 29ページの『初期インストールの構成』のセクションを完了していなければ、このセクションの指示を使用しないでください。

これらの指示は、セキュリティー情報を追加の EAR ファイルからマイグレーションする方法については説明していません。追加の EAR ファイルのマイグレーションは、このセクションの構成手順とは別に完了することができます。 EAR ファイルのマイグレーションについての詳細は、 49ページの『第 4 章セキュリティー役割のマイグレーション』を参照してください。

以下の図に、構成手順が要約されています。

以下のセクションに、構成手順が記載されています。

v 『パート A-1: Access Manager Java Runtime Environment の構成』

v 47ページの『パート A-2: セキュア・ドメインへの結合』

パート A-1: Access Manager Java Runtime Environment の構成

IBM WebSphere Application Server と共に配布された Java ランタイムにアクセスするように Access Manager Java Runtime Environment コンポーネントを構成します。

注: Access Manager Java Runtime Environment は、Tivoli Access Manager for

WebSphere の前提ソフトウェアです。

Access Manager Java Runtime Environment は、Tivoli Access Manager Base 構成GUI を使用して構成することもできるし、pdjrtecfg コマンドを使用してコマンド行から構成することもできます。 Access Manager Java Runtime Environment をAccess Manager Base 構成 GUI から構成するには、次のようにします。


v (UNIX) /opt/PolicyDirector/bin

v (Windows) C:¥Program Files¥Tivoli¥Policy Director¥bin


pdconfig

「Access Manager 構成」画面が表示され、Java ランタイムの構成が可能になります。

図 6. 追加の Tivoli Access Manager for WebSphere システムの構成作業


Access Manager Java Runtime Environment コンポーネントをコマンド行から構成するには、次のようにします。

1. 環境変数 WAS_HOME が IBM WebSphere Application Server のホーム・ディレクトリーに設定されていることを確認します。


v (UNIX) /opt/PolicyDirector/sbin

v (Windows) C:¥Program Files¥Tivoli¥Policy Director¥sbin


v (UNIX) pdjrtecfg -action config -java_home $WAS_HOME/java/jre

v (Windows) pdjrtecfg -action config -java_home %WAS_HOME%¥java¥jre

注: PATH 変数の最初に表示される java バイナリーのロケーションが、pdjrtecfg オプション -java_home pathname に指定した java バイナリーのロケーションと一致していることを確認します。

パート A-2: セキュア・ドメインへの結合以下のステップを完了します。


2. 以下の情報を集めます。

v Tivoli Access Manager for WebSphere アプリケーションのユーザー ID として使用するユーザー・アカウントの名前。この後のコマンド例では、pdperm2admin という ID を使用しています。これには、任意の名前を選択できます。

注: Tivoli Access Manager セキュア・ドメイン内の既存の ID を使用することもできますし、新規の ID を作成することもできます。ほとんどの場合は、現在構成中のホスト・システム上の Tivoli Access Manager for

WebSphere コンポーネントを表す、新規の固有 ID を作成することになるでしょう。


v ポリシー・サーバーのホストとなるコンピューターの完全修飾ドメイン名。(たとえば、pdmgrserver.mysubnet.ibm.com)

v 許可サーバーのホストとなるコンピューターの完全修飾ドメイン名。 (たとえば、pdacldserver.mysubnet.ibm.com)


UNIX

setupCmdLine.sh

Windows

setupCmdLine.bat


for WebSphere のインストール・ディレクトリーに設定します。 Windows プラットフォームでは、PDWAS_HOME がすでに環境に存在しています。


UNIX



v UNIX: /opt/amwas/bin

v Windows: C:¥Program Files¥Tivoli¥amwas¥sbin

6. 前に組み立てた例示パラメーターをもとに、使用している WebSphere

Application Server のバージョンに応じて、-action configWAS4 またはconfigWAS5 パラメーターのいずれかを使用して、次のコマンドを 1 行の切れ目のないコマンド行として入力します。

pdwascfg -action configWASversion_number-remote_acl_user pdperm2admin-sec_master_pwd myPassWord-pdmgrd_host pdmgrserver.mysubnet.ibm.com-pdacld_host pdacldserver.mysubnet.ibm.com-was_home c:¥WebSphere¥AppServer[-amwas_home location_of_the_amwas_installation]

7. pdwascfg コマンドによって PdPerm プロパティー・ファイルが正常に作成されたことを確認してください。


/opt/WebSphere/AppServer/java/jre/PdPerm.properties

v AIX


v Windows


C:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties


C:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties

注: 上記のパス名は、WebSphere Application Server のデフォルトのインストール・ディレクトリーを想定しています。デフォルト・ロケーション以外の場所にインストールした場合は、それに応じてパス名を調整してください。


第 4 章セキュリティー役割のマイグレーション

Tivoli Access Manager for WebSphere には、マイグレーション・ユーティリティーが備えられており、セキュリティー役割定義を Tivoli Access Manager 保護オブジェクトに自動的に変換できます。役割定義は WebSphere アプリケーションのデプロイメント記述子から読み取られ、Tivoli Access Manager 保護オブジェクト・スペースにマイグレーションされます。この章には、このユーティリティーの使用法が説明されています。

以下はトピックの索引です。

v 『セキュリティー役割をマイグレーションする方法』

v 53ページの『マイグレーション・ユーティリティーに関する制限』

v 54ページの『トラブルシューティングのヒント』

セキュリティー役割をマイグレーションする方法以下の手順は、 29ページの『第 3 章構成手順』に示されている Tivoli Access

Manager for WebSphere の初期構成を完了した後で使用します。

J2EE アプリケーションのセキュリティー役割を Tivoli Access Manager for

WebSphere にマイグレーションするには、以下のステップを完了してください。

1. UNIX システムに root としてログインしているか、または Windows システムに管理特権を持つユーザーとしてログインしているかどうかを検証します。

2. マイグレーション・ユーティリティーから、保護されているアプリケーションのデプロイメント記述子にアクセスする必要があります。デフォルトでは、アプリケーション・アセンブリー・ツールには、文書型定義 (DTD) 規格のロケーションに対する URL 参照が含まれています。つまり、デプロイメント記述子の DTD を検索するには、インターネットに接続する必要があります。ホスト・コンピューターがインターネットに接続していない場合は、DTD のローカル・コピーを使用します。この場合、デプロイメント記述子を更新して、ローカル DTD を指すようにします。


UNIX

setupCmdLine.sh

Windows

setupCmdLine.bat


for WebSphere のインストール・ディレクトリーに設定します。Windows プラットフォームでは、PDWAS_HOME がすでに環境に存在しています。

UNIX




v マイグレーションする EAR ファイルの名前。例:


- WebSphere Application Server バージョン 4.0.6:

/opt/WebSphere/AppServer/installedApps/secureApp.ear


/opt/WebSphere/AppServer/installedApps/cellname/secureApp.ear

– AIX


/usr/WebSphere/AppServer/installedApps/secureApp.ear


/usr/WebSphere/AppServer/installedApps/cellname/secureApp.ear

– Windows


c:¥WebSphere¥AppServer¥installedApps¥secureApp.ear


c:¥Program FilesWebSphere¥AppServer¥installedApps¥cellname¥secureApp.ear

v PDPerm.properties ファイルのロケーション。このファイルは、WebSphere


注: ファイルのロケーションは、Uniform Resource Indicator (URI) で表します。



– AIX


– Windows




file:/c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties



v WebSphere 管理ユーザー・アカウントの名前。Tivoli Access Manager for

WebSphere の初期構成時に作成したアカウントと一致している必要があります。例:


wsadmin

v LDAP 識別名 (DN) の接尾部。この DN の下に、Tivoli Access Manager ポリシー・サーバーと WebSphere Application Server の両方がユーザー情報を保管します。この DN の接尾部は、wsadmin ユーザーを作成した際に使用した DN 接尾部と一致していなければなりません。





この値は、migrateEAR ユーティリティーの -d オプションの引き数として指定する必要があります。



v アプリケーション表示名。アプリケーション名は、アプリケーションのデプロイメント時に変更されたり、その後 WebSphere コンソールを使用して変更されたりする可能性があります。この変更内容は EAR ファイルに反映されません。EAR ファイルに変更を加えて新しい名前を反映させないと、誤った保護オブジェクトが作成されることになります。アプリケーションがWebSphere Application Server コンソールに表示されているときに、-e オプションを使用してそのアプリケーションの名前を指定します。

6. アプリケーションの EAR ファイルが最新であることを確認します。EAR ファイルに、予期されているユーザーから役割へのマッピングがすべて含まれていることを確認します。すべての役割マッピングがあるかどうかが不明な場合は、アプリケーションをエクスポートします。

EAR ファイルのエクスポートに関する指示は、IBM WebSphere Application

Server の資料を参照してください。




8. マイグレーション・ユーティリティーを実行して、アプリケーション・データをマイグレーションします。


第 4 章セキュリティー役割のマイグレーション 51

WebSphere Application Server バージョン 4.0.6 の場合:

UNIX

migrateEAR4-j /opt/WebSphere/AppServer/installedApps/your_application.ear-a sec_master-p sec_master_password-w wsadmin-d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties[-e application_name]



Windows

migrateEAR4 -j ¥WebSphere¥AppServer¥installedApps¥your_application.ear-a sec_master-p sec_master_password-w wsadmin-d "o=ibm,c=us"-c file:/c:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties[-e application_name]

WebSphere Application Server バージョン 5.0.2 の場合:

UNIX

migrateEAR5-j /opt/WebSphere/AppServer/installedApps/cellname/your_application.ear-a sec_master-p sec_master_password-w wsadmin-d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties[-e application_name]



Windows

migrateEAR5-j "c:¥Program Files¥WebSphere¥AppServer¥installedApps¥cellname¥your_application.ear"-a sec_master-p sec_master_password-w wsadmin-d "o=ibm,c=us"-c file:/c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties[-e application_name]

状況メッセージは、マイグレーションが完了したときに表示されます。ユーティリティーの出力は、ユーティリティーが実行されたディレクトリーに作成された pdwas_migrate.log ファイルにログ記録されます。ログ・ファイルを調べて、アプリケーションに関するすべてのポリシーがマイグレーションされたことを確認します。ログ・ファイルにエラーが表示されている場合は、最後に実行したトランザクションを調べ、エラーの原因を訂正し、マイグレーション・ツールを再実行します。




9. Tivoli Access Manager にマイグレーションしなければならない役割定義が含まれているエンタープライズ・アーカイブ (EAR) ファイルごとに、前述のステップを繰り返します。

J2EE アプリケーションのデプロイメント記述子にセキュリティー情報がない場合、そのアプリケーションに対してマイグレーション・ユーティリティーを実行する必要はありません。

注: 固有の EAR ファイルごとに一度だけマイグレーション・ユーティリティーを実行してください。EAR ファイルのコピーが複数ある場合は、コピーごとにマイグレーション・ユーティリティーを実行する必要はありません。マイグレーション・ユーティリティーは、Tivoli Access Manager ドメインごとに一度だけ実行する必要があります。

10. 以下のいずれかの処置を選択します。

v WebSphere Application Server アドバンスト・シングル・サーバー版を使用している場合は、次のステップに進みます。

v WebSphere Application Server シングル・サーバー版を使用していない場合は、マイグレーションは完了です。次のステップを実行しないでください。

11. Tivoli Access Manager for WebSphere と WebSphere シングル・サーバー版を併用している場合は、pdadmin を使用して、マイグレーション・ユーティリティーによって作成された ACL にユーザーを手操作で追加しなければなりません。pdadmin コマンドを使用してユーザーを追加することに関する例は、『マイグレーション・ユーティリティーに関する制限』に説明されています。

チュートリアルの章である、 79ページの『第 6 章チュートリアル: セキュリティーを使用可能にする方法』で説明されているサンプル・アプリケーションの ACL にユーザーを追加する方法を検討することもできます。『Tivoli Access

Manager へのアプリケーションのマイグレーション』セクションのコマンド例を参照してください。

マイグレーション・ユーティリティーに関する制限マイグレーション・ユーティリティーには、以下の制限があります。

v マイグレーション・ユーティリティーは、EAR ファイル内の役割の Tivoli

Access Manager 保護オブジェクト・スペースへのマイグレーション専用に設計されている。役割を保守するユーティリティーとしてマイグレーション・ユーティリティーを使用しないでください。EAR ファイルのマイグレーション後は、Web

ポータル・マネージャーか pdadmin ユーティリティーを使用して、役割を管理してください。

v マイグレーション・ユーティリティーは、EAR ファイル中で指定されているユーザーと役割のみをマイグレーションする。使用中のアプリケーションの EAR ファイルが最新であることを確認してください。

v EAR ファイルに対してマイグレーション・ユーティリティーを実行し終えたら、EAR ファイルに変更を加える際に再度実行しないことが勧められている。EAR


を作成して、保護オブジェクト・スペースにマイグレーションしてから、再度マイグレーションすると、以下の問題が起きることがあります。

– 二度目以降のマイグレーションで、既存の役割が EAR から除去されても、保護オブジェクト・スペースからは除去されない。

– 二度目以降のマイグレーションで、EAR ファイルに変更を加えるには、マイグレーション・ユーティリティーから Tivoli Access Manager に ACL 定義を削除するように指示する必要がある。Tivoli Access Manager ではこの削除を実行できない場合があります。EAR ファイルを Tivoli Access Manager 保護オブジェクト・スペースにマイグレーションする際に、ACL が作成されてオブジェクトに付加されることに注意してください。アドミニストレーターが手操作で ACL 定義を他の保護オブジェクトに付加すると、Tivoli Access Manager

はその ACL を除去できないようにします。したがって、初めてマイグレーション・ユーティリティーを実行した際に作成されたオリジナルのオブジェクトが存在しなくなっても、その ACL は削除できません。

v 役割に変更を加えるには、pdadmin を使用する。pdadmin を使用して、役割を追加することができます。

v マイグレーション・ユーティリティーと WebSphere Application Server アドバンスト・シングル・サーバー版を併用している場合は、マイグレーション・ユーティリティーによって作成された ACL にユーザーを手操作で追加しなければならない。この制限は、WebSphere Application Server アドバンスト版には影響を与えません。

ユーザーを ACL に追加するには、pdadmin を使用します。以下の例は、チュートリアルの章の、 87ページの『パート 8: Tivoli Access Manager へのアプリケーションのマイグレーション』で説明されているサンプル・アプリケーションに基づいて、ACL にユーザーを追加する方法を示しています。各 pdadmin コマンドは、1 行の切れ目のないコマンド行として入力してください。

c:> pdadmin -a sec_master -p myPasswordpdadmin> acl list(Find the ACL that starts with _WebAppServer_deployedResources_GoodGuys_)

pdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_simpleSessionApp_ACLadd user user1 T[WebAppServer]ipdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_simpleSessionApp_ACLadd user user2 T[WebAppServer]ipdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_simpleSessionApp_ACLadd user user3 T[WebAppServer]ipdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_simpleSessionApp_ACLadd user user4 T[WebAppServer]ipdadmin> exit

トラブルシューティングのヒントこのセクションは、以下のトピックで構成されます。

v 55ページの『ログ・ファイルの使用』

v 55ページの『ユーザーが、作成した ACL に付加されていない』

v 55ページの『ショート・ネームの Windows ファイルのマイグレーションに失敗した』

v 55ページの『Web Portal Manager が ACL をオブジェクトに付加できない』

v 56ページの『ユーザー [...] が pdwas-admin のメンバーであるという警告』


v 56ページの『セッション満了のためクライアント認証が失われた』

v 56ページの『マイグレーション・ユーティリティー・メッセージが正しい言語で表示されない』

ログ・ファイルの使用マイグレーション・ユーティリティーに関する問題のトラブルシューティングを行う際には、WebSphere と Tivoli Access Manager によって設けられるログ・ファイルを使用してください。

v Tivoli Access Manager 許可サーバー用のロギングを構成します。保護オブジェクト・ネーム・スペース中のオブジェクトにアクセスする際の障害は、ここに記録されます。Tivoli Access Manager 許可コンポーネントからの要求によって生成されるログ情報が、ここに記録されることに注意してください。このログはWebSphere のログとは同じでないことにも注意してください。詳しくは、「IBM

Tivoli Access Manager Base 管理者ガイド」を参照してください。

v マイグレーション・ユーティリティーによるアクティビティーは、pdwas_migrate.log ファイルに記録されます。このファイルは、マイグレーション・ユーティリティーが実行されているディレクトリーにあります。通常、最新のログ・メッセージには、マイグレーション・ユーティリティーの最新の試行内容が記述されます。したがって、ほとんどの場合、エラーが生成されたロケーションが示されます。

ユーザーが、作成した ACL に付加されていない問題: admin.ear ファイルにユーザー情報が含まれておらず、役割マッピングのみ含まれています。その結果、作成された ACL にユーザーを付加できません。

解決方法: pdadmin を使用して、グループ pdwas-admin を ACL に追加してください。以下のコマンドを 1 行の切れ目のないコマンド行として入力してください。

pdadmin> acl modify _WebAppServer_deployedResources_AdminRole_admin_ACLset group pdwas-admin T[WebAppServer]i

ショート・ネームの Windows ファイルのマイグレーションに失敗した

問題: マイグレーション・ユーティリティーは、波形記号 (~) を含むファイル名に対しては機能しません。したがって、Windows の短いファイル名をマイグレーションしようとすると、問題が生じることがあります。

解決方法: 波形記号 (~) が含まれないファイル名に名前変更してください。

Web Portal Manager が ACL をオブジェクトに付加できない問題: Web ポータル・マネージャーは、名前にスペースが含まれているオブジェクトに ACL を付加できないことがあります。

予備手段: pdadmin を使用して ACL を付加してください。


解決方法: 可能な場合は、マイグレーション・ユーティリティーを実行する前に、デプロイメント記述子にリストされている定義内にスペースがないことを確認してください。アプリケーション名にスペースが含まれていないかどうかを検証してください。

ユーザー [...] が pdwas-admin のメンバーであるという警告問題: マイグレーション・ユーティリティーの実行時に、ユーザー wsadmin がグループ pdwas-admin のメンバーであることを示す警告メッセージが表示されることがあります。

解決方法: この警告は、正常な動作によるもので、セキュリティー目的のためだけに表示されます。この警告の目的は、ユーザーを pdwas-admin グループの現行メンバーとして識別することなので、アドミニストレーターは、この重要な管理グループに含まれるユーザーのリストが正確かどうかを検証できます。

注: pdwas-admin グループのメンバーは、WebSphere 管理コンソールまたは Tivoli

Access Manager Web Portal Manager を介して更新できます。

セッション満了のためクライアント認証が失われた問題: Tivoli Access Manager には、Tivoli Access Manager ポリシー・サーバーに接続する際のデフォルトの SSL タイムアウト値が設けられています。マイグレーション・ユーティリティーの実行時にこのタイムアウト値を超過すると、以下のメッセージが表示されることがあります。

サーバーがクライアントの認証を逸失しました。セッションが有効期限の可能性があります。

解決方法: このメッセージが表示された場合は、-t minutes オプションを使用して、再度マイグレーション・ユーティリティーを実行してください。マイグレーション・ユーティリティーはデフォルトの 60 分を使用しています。この値は、許可API クライアントとポリシー・サーバーの間の現行 SSL のタイムアウト値以下になっている必要があります。

パラメーター ssl-v3-timeout を調べて SSL タイムアウト値を判別できます。このパラメーターは Tivoli Access Manager 構成ファイル ivmgrd.conf の [ssl] スタンザの下にあります。ssl-v3-timeout のデフォルト値は 7200 秒 (120 分) です。このデフォルト値を設定する場合は、マイグレーション・ユーティリティー -t フラグによって設定された SSL タイムアウトが 60 分以上であることを確認してください。

詳しくは、「IBM Tivoli Access Manager Base 管理者ガイド」を参照してください。

マイグレーション・ユーティリティー・メッセージが正しい言語で表示されない

問題: Windows システムで、ブラジル・ポルトガル語など数種類の言語の Tivoli

Access Manager for WebSphere マイグレーション・ユーティリティー・メッセージが正しく表示されない。

予備手段: DOS Windows のプロパティーを変更してください。


1. DOS コマンド・プロンプトに以下のコマンドを入力します。

MSDOS> chcp 1252

2. DOS ウィンドウ・メニューで、「プロパティー」を選択します。

3. 「Lucida コンソール (Lucida Console)」を選択します。

Lucida コンソールは True Type フォントです。

4. 「OK」を選択します。プロパティーを現行ウィンドウのみに適用するために、パネルで「OK」を選択します。

5. これで、マイグレーション・ユーティリティーからの出力を表示させることができるようになりました。


第 5 章管理タスク

この章には、以下のトピックが含まれます。

v 『WebSphere アドバンスト版シングル・サーバー、バージョン 4.0.6』

v 60ページの『Tivoli Access Manager 管理ツール』

v 60ページの『ランタイム・プロパティーの指定』

v 65ページの『オブジェクト・クラスをコンソールに追加する』

v 64ページの『追加の許可サーバーの構成』

v 66ページの『GSO プリンシパル・マッピングのセットアップ』

v 71ページの『Tivoli Access Manager for WebSphere ロギング』

v 73ページの『WebSEAL を使用した WebSphere Application Server のシングル・サインオン』

v 76ページの『トラブルシューティングのヒント』

v 78ページの『Tivoli Access Manager for WebSphere ファイルのバックアップ』

WebSphere アドバンスト版シングル・サーバー、バージョン 4.0.6IBM WebSphere Application Server には、単一サーバーをサポートするアドバンスト版があります。このバージョンは、外部ユーザー・レジストリーの代わりにホスト・ベースのセキュリティーを使用して WebSphere を実行するように設計されています。

このバージョンの WebSphere Application Server は、アプリケーションの開発やプロトタイピングを行ったり、WebSphere Application Server の機能のデモンストレーションを行ったりする際に便利です。WebSphere コンソールからシステム・レジストリーに変更を加えることはできません。

Tivoli Access Manager は、複数の外部ユーザー・レジストリー・タイプをサポートしています。Tivoli Access Manager を WebSphere アドバンスト・シングル・サーバー版と併用する際には、Tivoli Access Manager アドミニストレーターは、WebSphere のホスト・システム上の関係のあるユーザー・アカウントごとに、等価のユーザー・レジストリー項目を作成しなければなりません。したがって、ユーザー・レジストリー中のユーザー定義は手操作で作成しなければなりません。

ユーザーをオペレーティング・システム項目から Tivoli Access Manager ユーザー・レジストリー中にミラーリングする際には、Tivoli Access Manager のユーザーID がオペレーティング・システムのユーザー ID と一致していなければならないことに注意してください。Windows システムの場合、この ID にはドメイン名は含まれません。

Tivoli Access Manager for WebSphere マイグレーション・ユーティリティーをWebSphere アドバンスト・シングル・サーバー版と併用すると、作成される ACL

にユーザーが自動的に追加されないことにも注意してください。アドミニストレー


ターが手操作でユーザーを追加しなければなりません。詳しくは、 53ページの『マイグレーション・ユーティリティーに関する制限』を参照してください。

実動システムとしては、Tivoli Access Manager for WebSphere と WebSphere アドバンスト・シングル・サーバー版の併用はお勧めできません。

15ページの『ユーザー・レジストリーの前提条件』を参照してください。

Tivoli Access Manager 管理ツールWebSphere Application Server コンソールを使用して、ユーザーや役割の属性に変更を加えないでください。変更内容が Tivoli Access Manager ポリシー・データベース中に反映されません。

ユーザーや役割の構成情報の管理は、すべて以下の Tivoli Access Manager 管理ツールを使用して実行しなければなりません。

v pdadmin コマンド行ユーティリティー

v Tivoli Access Manager Web Portal Manager のグラフィカル・ユーザー・インターフェース

Tivoli Access Manager には管理 API も備えられており、管理タスクをプログラムで実行する際にこの API を使用できます。

Tivoli Access Manager 管理ツールについて詳しくは、以下の手引きを参照してください。

v pdadmin とグラフィカル・ユーザー・インターフェースについては、「IBM

Tivoli Access Manager Base 管理者ガイド」を参照してください。

v プログラマチック API については、「IBM Tivoli Access Manager for e-business

Administration C API デベロッパーズ・リファレンス」または「IBM Tivoli Access

Manager for e-business Administration Java Classes デベロッパーズ・リファレンス」を参照してください。

ランタイム・プロパティーの指定Tivoli Access Manager for WebSphere では、構成パラメーターを含む Java プロパティー・ファイルが使用されます。プロパティー・ファイルは、pdwascfg ユーティリティーの実行中に作成され、構成パラメーターの変更に使用できます。

Java プロパティー・ファイルは、以下のロケーションに作成する必要があります。

v UNIX: WAS_HOME/etc/PDWAS.properties

v Windows: WAS_HOME¥etc¥PDWAS.properties

以下のセクションで、プロパティー設定値の変更方法について説明しています。

v 61ページの『静的役割キャッシングの構成』

v 61ページの『静的役割の定義』

v 61ページの『動的役割キャッシングの構成』

v 62ページの『役割ベースのポリシー・フレームワーク・パラメーター』


静的役割キャッシングの構成

静的役割キャッシュの設定com.tivoli.pd.as.cache.StaticRoleCache=com.tivoli.pd.as.cache.StaticRleCacheImpl

静的役割キャッシングの使用可能化静的役割キャッシングを使用可能にしたり使用不可にしたりします。デフォルトでは、静的役割キャッシングは使用可能になっています。

com.tivoli.pd.as.cache.EnableStaticRoleCaching=true

静的役割の定義WebSphere Application Server の admin.ear または adminconsole.ear ファイル(稼働中の WebSphere のバージョンによって異なる) に定義されていない追加の静的役割を定義します。

com.tivoli.pd.as.cache.StaticRoleCache.Roles=Administrator,Operator,Monitor,Deployer

注: アプリケーションのパフォーマンスは、静的役割(CosNamingRead、CosNamingWrite、CosNamingCreate、CosNamingDelete) を追加して拡張することができます。

動的役割キャッシングの構成以下の設定について説明されています。

v 『動的役割キャッシュの設定』

v 『動的役割キャッシングの使用可能化』

v 『ユーザーの最大数の指定』

v 62ページの『プリンシパルの存続時間の指定』

v 62ページの『役割の存続時間の指定』

v 62ページの『キャッシュ・テーブル数の指定』

動的役割キャッシュの設定com.tivoli.pd.as.cache.DynamicRoleCache=com.tivoli.pd.as.cache.DynamicRoleCacheImpl

動的役割キャッシングの使用可能化

動的役割キャッシングを使用可能にしたり使用不可にしたりします。デフォルトでは、動的役割キャッシングは使用可能になっています。

com.tivoli.pd.as.cache.EnableDynamicRoleCaching=true

ユーザーの最大数の指定

キャッシュのクリーンアップを実行する前に、キャッシュでサポートされるユーザーの最大数。このパラメーターは、動的役割キャッシングが使用可能な場合に使用します。デフォルトのユーザー数は 100000 です。

com.tivoli.pd.as.cache.DynamicRoleCache.MaxUsers=100000

第 5 章管理タスク 61

プリンシパルの存続時間の指定

プリンシパル項目がキャッシュ中に格納されている期間 (分単位)。このパラメーターは、動的役割キャッシングが使用可能な場合に使用します。デフォルトの時間は10 分です。

com.tivoli.pd.as.cache.DynamicRoleCache.PrincipalLifeTime=10

プリンシパルという用語は、ここでは固有の LDAP ユーザーから戻される Tivoli

Access Manager 信任状を指します。

役割の存続時間の指定

役割が廃棄されるまでの間にユーザーの役割リストに格納されている期間 (秒単位)。このパラメーターは、動的役割キャッシングが使用可能な場合に使用します。デフォルトは 20 秒です。

com.tivoli.pd.as.cache.DynamicRoleCache.RoleLifetime=20

キャッシュ・テーブル数の指定

動的役割キャッシュによって内部使用されるテーブルの数。このパラメーターは、動的役割キャッシングが使用可能な場合に使用します。デフォルトは 20 です。

多数のスレッドでキャッシュが使用される場合は、この値を大きくして、キャッシュのパフォーマンスを調整して最適化してください。

com.tivoli.pd.as.cache.DynamicRoleCache.NumBuckets=20

役割ベースのポリシー・フレームワーク・パラメーターTivoli Access Manager for WebSphere の役割ベースのポリシー・フレームワーク・パラメーターは、Tivoli Access Manager for WebSphere の構成時に pdwascfg ユーティリティーによって自動的に設定されます。これらのパラメーターを変更する必要性は考えられません。次のリストは、各パラメーターを示したものです。

v com.tivoli.pd.as.rbpf.AmasSession.AMGroup=amgroup-admin

役割を全探索することはできるが、それらの役割にアクセスすることはできないアドミニストレーターのグループ名を定義します。このユーザー・グループは、役割の管理に役立てるために作成されます。デフォルト値は amgroup-admin です。

v com.tivoli.pd.as.rbpf.AMAction=i

このパラメーターは、ユーザーが役割へのアクセス権を認可されていることを示すために、マイグレーション・ツールおよび Tivoli Access Manager for

WebSphere ランタイムによって使用されます。この値は Tivoli Access Manager

ACL に追加されます。このパラメーターは、ユーザーとグループの役割に呼び出しアクセスを設定します。

v com.tivoli.pd.as.rbpf.AMActionGroup=WebAppServer

このパラメーターは、マイグレーション・ツールおよび Tivoli Access Manager

for WebSphere ランタイムによって使用されます。このパラメーターは、AMAction プロパティーによって指定されたアクションに対して、コンテナーとして機能する Tivoli Access Manager アクション・グループを設定します。


v com.tivoli.pd.as.rbpf.PosRoot=WebAppServer


for WebSphere ランタイムによって使用されます。このパラメーターは、保護オブジェクト・スペースのどこに役割が保管されているかを判別するために使用されます。

v com.tivoli.pd.as.rbpf.ProductId=deployedResources


for WebSphere ランタイムによって使用されます。このパラメーターは、保護オブジェクト・スペースのどこに役割が保管されているかを判別するために使用されます。デフォルト値は deployedResources です。

v com.tivoli.pd.as.rbpf.ResourceContainerName=Resources

このパラメーターは Tivoli Access Manager for WebSphere では使用されませんが、値を設定する必要があります。デフォルト値は Resources です。

v com.tivoli.pd.as.rbpf.RoleContainerName=

このパラメーターは Tivoli Access Manager for WebSphere ランタイムでは使用されません。このパラメーターは、役割コンテナー名に保管された役割を位置指定します。このパラメーターは、保護オブジェクト・スペースのどこに役割が保管されているかを判別するために使用されます。デフォルト値が空になっているのは、以前使用していたオブジェクト・スペースと現在インプリメントしているマイグレーション・ツールをサポートするためです。このパラメーターに値を追加すると、オブジェクト・スペースのレイアウトが変わり、マイグレーションされたすべてのアプリケーションが許可されなくなります。

v com.tivoli.pd.as.rbpf.GrantUnprotectedAccess=true

このパラメーターは Tivoli Access Manager for WebSphere では使用されませんが、値を設定する必要があります。デフォルト値は true です。

v com.tivoli.pd.as.rbpf.UseEntitlements=false

WebSphere Application Server に付随して提供される資格サービスを Tivoli

Access Manager for WebSphere が使用するのを可能にしたり、不可にしたりします。true に設定されている場合は、資格サービスが構成済みで、かつ稼動していなければなりません。またすべての ACLD が構成 URL に構成済みでなければなりません。デフォルト値は false です。

v com.tivoli.pd.as.rbpf.AmasSession.CfgURL=

このプロパティーの値は、WebSphere のロケーションと、pdwascfg ユーティリティーの実行時に指定された -cfg_url に基づいて構成されます。

v com.tivoli.pd.as.rbpf.AmasSession.LoggingURL=

file:/c:¥WebSphere¥AppServer¥etc¥jlog.properties

このプロパティーの値は、構成時に Tivoli Access Manager for WebSphere インストールのロケーションに基づいて構成されます。

v com.tivoli.pd.as.rbpf.AmasSession.AMName=

この値は、Tivoli Access Manager for WebSphere の構成時に設定されます。この値は、pdwascfg コマンドの実行時に、ユーザーが -remote_acl_user パラメーターで指定します。


追加の許可サーバーの構成Tivoli Access Manager セキュア・ドメインには、オプションで複数の許可サーバーを含めることができます。複数の許可サーバーの構成は、以下の 2 つの理由で有効です。

v フェイルオーバー機能。これは、1 つの許可サーバーが利用不能となった場合に有効です。

v パフォーマンスの向上。これは、アクセス要求の量が膨大な場合に効果があります。

Tivoli Access Manager for WebSphere を、複数の許可サーバーにアクセスできるよう構成することができます。許可サーバーを追加するには、Java クラスcom.tivoli.pd.jcfg.SvrSslCfg を使用します。コマンド構文は、次のとおりです。

java com.tivoli.pd.jcfg.SvrSslCfg -action addsvr-authsvr host_name:port_number:rank -cfg_file cfg_file

注: 上記のコマンドを 1 行の切れ目のないコマンド行として入力してください。

表 7. 許可サーバーを追加する場合のコマンド・パラメーター

パラメーター説明

-action addsvr アプリケーション・サーバーの構成ファイルにサーバー情報を追加します。

-authsvr Tivoli Access Manager 許可サーバー。引き数の形式は、次のとおりです。

v host_name

ストリング。許可サーバーのホスト・コンピューターの名前。

v port_number

整数値。許可サーバーと交信するためのポート。

v rank

整数値。他の許可サーバーと比較した場合の、この許可サーバーの優先順位。アプリケーション・サーバーがアクセス要求に対する受け入れまたは拒否の決定を確認しようとする場合、より高いランクの許可サーバーに最初に交信します。フェイルオーバーは、ランク順に起こります。


表 7. 許可サーバーを追加する場合のコマンド・パラメーター (続き)

-cfg_file cfg_file アプリケーション・サーバー (Tivoli Access Manager for

WebSphere) の構成ファイル。構成ファイルは、PdPerm.properties

です。これは Uniform Resource Indicator (URI) で表さなければならないので注意してください。WebSphere Application Server をデフォルト・ロケーションにインストールすると、絶対パスは次のようになります。



v AIX


v Windows

– WebSphere Application Server バージョン 4.0.6:


– WebSphere Application Server バージョン 5.0.2:


オブジェクト・クラスをコンソールに追加するWebSphere Application Server コンソールを使用して、WebSphere 環境で実行されているアプリケーションのセキュリティー・ポリシーを指定できます。また、WebSphere Application Server コンソールは、ユーザー・ディレクトリー中に格納されているエンティティーを基にして、他の Web リソースのセキュリティー・ポリシーも指定できます。

Tivoli Access Manager は、ユーザー・レジストリーにオブジェクト・クラスaccessGroup を追加します。Tivoli Access Manager のアドミニストレーターは、pdadmin コマンドか Web ポータル・マネージャーを使用して、新しいグループを作成できます。これらの新しいグループのオブジェクト・クラスは、accessGroup

になります。

デフォルトでは、WebSphere Application Server コンソールは、クラス accessGroup

のオブジェクトをユーザー・レジストリー・グループとして認識するように構成されていません。このオブジェクト・クラスを、ユーザー・レジストリー・グループを表すオブジェクト・クラスのリストに追加するように、WebSphere Application

Server コンソールを構成できます。

以下の指示を完了してください。

1. WebSphere Application Server がまだ稼働していなければ、それを開始します。

2. WebSphere コンソールから、セキュリティー構成の拡張設定にアクセスします。WebSphere Application Server バージョン 5.0.2 の場合、メニュー・シーケンスは「セキュリティー (Security)」→「ユーザー・レジストリー (User

Registries)」→「LDAP」→「アドバンスト LDAP 設定 (Advanced LDAP

Settings)」です。


3. 「グループ・フィルター (Group Filter)」フィールドに変更を加えます。以下の項目を追加します。

(objectclass=accessGroup)

たとえば、「グループ・フィルター (Group Filter)」フィールドは以下のようになります。

(&(cn=%w)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=accessGroup)))

4. 「グループ・メンバー ID マップ (Group Member ID Map)」フィールドに変更を加えます。以下の項目を追加します。

accessGroup:member

たとえば、「グループ・メンバー ID マップ (Group Member ID Map)」フィールドは以下のようになります。

groupOfNames:member;groupOfUniqueNames:uniqueMember;accessGroup:member

5. コンソールから指示されたら、WebSphere Application Server を停止してから再始動します。

GSO プリンシパル・マッピングのセットアップTivoli Access Manager for WebSphere は、WebSphere Application Server セキュリティー・ドメインに配置されているデータベース、トランザクション処理システム、メッセージ・キュー・システムなどの WebSphere Enterprise Information System

(EIS) の認証を管理するように構成できます。 EIS セキュリティー・ドメインの認証は、Tivoli Access Manager for WebSphere が、GSO Principal Mapper JAAS ログイン・モジュールを J2C リソースに使用して行います。特殊目的のログイン・モジュールは、信任状を JAAS Subject に挿入し、Resource Adapter はその信任状を使用してバックエンド EIS を認証します。使用する JAAS ログイン・モジュールは、接続ファクトリーごとに構成されます。 WebSphere Application Server によるプリンシパル・マッピング・モジュールのリトリーブ・インプリメンテーションでは、ユーザー名とパスワードの情報を XML 構成ファイルから検索します。Tivoli

Access Manager for WebSphere は、XML 構成ファイルに保管された信任状をバイパスする代わりに、Tivoli Access Manager GSO データベースを使用して EIS セキュリティー・ドメイン認証情報を提供します。

WebSphere Application Server は、ユーザー信任状情報を EIS リソースに関連付けるデフォルトのプリンシパル・マッピング・モジュールを備えています。デフォルトのマッピング・モジュールは、「セキュリティー (Security)」→「JAAS 構成(JAAS Configuration)」→「アプリケーション・ログイン (Application Logins)」から WebSphere Application Server Administration Console に定義されます。マッピング・モジュール名は DefaultPrincipalMapping です。 EIS セキュリティー・ドメインのユーザー ID とパスワードは、authDataAlias 属性によって各接続ファクトリーの下に定義されます。実際には、authDataAlias 属性にユーザー名とパスワードは含まれていません。 authDataAlias 属性には、セキュリティー構成文書に定義されているユーザー名とパスワードのペアを参照する別名が含まれています。


Tivoli Access Manager プリンシパル・マッピング・モジュールは、authDataAlias を処理して、Tivoli Access Manager GSO データベースの検索に必要な GSO リソース名とユーザー名を決定します。このモジュールは、Tivoli Access Manager Policy

Server と通信してレジストリーから GSO データを検索します。

Tivoli Access Manager は、リソース/ユーザー名・ペアと対照して Tivoli Access

Manager GSO データベースに関する認証情報を保管します。

新規アプリケーション・ログインの作成Tivoli Access Manager GSO データベースを使用してログイン信任状を保管する新規アプリケーション・ログインを作成します。

1. 「セキュリティー (Security)」→「JAAS 構成 (JAAS Configuration)」→「アプリケーション・ログイン (Application Logins)」を選択します。「新規作成(New)」ボタンをクリックして新規 JAAS ログイン構成を作成します。

2. 新規アプリケーション・ログインの別名を入力します。「適用」をクリックします。

3. 「追加プロパティー (Additional Properties)」セクションで、「JAAS ログイン・モジュール (JAAS Login Modules)」リンクをクリックして JAAS ログイン・モジュールを定義します。

図 7. GSO プリンシパル・マッピング・アーキテクチャー


4. 「新規作成 (New)」をクリックして JAAS ログイン・モジュールに入ります。

com.ibm.ws.security.common.auth.module.proxy.WSLoginModuleProxy

「適用」をクリックします。

5. 「追加プロパティー (Additional Properties)」セクションで、「カスタム・プロパティー (Custom Properties)」をクリックして、基礎のログイン・モジュールに直接渡すログイン・モジュール固有の値を定義します。

6. 「新規作成 (New)」をクリックします。

Tivoli Access Manager プリンシパル・マッピング・モジュールは、構成ストリング authDataAlias を使用して、正しいユーザー名とパスワードをセキュリティー構成から検索します。

このモジュールに渡された authDataAlias は、J2C ConnectionFactory 用に構成されます。 authDataAlias は、構成時に入力される任意のストリングであるため、次のようなシナリオが可能です。

v authDataAlias には、GSO リソース名とユーザー名が両方とも含まれています。このストリングの形式は ″Resource/User″ です。

v authDataAlias には、GSO リソース名のみが含まれています。ユーザー名は、現行セッションのサブジェクトを使用して決定されます。

どのシナリオを使用するかは、JAAS 構成オプションによって決まります。これらのオプションの詳細は、次のとおりです。

名前: com.tivoli.pd.as.gso.AliasContainsUserName

値: 別名にユーザー名が含まれている場合は true、ユーザー名をセキュリティー・コンテキストから検索しなければならない場合は false。

authDataAliases を WebSphere Application Server コンソールから入力する場合は、ノード名が自動的に別名の先頭に付加されます。 JAAS 構成項目は、このノード名を除去する必要があるかどうか、あるいはリソース名の一部として組み込む必要があるかどうかを決定するためのものです。

名前: com.tivoli.pd.as.gso.AliasContainsNodeName

値: 別名にノード名が含まれている場合は true。

7. 下の表をガイドラインにして各新規パラメーターを入力します。

シナリオ 1:

認証データ別名 BackendEIS/eisUser

リソース BackEndEIS

ユーザー eisUser

プリンシパル・マッピング・パラメーター

名前: 値:

delegate com.tivoli.pd.as.gso.AMPrincipalMapper

com.tivoli.pd.as.gso.aliasContainsUserName true

com.tivoli.pd.as.gso.aliasContainsNodeName false

com.tivoli.pd.as.gso.AMLoggingURL file:///<jlog.props.path>

シナリオ 2:

認証データ別名 BackendEIS



ユーザー現在認証されている WAS ユーザー


名前: 値:


com.tivoli.pd.as.gso.aliasContainsUserName false



シナリオ 3:

認証データ別名 nodename/BackendEIS/eisUser




名前: 値:

delegate com.tivoli.pd.as.gso.AMPrincipalMapdelegateper


com.tivoli.pd.as.gso.aliasContainsNodeName true


シナリオ 4:


リソース nodename/BackEndEIS (notice that node name was not stripped

off)



名前: 値:





シナリオ 5:

認証データ別名 nodename/BackendEIS


ユーザー Currently authenticated WAS user


名前: 値:



com.tivoli.pd.as.gso.aliasContainsNodeName true


シナリオ 6:



リソース nodename/BackendEIS/eisUser (「リソース」が「認証データ別名」と同じである点に注意)。

ユーザー現在認証されている WAS ユーザー


名前: 値:





ここで、J2C 認証別名を作成する必要があります。Tivoli Access Manager がユーザー名とパスワードを提供するので、これらの別名項目に割り当てられたユーザー名とパスワードは関係ありません。ただし、J2C 認証別名に割り当てられたユーザー名とパスワードは存在していなければなりません。それらが存在していないと、コンソールの J2C 接続ファクトリー用に選択できません。

J2C 認証別名を作成するには、WebSphere Application Server コンソールから「セキュリティー (Security)」→「J2C 認証データ (J2C Authentication Data)」を選択し、各項目ごとに「新規作成 (New)」ボタンをクリックします。シナリオ入力については、上のテーブルを参照してください。

GSO データベースを使用する必要がある各リソース・アダプターの接続ファクトリーは、Tivoli Access Manager プリンシパル・マッピング・モジュールを使用できるように構成する必要があります。そのためには、次のようにします。

1. WebSphere Application Server コンソールから、「アプリケーション(Applications)」→「エンタープライズ・アプリケーション (EnterpriseApplications)」を選択します。

2. アプリケーション名をクリックします。

3. アプリケーション詳細画面の下部にある「リソース・アダプター (Resource

Adapter)」セクションから、「コネクター・モジュール (Connector Modules)」リンクをクリックします。

4. .rar リンクをクリックします。

5. 画面の下部にある「追加プロパティー (Additional Properties)」セクションで、「リソース・アダプター (Resource Adapter)」リンクをクリックします。

注: リソース・アダプターは、アプリケーションにパッケージする必要はありません。リソース・アダプターは独立型です。そのようなシナリオの場合、リソース・アダプターは「リソース (Resources)」→「リソース・アダプター(Resource Adapters)」から構成されます。

6. 画面の下部にある「追加プロパティー (Additional Properties)」セクションで、「J2C 接続ファクトリー (J2C Connection Factories)」リンクをクリックします。

7. 「新規作成 (New)」をクリックして接続ファクトリー・プロパティーを入力します。


GSO プリンシパル・マッパー・モジュールは、その他の Tivoli Access Manager for

WebSphere 機能と独立しています。しかしこのモジュールには、pdwascfg の実行中に作成されたファイルの一部が必要です。それらのファイルは、JAVA_HOME/PdPerm.properties と PDWAS_HOME/etc/jlog.properties です。 Tivoli

Access Manager for WebSphere を構成せずに GSO プリンシパル・マッパー・モジュールを構成するには、SvrSslCfg を手動で起動して PdPerm.properties ファイルを作成し、jlog.properties.template ファイルを手動で jlog.properties にコピーする必要があります。

Tivoli Access Manager for WebSphere ロギングTivoli Access Manager for WebSphere メッセージとトレース・ロギングの宛先は、WebSphere Application Server SystemOut.log ファイルです。このファイルは、$WAS_HOME/logs/cellname ディレクトリーに入っています。

Tivoli Access Manager for WebSphere ロギングは、Access Manager Java Runtime

Environment と同様に、JLog ロギング・フレームワークを使用します。トレースとメッセージングは、さまざまな Tivoli Access Manager for WebSphere コンポーネントに応じて選択的に使用可能にすることができます。

これらのコンポーネントに関するトレースとメッセージ・ロギングは、$AMWAS_HOME/etc ディレクトリーに入っている jlog.properties というインストール済みファイルによって制御されます。

このファイルの内容により、ユーザーは以下の制御を行うことができます。

v 各 Tivoli Access Manager for WebSphere コンポーネントのトレースを使用可能にするか、使用不可にするか。

v 各 Tivoli Access Manager for WebSphere コンポーネントのメッセージ・ロギングを使用可能にするか、使用不可にするか。

jlog.properties ファイルはいくつかの「ロガー」を定義していて、各ロガーは、主要な Tivoli Access Manager for WebSphere コンポーネントの 1 つと関連付けられています。それらのロガーには、次のものがあります。

AmasRBPFTraceLogger

AmasRBPFMessageLogger

Role Based Policy Framework のメッセージ/フレームワークをログに記録するために使用します。このフレームワークは、Tivoli Access Manager for WebSphere

がアクセス決定を行うために使用する基礎のフレームワークです。

AmasCacheTraceLogger

AmasCacheMessageLogger

Role Based Policy Framework によって使用されるポリシー・キャッシュのメッセージ/フレームワークをログに記録するために使用します。

AMWASWebTraceLogger

AMWASWebMessageLogger

WebSphere Application Server 許可プラグインのメッセージ/フレームワークをログに記録するために使用します。大部分の問題では、このコンポーネントのトレースのみを使用可能にする必要があります。

これらのロガーのインプリメンテーションでは、メッセージを WebSphere

Application Server ロギング・サブシステムに経路指定します。したがって、上記の


ように、すべてのメッセージは WebSphere Application Server サーバーのSystemOut.log ファイルに書き込まれます。

jlog.properties ファイルは、各ロガーごとに、isLogging 属性を定義しています。この属性を true に設定すると、その Tivoli Access Manager for WebSphere コンポーネントのロギングが使用可能になります。 false の値は、そのコンポーネントのロギングが使用不可になります。

jlog.properties は、MessageLogger および TraceLogger という「親」ロガーを定義しています。これらのロガーは isLogging 属性も持っています。「子」ロガーがこの isLogging 属性を指定していない場合は、それぞれの親から値を継承します。 Tivoli Access Manager for WebSphere がインストール済みの場合は、isLogging 属性が MessageLogger に対して true に設定され、TraceLogger に対して false に設定されます。これは実質的に、すべてのコンポーネントに対するメッセージ・ロギングが使用可能になっており、すべてのコンポーネントに対するトレースが使用不可になっていることを示しています。

Tivoli Access Manager for WebSphere コンポーネントに対するトレースをオンにするには、次の 2 つの操作を実行する必要があります。

1. jlog.properties ファイルを更新し、希望するコンポーネントの isLogging 属性を true に設定する必要があります。たとえば、AMWASWeb コンポーネントに対するトレースを使用可能にするには、次の行を jlog.properties に追加する必要があります。

baseGroup.AMWASWebTraceLogger.isLogging=true

2. PDWAS コンポーネントに対するトレースを WebSphere Application Server コンソールで使用可能にします。WebSphere Application Server コンソールを使用してこれを行うには、以下のステップを実行します。

WebSphere バージョン 5 の場合

a. 左方のフレームで、「サーバー」→「アプリケーション・サーバー」をクリックします。

b. ターゲット・サーバーをクリックします。

c. 「ロギングおよびトレース (Logging and Tracing)」→「診断トレース(Diagnostic Trace)」をクリックします。

d. 「トレース仕様 (Trace Specifications)」ヘッディングの下で、「変更」をクリックします。

e. 「コンポーネント」→「PDWAS」をクリックし、必要なトレース・レベルを選択します。

f. 「適用」をクリックします。

WebSphere バージョン 4 の場合

a. 左方のフレームで、「サーバー」→「アプリケーション・サーバー」をクリックします。

b. ターゲット・サーバーをクリックします。

c. 「ロギングおよびトレース・プロパティー (Logging and TracingProperties)」→「診断トレース・サービス (Diagnostic Trace Service)」をクリックします。


d. 「トレース仕様 (Trace Specification)」ボックスに、次のように入力します。

com.ibm.ws.security.PDWAS=all=enabled


これで、必要なレベルでトレースが使用可能になったことがトレース仕様に示されるはずです。構成を保管し、サーバーを再始動して変更結果を有効にします。

WebSEAL を使用した WebSphere Application Server のシングル・サインオン

Tivoli Access Manager WebSEAL をプロキシー・サーバーとして使用して、アクセス管理とシングル・サインオン機能を Tivoli Access Manager for WebSphere 保護アプリケーションに提供することができます。このようなアーキテクチャーを持つWebSEAL は、ユーザーを認証し、収集した信任状を IV Header 形式で WebSphere

Application Server に転送します。WebSphere Trust Association Interceptor (TAI)

は、WebSEAL からの要求を代行受信し、エンド・ユーザー名を iv-user HTTP ヘッダーから抽出し、それを Tivoli Access Manager for WebSphere に転送します。そこでは、この情報を使用して、クライアント信任状情報が構成され、ユーザーが認可されます。 TAI については、WebSphere Application Server の資料を参照してください。

以下のステップを実行し (この詳細説明は、以下のセクションにあります)、WebSEAL を WebSphere Application Server の認証プロキシーとして設定します。

v 『ステップ 1 — Tivoli Access Manager におけるトラステッド・ユーザー・アカウントの作成』

v 74ページの『ステップ 2 — WebSphere Application Server との WebSEAL

junction の作成』

v 使用している WebSphere Application Server のバージョンに応じて、 74ページの『ステップ 3a — TAI for WebSphere Application Server バージョン 4.0.6 を使用した SSO の構成』または 75ページの『ステップ 3b — TAI for WebSphere

Application Server バージョン 5.0.2 を使用した SSO の構成』のいずれか。

ステップ 1 — Tivoli Access Manager におけるトラステッド・ユーザー・アカウントの作成

TAI の基本的なセキュリティー要件の 1 つは、WebSphere Application Server が使用する Tivoli Access Manager ユーザー・レジストリーにトラステッド・ユーザー・アカウントを作成することです。このユーザー・アカウントは、WebSEAL がWebSphere Application Server に自己を認識させるために使用する ID とパスワードです。ぜい弱になるのを防止するために、sec_master をトラステッド・ユーザー・アカウントとして使用せず、固有のパスワードを使用してください。トラステッド・ユーザー・アカウントは TAI 専用にする必要があります。Tivoli Access

Manager マシンでは、pdadmin コマンド行で以下のコマンドを入力します。

pdadmin> user create webseal_userid webseal_userid_DN firstnamesurname passwordpdadmin> user modify webseal_userid account-valid yes


ステップ 2 — WebSphere Application Server との WebSEALjunction の作成

その他の方法でエンド・ユーザー ID を渡すように WebSEAL を構成することができますが、iv-user ヘッダーは、TAI でサポートされている唯一のヘッダーです。セキュリティーを増強するために、junction を介した通信では SSL を使用することをお勧めします。この junction で SSL をセットアップするには、インバウンド SSL

トラフィックを受け入れ、それを WebSphere Application Server に正しく経路指定するように、WebSphere Application Server によって使用される HTTP Server (および WebSphere Application Server そのものも) を構成する必要があります。この操作には、必要な署名付き証明書を WebSEAL 証明書鍵ストアにインポートする操作が含まれるほか、HTTP Server 証明書鍵ストアにインポートする操作が含まれることもあります。

-c iv_user オプションを使用して WebSphere Application Server との WebSEAL

junction を作成します。例 (1 行で入力):

server task webseald-server create -t ssl -c iv_user -B-U user -W password -h host_name junction_name -b supply

注:

1. 証明書と鍵データベースの間違ったセットアップに関する警告メッセージが表示された場合は、junction を削除し、問題を鍵データベースで訂正し、junction を再作成します。

2. junction は、ユーザーの要件に応じて、-t tcp または -t ssl として作成できます。

WebSEAL と WebSphere Application Server 間の junction を構成する方法に関する詳細とオプション、および WebSEAL サーバー ID を指定するためのその他のオプションについては、「WebSEAL 管理ガイド」および WebSphere Application Server

で使用している HTTP サーバーの資料を参照してください。

ステップ 3a — TAI for WebSphere Application Server バージョン 4.0.6 を使用した SSO の構成

TAI 用の WebSEAL シングル・サインオンを構成するには、TAI 構成ファイル$WAS_HOME/properties/webseal.properties を編集し、以下のパラメーターが設定されていることを確認してください。

v com.ibm.websphere.security.webseal.loginId は、ステップ 1 で作成したものと同じユーザー名に設定されています。

v hostnames および ports パラメーターに、WebSEAL サーバーのホスト名とポートが含まれています。

v iv-user ヘッダーに対して com.ibm.websphere.security.webseal.id が構成されています。つまり、

com.ibm.websphere.security.webseal.id=iv-user

v 次の trustedservers.properties が正しいことを確認します。

– webseal が、com.ibm.websphere.security.trustassociation.types にリストされている。

– webseal インターセプター・クラスが設定されている。つまり (1 行で入力):


com.ibm.websphere.security.trustassociation.webseal.interceptor=com.ibm.ws.securicty.web.WebSealTrustAssociationInterceptor

– プロパティー・ファイルが正しい。つまり:

com.ibm.websphere.security.trustassociation.webseal.config=webseal

1. WebSphere 管理コンソールから、「認証」→「セキュリティー・センター(Security Center)」にアクセスし、「Web トラスト・アソシエーションの使用可能化 (Enable Web Trust Association)」が選択済みであることを確認します。

2. 「仮想ホスト」フォルダーから「default_host」仮想ホストを選択します。「別名」ボックスで「追加」をクリックします。新規別名を *:443 と入力します。

3. WebSphere を再始動します。

ステップ 3b — TAI for WebSphere Application Server バージョン 5.0.2 を使用した SSO の構成

セキュリティーを初めてセットアップするときは、以下のステップが必要です。

1. 左方のナビゲーション・パネルで「セキュリティー (Security)」→「認証メカニズム」→「LTPA」をクリックします。

2. 「追加プロパティー (Additional Properties)」の下の「トラスト・アソシエーション」をクリックします。

3. 「トラスト・アソシエーションの使用可能化 (Trust Association Enabled)」チェック・ボックスを選択します。

4. 「追加プロパティーの下のインターセプター (Interceptors under AdditionalProperties)」をクリックします。

5. 「com.ibm.ws.security.web.WebSealTrustAssociationInterceptor」をクリックして WebSEAL インターセプターを使用します。このインターセプターはデフォルト値です。

6. 「追加プロパティー (Additional Properties)」の下の「カスタム・プロパティー (Custom Properties)」をクリックします。

7. 「新規作成 (New)」をクリックしてプロパティー名と値のペアを入力します。以下のパラメーターが設定済みであることを確認します。

v webseal が com.ibm.websphere.security.trustassociation.types にリストされていることを確認します。

v com.ibm.websphere.security.webseal.loginId は、ステップ 1 で作成したものと同じユーザー名に設定されています。

v iv-user ヘッダーに対して com.ibm.websphere.security.webseal.id が構成されています。つまり、

com.ibm.websphere.security.webseal.id=iv-user

v com.ibm.websphere.security.webseal.hostnames は、要求ヘッダーに挿入するホスト名 (大文字小文字の区別がある) を指定します。例:

com.ibm.websphere.security.webseal.hostnames=host1


com.ibm.websphere.security.webseal.ignoreProxy が true に設定されている場合を除き、このホスト名には、プロキシー・ホスト名 (それがある場合) も含まれます。サーバーのリストは、server list pdadmin コマンドを使用して取得できます。

v com.ibm.websphere.security.webseal.ports は、要求ヘッダーに挿入するホスト名の対応するポート番号を指定します。com.ibm.websphere.security.webseal.ignoreProxy が true に設定されている場合を除き、このポート名には、プロキシー・ポート名 (それがある場合) も含まれます。例:

com.ibm.websphere.security.webseal.ports=80,443

v com.ibm.websphere.security.webseal.ignoreProxy はオプションのプロパティーであり、true または yes に設定されている場合は、IV ヘッダーのプロキシー・ホスト名とポートを無視します。デフォルトでは、このプロパティーは false に設定されています。

8. 「OK」をクリックします。構成とログアウトを保管します。WebSphere

Application Server を再始動します。

ステップ 4 — WebSEAL での SSO パスワードの設定WebSEAL 構成ファイル webseal_install_directory/etc/webseald-default.conf

を編集し、パラメーター basicauth-dummy-passwd=webseal_userid_passwd を設定して、ステップ 1 で作成したユーザーに対して SSO パスワードを設定します。

WebSEAL を再始動します。

ステップ 5 — WebSEAL 接続のテストWebSEAL junction を介した WebSphere Application Server へのアクセスが正しく行われるようにするには、まず、WebSEAL にログオンし、junction を介してWebSphere Application Server の保護オブジェクトにアクセスしてみます。

トラブルシューティングのヒントこのセクションは、以下のトピックで構成されます。

v 『構成およびマイグレーション後に WebSphere サーバーが開始しない —

WebSphere Application Server バージョン 4.0.6 のみ』

v 77ページの『構成解除後に WebSphere サーバーが開始しない — WebSphere

Application Server バージョン 4.0.6 のみ』

構成およびマイグレーション後に WebSphere サーバーが開始しない — WebSphere Application Server バージョン 4.0.6 のみ

問題: Tivoli Access Manager for WebSphere を構成した後、WebSphere Application

Server が開始しない。

説明: 次の 2 つの理由が考えられます。

v Tivoli Access Manager for WebSphere 構成時、新規の管理グループ pdwas-admin

が適切な ACL に追加されなかった。


v Tivoli Access Manager for WebSphere 構成時、新規の管理グループ pdwas-admin

が適切な ACL に追加されたが、それらの ACL が、すべての許可サーバーでは更新されなかった。この問題は、複数の許可サーバーが存在するセキュア・ドメインでのみ起こります。

解決方法:

2 種類の解決策が考えられます。

v pdwas-admin が適切な ACL に追加されなかった場合は、追加してください。37ページの『パート 5a: WebSphere セキュリティー設定のマイグレーション —

WebSphere バージョン 4.0.6』に示されている、管理 ACL への pdwas-admin グループの追加手順を参照してください。

v pdwas-admin が適切な ACL に追加されており、セキュア・ドメインに複数の許可サーバーが存在し、許可サーバーが更新されていない場合は、ここで更新してください。 37ページの『パート 5a: WebSphere セキュリティー設定のマイグレーション — WebSphere バージョン 4.0.6』に示されている、管理 ACL へのpdwas-admin グループの追加手順を参照してください。

構成解除後に WebSphere サーバーが開始しない — WebSphereApplication Server バージョン 4.0.6 のみ

問題: Tivoli Access Manager for WebSphere と Access Manager Java Runtime

Environment を構成解除した後、WebSphere Application Server が開始しないことがある。この問題は、非常に断続的に起こります。WebSphere Application Server は、セキュリティー・コラボレーター com.ibm.ejs.security.EJSSecurityCollaborator

のロードに失敗します。

予備手段: WebSphere Application Server セキュリティーを使用不可にして、WebSphere Application Server を再始動します。

1. DB2 がされているシステムに移動します。DB2 のインストール時に使用されたユーザー名でログオンします。たとえば、次のようになります。

# su - db2inst1

使用法に関するメッセージが表示されます。

2. 以下の太字フォントで示されたコマンドを入力します。ここで、was40 は、WebSphere バージョン 4 データベースの名前です。

db2 => connect to was40 user db2inst1Enter current password for db2inst1:

Database Connection InformationDatabase Server = DB2/LINUX 7.2.0SQL authorization ID = DB2INST1Local database alias = WAS40

db2 => update ejsadmin.securitycfg_table set securityenabled = 0DB20000I The SQL command completed successfully

db2 => commitDB20000I The SQL command completed successfully

3. WebSphere Application Server を始動します。


Tivoli Access Manager for WebSphere ファイルのバックアップ重大な障害が発生した場合に重要な情報を復元できるようにするために、Tivoli

Access Manager for WebSphere ファイルに対してバックアップ・ストラテジーを使用することは適切な管理方法です。

Tivoli Access Manager for WebSphere の主要ファイルは、次のとおりです。

v Tivoli Access Manager for WebSphere インストールの /etc ディレクトリーに入っている PDWAS.properties および jlog.properties。

v WebSphere Application Server インストールの /config ディレクトリーに入っている PD_WAS.prop。

Tivoli Access Manager for WebSphere を復元するには、アプリケーションを再インストールし、上記のファイルを Tivoli Access Manager for WebSphere およびWebSphere Application Server インストールの該当するロケーションにコピーする必要があります。


第 6 章チュートリアル: セキュリティーを使用可能にする方法

この章には、例のアプリケーションにセキュリティーを追加する方法を説明したチュートリアルが記載されています。このチュートリアルは WebSphere のチュートリアルを基にしており、WebSphere アプリケーションのアセンブリー、構成、およびデプロイメントのさまざまな局面について学習するのに役立ちます。WebSphere のチュートリアルにはコード例が記載されていますが、これは WebSphere 製品の一部として付属しています。

この Tivoli Access Manager のチュートリアルを使用するにあたって、WebSphere

のチュートリアルを参照する必要はありません。この Tivoli Access Manager for

WebSphere のチュートリアルには、WebSphere チュートリアルの指示に従ってWebSphere コード例から構築したアプリケーション EAR ファイルが記載されています。

WebSphere チュートリアルは、次のサイトからオンライン・アクセスできます。


Tivoli Access Manager for WebSphere に付属のプログラム例は、上記 Web サイトでチュートリアルの 6.7.1、6.7.2、および 6.7.3 の指示に基づいて構築されています。この章の内容は、上記 Web サイトでチュートリアルの 6.7.4 の内容に置き換わるものです。

この章は、以下のセクションに分かれています。

v 『チュートリアル : Tivoli Access Manager for WebSphere Application Server バージョン 4.0.6 の場合』

v 90ページの『チュートリアル : Tivoli Access Manager for WebSphere Application

Server バージョン 5.0.2 の場合』

チュートリアル : Tivoli Access Manager for WebSphere ApplicationServer バージョン 4.0.6 の場合

チュートリアルの使用法このチュートリアルは、セキュリティーをアプリケーション EAR ファイルに追加し、ユーザーを LDAP ユーザー・レジストリーに追加し、WebSphere セキュリティーを使用可能にし、サンプル・アプリケーションをデプロイおよびテストし、アプリケーションを Tivoli Access Manager にマイグレーションし、 Tivoli Access

Manager for WebSphere 許可コンポーネントを使用可能にし、アプリケーション・セキュリティーを Tivoli Access Manager の下でテストする方法を示しています。またこのチュートリアルは、単純な変更を役割に加えてから、その結果がアクセス検査時に認識されるかどうかをテストする方法も示します。

これらの指示は以下のことを前提にしています。


v WebSphere Application Server がインストールされており、IBM Directory LDAP

Server を使用するように構成されている。

v WebSphere のセキュリティーが使用可能になっていない。

このチュートリアルは、Tivoli Access Manager for WebSphere の初期インストールおよび構成の前後どちらでも実行できます。Tivoli Access Manager for WebSphere

をまだインストールしていない場合は、チュートリアルにそのインストール時に関する指示があります。

この手順では、Tivoli Access Manager と WebSphere Application Server がインストールおよび構成されていて、同一の IBM Directory Server ユーザー・レジストリーを使用していることを前提にしています。

Tivoli Access Manager for WebSphere のインストールと構成がまだ完了していない場合は、以下の各セクションに記載されている処理を完了させてください。

v 81ページの『パート 1: LDAP ユーザー・レジストリーへのユーザーの追加』

v 82 ページの『パート 2: Tivoli Access Manager for WebSphere のインストール』

v 82ページの『パート 3: WebSphere アプリケーションへのセキュリティーの追加』




v 85ページの『パート 6: アプリケーションのデプロイ』

v 86ページの『パート 7: デプロイ済みアプリケーションのセキュリティーのテスト』

v 87ページの『パート 8: Tivoli Access Manager へのアプリケーションのマイグレーション』


v 89ページの『パート 10: 役割の変更』


29ページの『第 3 章構成手順』の指示に従った Tivoli Access Manager for

WebSphere の初期インストールの構成がすでに完了している場合は、以下の処理のみ行ってください。

v 81ページの『パート 1: LDAP ユーザー・レジストリーへのユーザーの追加』

注: このパート 2 のステップ 2 は、実行する必要はありません。この作業は、Tivoli Access Manager for WebSphere の初期構成時に完了しています。









パート 1: LDAP ユーザー・レジストリーへのユーザーの追加Tivoli Access Manager の pdadmin ユーティリティーを使用して、前述の宣言したユーザー (user1、user2、user3) を LDAP ユーザー・レジストリーに追加してください。さらにユーザー user4 も追加します。

共通 pdadmin コマンドを使用してユーザーを追加する方法について、以下に説明します。pdadmin オプションの詳細については、「IBM Tivoli Access Manager

Base 管理者ガイド」を参照してください。

1. Tivoli Access Manager アドミニストレーターとしてログインします。

C:> pdadmin -a sec_master -p myPassword

Tivoli Access Manager セキュア・ドメインの sec_master アカウントの正しいパスワードを入力してください。

2. Tivoli Access Manager for WebSphere がすでにインストール済みで、初期構成も完了している場合は、このステップをスキップします。次のステップに進みます。

Tivoli Access Manager for WebSphere をまだインストールしていない場合は、WebSphere 管理ユーザーを作成します。以下のコマンドを 1 行の切れ目のないコマンド行として入力してください。

pdadmin> user create wsadmin cn=wsadmin,o=organization,c=country wsadmin wsadmin myPassword


3. 新しいユーザーごとにユーザー・アカウントを作成します。パスワードを割り当てます。以下の例は、サンプル・コマンドを示しています (組織は ibm、国はau、およびすべてのユーザーが受け取るパスワードは myPassword)。

pdadmin> user create user1 cn=user1,o=ibm,c=us user1user1 myPasswordpdadmin> user create user2 cn=user2,o=ibm,c=us user2user2 myPasswordpdadmin> user create user3 cn=user3,o=ibm,c=us user3user3 myPasswordpdadmin> user create user4 cn=user4,o=ibm,c=us user4user4 myPassword

4. すべてのアカウントを使用可能にします。

pdadmin> user modify wsadmin account-valid yespdadmin> user modify user1 account-valid yespdadmin> user modify user2 account-valid yespdadmin> user modify user3 account-valid yespdadmin> user modify user4 account-valid yes

第 6 章チュートリアル: セキュリティーを使用可能にする方法 81

5. pdadmin ユーティリティーを終了します。

pdadmin> quit

6. WebSphere コンソールに戻って、セキュリティーを使用可能にします。 85ページの『パート 5: WebSphere セキュリティーの使用可能化』に進みます。

パート 2: Tivoli Access Manager for WebSphere のインストール

Tivoli Access Manager for WebSphere のインストールと構成がすでに済んでいる場合は、このパートをスキップします。次のパートである 87ページの『パート 8:

Tivoli Access Manager へのアプリケーションのマイグレーション』に進みます。

この時点で、Tivoli Access Manager for WebSphere ソフトウェアのインストールと構成を行う準備ができています。

11ページの『第 2 章インストールについて』の指示に従ってください。

Tivoli Access Manager for WebSphere ファイルをインストールし終えたら、 29ページの『初期インストールの構成』で説明されている初期構成のうち、以下の例外を除いて完了します。

このチュートリアルの 81ページの『パート 1: LDAP ユーザー・レジストリーへのユーザーの追加』で、WebSphere 管理ユーザー wsadmin をすでに作成済みです。つまり、初期構成中にこの作業を行う必要はありません。したがって、 30ページの『パート 1: WebSphere Application Server 用の Tivoli Access Manager 管理ユーザーの作成』のステップ 2 はスキップします。

パート 3: WebSphere アプリケーションへのセキュリティーの追加

1. WebSphere アプリケーション・アセンブリー・ツールを開始します。「スタート」→「プログラム」→「IBM WebSphere」→「Application Server v4.0AE」→「アプリケーション・アセンブリー・ツール (Application AssemblyTool)」をクリックするか、C:¥WebSphere¥AppServer¥bin¥assembly を実行します。

「ウェルカム (Welcome)」画面で、「キャンセル」をクリックします。

2. サンプル・アプリケーション・ファイル simpleSession.ear を、抽出したディレクトリーから C:¥temp¥assembly¥simpleSession.ear にコピーします

3. WebSphere アプリケーション・アセンブリー・ツールから、サンプル・アプリケーション EAR ファイルをオープンします。「ファイル」→「開く (Open)」をクリックして、C:¥temp¥assembly¥simpleSession.ear を開きます。

4. 「セキュリティー役割 (Security Roles)」を右クリックします。「新規作成(New)」をクリックします。

5. 「一般 (General)」タブを選択します。以下を追加します。

Name: GoodGuys

6. 「バインディング (Bindings)」タブを選択します。「ユーザーの追加 (Adduser)」をクリックします。

Name: user1


「OK」をクリックします。

7. 前述のステップを繰り返して、以下のユーザーを追加します。

Name: user2Name: user3

すべてのユーザーを追加したら、「OK」をクリックします。

8. 「EJB モジュール (EJB Modules)」を展開します。「EBJ11」を展開します。「メソッド許可 (Method Permissions)」を右クリックします。「新規作成 (New)」を選択します。以下を追加します。

Name: MyMethodPermissions

a. 「メソッド (Method)」で、「追加 (Add)」をクリックします。

v 「ホーム (*) (Home (*))」を選択します。

v 「リモート (*) (Remote (*))」を選択します。


b. 「役割 (Roles)」で、「追加 (Add)」をクリックします。「GoodGuys」を選択します。「OK」をクリックします。

9. 「Web モジュール (Web Modules)」を展開します。「SimpleSessionWar」をダブルクリックします。

a. 「拡張 (Advanced)」タブをクリックします。

b. 「ログイン構成 (Login Configuration)」ボックスにチェックマークを付けます。

c. 「許可メソッド (Authorization Method)」に Basic を指定します。

d. 「レルム名 (Realm Name)」に Getting Started を指定します。


10. 「Web モジュール (Web Modules)」を展開します。「SimpleSessionWar」を展開します。「SecurityConstraints」を右クリックします。「新規作成(New)」を選択します。

a. 「セキュリティー制約名 (Security Constraint Name)」で、GoodGuys と入力します。

b. 「役割 (Roles)」で、

v 「追加 (Add)」をクリックします。

v 「GoodGuys」を選択します。

v 「OK」をクリックします。

c. 「移送の保証 (Transport Guarantee)」で、「なし (None)」を選択します。

d. 「OK」をクリックします。

11. 「Web モジュール (Web modules)」->「SimpleSessionWar」->「SecurityConstraints」->「GoodGuys」->「Web リソース・コレクション(Web Resource Collections)」を右クリックします。

a. 「新規作成 (New)」を選択します。

b. 「Web リソース名」で、SecureMe と入力します。

c. 「HTTP メソッド (HTTP Methods)」で、「追加 (Add)」をクリックします。「GET」を選択します。「OK」をクリックします。


d. 「HTTP メソッド (HTTP Methods)」で、「追加 (Add)」をクリックします。「POST」を選択します。「OK」をクリックします。

e. 「URLS (URL)」で、「追加 (Add)」をクリックします。“/SimpleSession”

と入力します。「OK」をクリックします。

f. 「OK」をクリックします。

12. 新しい EAR ファイルを保管します。「ファイル」->「別名保管 (Save As)」を選択して、以下のように入力します。

C:¥temp¥assembly¥simpleSessionSecure.ear

13. 「ファイル」->「デプロイメント用コードの生成 (Generate Code forDeployment)」を選択します。

a. 作業ディレクトリーを C:¥temp に設定します。

b. 「即時生成 (Generate Now)」をクリックします。

c. エラーを修正します。

14. アプリケーション・アセンブリー・ツールを終了します。次の、 81ページの『パート 1: LDAP ユーザー・レジストリーへのユーザーの追加』に進みます。
























パート 5: WebSphere セキュリティーの使用可能化WebSphere セキュリティーが使用可能になっていない場合は、 31ページの『WebSphere Application Server バージョン 4.0.6 におけるセキュリティーの使用可能化』に示されている手順を実行してそれを使用可能にしてください。

パート 6: アプリケーションのデプロイ1. WebSphere Administration Server が実行中かどうかを検証します。

2. WebSphere Administration Client を開始します。

C:¥websphere¥appserver¥bin¥adminclient

3. ユーザー wsadmin としてパスワード myPassword でログインします。

4. 「WebSphere 管理ドメイン (WebSphere Admin Domain)」->「エンタープライズ・アプリケーション (Enterprise Applications)」を選択します。

5. 「エンタープライズ・アプリケーションのインストール (Install EnterpriseApplication)」を右クリックして選択します。

a. 「アプリケーションのインストール (Install Application)」ボタンにチェックマークを付けます。

b. パスを設定します。

c:¥temp¥assembly¥simpleSessionSecure.ear

c. 「次へ」をクリックします。ダイアログ・ボックスが表示され、すべての無保護メソッドに対するアクセスを否認するよう促されます。「はい」をクリックします。

d. 「選択 (Select)」をクリックします。

e. すべてのユーザーがリストされているかどうかを検証します。

user1 user2 user3


g. 以後表示される一連のダイアログ・ボックスごとに、「次へ」を選択してかまいません。ダイアログ・ボックスのタイトルは以下のとおりです。

v ユーザーの役割へのマッピング (Mapping Users to Roles)

v EJB RunAs 役割のユーザーへのマッピング (Mapping EJB RunAs Role to

User)

v Enterprise Bean の JNDI 名へのバインディング (Binding Enterprise Bean

to JNDI Names)


v EJB 参照のリソースへのマッピング (Mapping EJB References to

Resources)

v EJB モジュールのデフォルト・データ・ソースの指定 (Specifying the

Default Datasources for EJB Modules)

v 個々の CMP Bean のデータ・ソースの指定 (Specifying Data Sources for

Individual CMP Beans)

v Web モジュールの仮想ホストの選択 (Selecting Virtual Hosts for Web

Modules)

v アプリケーション・サーバーの選択 (Selecting Application Server)

h. 「アプリケーション・インストール・ウィザードの完了 (Completing theApplication Installation Wizard)」ダイアログ・ボックスが表示されたら、「終了」をクリックします。

i. 「はい」をクリックして、コードを生成します。「OK」をクリックします。

j. 「OK」をクリックして、ダイアログ・ボックスを終了します。

6. デフォルトのサーバーが実行中の場合は、この時点で停止します。デフォルトのサーバーが実行中でない場合は、次のステップに進みます。

デフォルトのサーバーを停止するには、以下のようにします。

v 「WebSphere 管理ドメイン (WebSphere Admin Domain)」->「ノード(Nodes)」->「ホスト名 (hostname)」->「アプリケーション・サーバー(Application Servers)」->「デフォルト・サーバー (Default Server)」を選択します。

v デフォルトのサーバーを右クリックします。

v 「停止 (Stop)」を選択します。

v 「OK」をクリックして、ダイアログ・ボックスを終了します。

7. デフォルトのサーバーを開始します。

v 「WebSphere 管理ドメイン (WebSphere Admin Domain)」->「ノード(Nodes)」->「ホスト名 (hostname)」->「アプリケーション・サーバー(Application Servers)」->「デフォルト・サーバー (Default Server)」を選択します。

v デフォルトのサーバーを右クリックします。

v 「開始 (Start)」を選択します。

v 「OK」をクリックして、ダイアログ・ボックスを終了します。

8. WebSphere Advanced Administration Console を終了します。

9. 『パート 7: デプロイ済みアプリケーションのセキュリティーのテスト』に進みます。

パート 7: デプロイ済みアプリケーションのセキュリティーのテスト

サーブレット

1. Web ブラウザーを開始します。

2. 以下の URL にアクセスします。hostname をご使用のシステム名に置き換えます。

http://hostname:9080/gettingstarted3/SimpleSession?msg=Test


3. ユーザー名とパスワードを入力するよう促されるはずです。有効なユーザー名user1、user2、または user3 のいずれかを入力し、さらに無効なユーザー名(user4 など) を入力します。正しいパスワードを入力します。

結果ページが表示されるはずです。無効なユーザー名 user4 を入力すると、障害ページが表示されるはずです。

4. Web ブラウザーを再始動します。

5. 同じ URL にアクセスします。ユーザー名とパスワードを入力するよう促されたら、無効なユーザー名とパスワードを入力します。

障害ページが表示されるはずです。

シック・クライアント

1. launchclient プログラムを使用して、セキュア・アプリケーションを開始します。以下のコマンドを 1 行で入力してください。

C:> c:¥websphere¥appserver¥bin¥launchclientc:¥websphere¥appserver¥installedApps¥simpleSessionSecure.ear

2. ユーザー名とパスワードを要求するログイン・プロンプトを受け取るはずです。

3. 有効なユーザー名とパスワードを入力します。たとえば、user1 と入力します。

正常にログインしたことを示すテキストが表示されるはずです。


5. 前述のステップ 1 のように、launchclient プログラムを使用して、セキュア・アプリケーションを開始します。ユーザー名とパスワードを入力するよう促されたら、無効なユーザー名とパスワードを入力します。

ログインに失敗したことを示すテキストが表示されるはずです。

6. 次に進みます。

パート 8: Tivoli Access Manager へのアプリケーションのマイグレーション

以下の指示は、 29ページの『初期インストールの構成』で説明されている、Tivoli

Access Manager for WebSphere の初期のインストールと構成を完了していることを前提にしています。初期のインストールと構成には、admin.ear ファイルのマイグレーションも含まれています。

注: Tivoli Access Manager for WebSphere の初期のインストールと構成を完了していない場合は、この時点で完了してください。 29ページの『初期インストールの構成』中の指示を参照してください。


v マイグレーションする EAR ファイルの名前。


v PDPerm.properties ファイルのロケーション。このファイルは、WebSphere






– AIX


– Windows






wsadmin










v (UNIX) /opt/pdwas/bin

v (Windows) C:¥Program Files¥Tivoli¥pdwas¥bin




表 8. マイグレーション・ユーティリティーのコマンド行の呼び出し

UNIX

migrateEAR4 -j /temp/assembly/simpleSessionSecure.ear-a sec_master -p sec_master_password-w wsadmin -d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties



Windows

migrateEAR4 -j C:¥temp¥assembly¥simpleSessionSecure.ear-a sec_master -p sec_master_password-w wsadmin -d "o=ibm,c=us"-c file:/c:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties

マイグレーション・ユーティリティーは、出力をログ・ファイルに記録します。ログ・ファイルの名前が表示されます。たとえば、pdwas_migrate.log のようにです。ログ・ファイルの内容を調べて、すべての役割がマイグレーションされたことを確認できます。

ログ・ファイルが表示されない場合は、マイグレーション・ユーティリティーに問題が生じています。これが生じた場合、正しい Uniform Resource Indicator を-c オプションに指定したこと、および正しいファイル名を -j オプションに指定したことを確認してください。

4. スクリプトが完成したら、次の『パート 9: デプロイ済みアプリケーションのセキュリティーのテスト』に進みます。


1. アプリケーションのセキュリティーが現在作動中かどうかを検証します。 86ページの『パート 7: デプロイ済みアプリケーションのセキュリティーのテスト』の、サーブレットのステップとシック・クライアントのステップを両方とも繰り返します。

2. セキュリティーを検証し終えたら、『パート 10: 役割の変更』に進みます。

パート 10: 役割の変更Tivoli Access Manager の pdadmin ユーティリティーを使用し、ユーザーを追加して役割定義を変更します。

1. pdadmin を開始します。

pdadmin -a sec_master -p myPassword

2. SimpleSession アプリケーションの ACL に変更を加えて、user4 の名前を追加します。以下の acl modify コマンドを、 1 行の切れ目のないコマンド行として入力します。

pdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_SimpleSessApp_ACLset user user4 T[WebAppServer]i

3. サーバーに複製して、ユーティリティーを終了します。


pdadmin> server replicatepdadmin> quit




有効なユーザーの名前を入力する場合は、user1、user2、または user4 のいずれかを入力できます。

2. user4 がログインできるかどうかを検証します。

これでチュートリアルは完了しました。

チュートリアル : Tivoli Access Manager for WebSphere ApplicationServer バージョン 5.0.2 の場合

チュートリアルの使用法このチュートリアルは、セキュリティーをアプリケーション EAR ファイルに追加し、ユーザーを LDAP ユーザー・レジストリーに追加し、WebSphere セキュリティーを使用可能にし、サンプル・アプリケーションをデプロイおよびテストし、アプリケーションを Tivoli Access Manager にマイグレーションし、Tivoli Access

Manager for WebSphere 許可コンポーネントを使用可能にし、アプリケーション・セキュリティーを Tivoli Access Manager の下でテストする方法を示しています。またこのチュートリアルは、単純な変更を役割に加えてから、その結果がアクセス検査時に認識されるかどうかをテストする方法も示します。

これらの指示は以下のことを前提にしています。

v WebSphere Application Server がインストールされており、IBM Directory Server

を使用するように構成されている。

v WebSphere のセキュリティーが使用可能になっていない。

このチュートリアルは、Tivoli Access Manager for WebSphere の初期インストールおよび構成の前後どちらでも実行できます。Tivoli Access Manager for WebSphere

をまだインストールしていない場合は、チュートリアルにそのインストール時に関する指示があります。

この手順では、Tivoli Access Manager と WebSphere Application Server がインストールおよび構成されていて、同一の IBM Directory Server ユーザー・レジストリーを使用していることを前提にしています。

Tivoli Access Manager for WebSphere のインストールと構成がまだ完了していない場合は、以下の各セクションに記載されている処理を完了させてください。


v 『パート 1: LDAP ユーザー・レジストリーへのユーザーの追加』

v 92 ページの『パート 2: Tivoli Access Manager for WebSphere のインストール』











29ページの『第 3 章構成手順』の指示に従った Tivoli Access Manager for

WebSphere の初期インストールの構成がすでに完了している場合は、以下の処理のみ行ってください。

v 『パート 1: LDAP ユーザー・レジストリーへのユーザーの追加』


注: このパートのステップ 3 は、実行する必要はありません。この作業は、Tivoli Access Manager for WebSphere の初期構成時に完了しています。







パート 1: LDAP ユーザー・レジストリーへのユーザーの追加Tivoli Access Manager の pdadmin ユーティリティーを使用して、前述の宣言したユーザー (user1、user2、user3) を LDAP ユーザー・レジストリーに追加してください。さらにユーザー user4 も追加します。


共通 pdadmin コマンドを使用してユーザーを追加する方法について、以下に説明します。pdadmin オプションの詳細については、「IBM Tivoli Access Manager

Base 管理者ガイド」を参照してください。

1. Tivoli Access Manager アドミニストレーターとしてログインします。

C:> pdadmin -a sec_master -p myPassword

Tivoli Access Manager セキュア・ドメインの sec_master アカウントの正しいパスワードを入力してください。

2. Tivoli Access Manager for WebSphere がすでにインストール済みで、初期構成も完了している場合は、このステップをスキップします。次のステップに進みます。

Tivoli Access Manager for WebSphere をまだインストールしていない場合は、WebSphere 管理ユーザーを作成します。以下のコマンドを 1 行の切れ目のないコマンド行として入力してください。

pdadmin> user create wsadmin cn=wsadmin,o=organization,c=country wsadmin wsadmin myPassword


3. 新しいユーザーごとにユーザー・アカウントを作成します。パスワードを割り当てます。以下の例は、サンプル・コマンドを示しています (組織は ibm、国はau、およびすべてのユーザーが受け取るパスワードは myPassword)。

pdadmin> user create user1 cn=user1,o=ibm,c=us user1user1 myPasswordpdadmin> user create user2 cn=user2,o=ibm,c=us user2user2 myPasswordpdadmin> user create user3 cn=user3,o=ibm,c=us user3user3 myPasswordpdadmin> user create user4 cn=user4,o=ibm,c=us user4user4 myPassword

4. すべてのアカウントを使用可能にします。

pdadmin> user modify wsadmin account-valid yespdadmin> user modify user1 account-valid yespdadmin> user modify user2 account-valid yespdadmin> user modify user3 account-valid yespdadmin> user modify user4 account-valid yes

5. pdadmin ユーティリティーを終了します。

pdadmin> quit

6. WebSphere コンソールに戻って、セキュリティーを使用可能にします。 96ページの『パート 5: WebSphere セキュリティーの使用可能化』に進みます。

パート 2: Tivoli Access Manager for WebSphere のインストール

Tivoli Access Manager for WebSphere のインストールと構成がすでに済んでいる場合は、このパートをスキップします。次のパートである 98ページの『パート 8:

Tivoli Access Manager へのアプリケーションのマイグレーション』に進みます。

この時点で、Tivoli Access Manager for WebSphere ソフトウェアのインストールと構成を行う準備ができています。


11ページの『第 2 章インストールについて』の指示に従ってください。

Tivoli Access Manager for WebSphere ファイルをインストールし終えたら、 29ページの『初期インストールの構成』で説明されている初期構成のうち、以下の例外を除いて完了します。

このチュートリアルの 91ページの『パート 1: LDAP ユーザー・レジストリーへのユーザーの追加』で、WebSphere 管理ユーザー wsadmin をすでに作成済みです。つまり、初期構成中にこの作業を行う必要はありません。したがって、 30ページの『パート 1: WebSphere Application Server 用の Tivoli Access Manager 管理ユーザーの作成』のステップ 2 はスキップします。

パート 3: WebSphere アプリケーションへのセキュリティーの追加

1. サンプル・アプリケーション・ファイル simpleSession.ear を%PDWAS_HOME%¥example ディレクトリー (それの抽出場所) からC:¥temp¥assembly¥simpleSession.ear にコピーします

2. WebSphere アプリケーション・アセンブリー・ツールを開始します。「スタート」->「プログラム」->「IBM WebSphere」->「Application Serverv5.0」->「アプリケーション・アセンブリー・ツール (Application AssemblyTool)」をクリックするか、C:¥WebSphere¥AppServer¥bin¥assembly を実行します。

「ウェルカム (Welcome)」画面で、「キャンセル」をクリックします。

3. WebSphere アプリケーション・アセンブリー・ツールから、サンプル・アプリケーション EAR ファイルをオープンします。「ファイル」->「開く (Open)」をクリックして、C:¥temp¥assembly¥simpleSession.ear を開きます。

4. 「EJB モジュール (EJB Modules)」を展開します。「EBJ11」を展開します。「セキュリティー役割 (Security Roles)」を右クリックします。「新規作成 (New)」をクリックします。以下を追加します。

Name: GoodGuys


5. 「Web モジュール (Web Modules)」を展開します。「SimpleSessionWar」を展開します。「セキュリティー役割 (Security Roles)」を右クリックします。「新規作成 (New)」をクリックします。以下を追加します。

Name: GoodGuys


6. トップレベルから「セキュリティー役割 (Security Roles)」を右クリックします。「バインディング (Bindings)」タブを選択します。「ユーザー」セクションから「追加」をクリックします。user1 と入力します。


7. 前述のステップを繰り返して、以下のユーザーを追加します。

Name: user2Name: user3

すべてのユーザーを追加したら、「適用」をクリックします。


8. 「EJB モジュール (EJB Modules)」を展開します。「EBJ11」を展開します。「メソッド許可 (Method Permissions)」を右クリックします。「新規作成 (New)」を選択します。「追加」ボタンをクリックし、「メソッド許可名:(Method Permission_Name:)」フィールドに入力します。

Name: ’MyMethodPermissions’

a. 「メソッド (Method)」セクションから「追加」をクリックします。SimplesessionEJBI0.jar を展開し、次に、com_ibm_websphere_gettingstarted_ejbs_SimpleSession_(*) を展開します。「すべてのメソッド (All Methods)」を選択します。「OK」をクリックします。

b. 「役割 (Roles)」セクションから「追加」をクリックします。「GoodGuys」を選択します。「OK」をクリックします。

c. 「OK」をクリックします。

9. 「Web モジュール (Web Modules)」を展開します。「SimpleSessionWar」をダブルクリックします。

a. 「拡張 (Advanced)」タブをクリックします。

b. 「ログイン構成 (Login Configuration)」ボックスにチェックマークを付けます。

c. 「許可メソッド (Authorization Method)」に Basic を指定します。

d. 「レルム名 (Realm Name)」に Getting Started を指定します。


10. 「Web モジュール (Web Modules)」を展開します。「SimpleSessionWar」を展開します。「SecurityConstraints」を右クリックします。「はい」をクリックします (これはステップ 9 の確認です)。

11. 「Web モジュール (Web Modules)」を再度展開します。「SimpleSessionWar」を展開します。「SecurityConstraints」を右クリックします。「はい」をクリックします。「新規作成 (New)」を選択します。

a. 「セキュリティー制約名 (Security Constraint Name)」で、GoodGuys と入力します。

b. 「役割 (Roles)」で、

v 「追加 (Add)」をクリックします。

v 「GoodGuys」を選択します。

c. 「移送の保証 (Transport Guarantee)」で、「なし (None)」を選択します。

d. 「OK」をクリックします。

12. 「Web モジュール (Web modules)」->「SimpleSessionWar」->「SecurityConstraints」->「GoodGuys」->「Web リソース・コレクション(Web Resource Collections)」を右クリックします。

a. 右マウス・ボタンでクリックし、「新規作成 (New)」を選択します。

b. 「Web リソース名」で、SecureMe と入力します。

c. 「HTTP メソッド (HTTP Methods)」で、「追加 (Add)」をクリックします。「GET」を選択します。「OK」をクリックします。


d. 「HTTP メソッド (HTTP Methods)」で、「追加 (Add)」をクリックします。「POST」を選択します。「OK」をクリックします。

e. 「URLS (URL)」で、「追加 (Add)」をクリックします。“/SimpleSession”

と入力します。「OK」をクリックします。


13. 新しい EAR ファイルを保管します。「ファイル」->「別名保管 (Save As)」を選択して、以下のように入力します。

C:¥temp¥assembly¥simpleSessionSecure.ear

14. 「ファイル」->「デプロイメント用コードの生成 (Generate Code forDeployment)」を選択します。

a. 作業ディレクトリーを C:¥temp に設定します。

b. 「ここで生成する (Generate Now)」ボタンをクリックします。

c. エラーを修正します。

d. 「クローズ」ボタンをクリックします。

15. アプリケーション・アセンブリー・ツールを終了します。次の、 81ページの『パート 1: LDAP ユーザー・レジストリーへのユーザーの追加』に進みます。
























パート 5: WebSphere セキュリティーの使用可能化WebSphere セキュリティーが使用可能になっていない場合は、 32ページの『WebSphere Application Server バージョン 5.0.2 におけるセキュリティーの使用可能化』に示されている手順を実行してそれを使用可能にしてください。

パート 6: アプリケーションのデプロイ1. WebSphere Administration Server が稼動中であることを確認します。

2. 管理コンソールを開きます: http://localhost:9090/admin。

注: LTPA セキュリティーを使用可能にすると、FQDN を使用する必要があります。

http://hostname.domain.com:9090/admin

3. wsadmin としてログオンします。

4. 「エンタープライズ・アプリケーション」を選択し、次に、「新規アプリケーションのインストール (Install New Application)」を選択します。

5. 「ブラウズ」をクリックしてアプリケーション、つまりC:¥temp¥assembly¥simpleSessionSecure.ear を見つけます。「開く (Open)」をクリックします。

6. 表示された一連の画面で「次へ」を選択します。これらの画面のタイトルは以下のとおりです。

v アプリケーション・インストールの準備 (Preparing for the application

installation)

v ステップ 1: インストールを実行するためのオプションの提供 (Step One:

Provide options to perform the installation)

v ステップ 2: EJB デプロイを実行するためのオプションの提供 (Step Two:

Provide options to perform the EJB Deploy)

v ステップ 3: Bean の JNDI 名の提供 (Step Three: Provide JNDI Names for

Beans)

v ステップ 4: Bean への EJB 参照のマップ (Step Four: Map EJB references to

beans)

v ステップ 5: Web モジュールの仮想ホストのマップ (Step Five: Map virtual

hosts for web modules)


v ステップ 6: アプリケーション・サーバーへのモジュールのマップ (Step Six:

Map modules to application servers)

v ステップ 7: ユーザー/グループへのセキュリティー役割のマップ (Step

Seven: Map security roles to users/groups)

v ステップ 8: システム ID の正しい使用 (Step Eight: Correct use of System

Identity)

v ステップ 9: 要約 (Step Nine: Summary)

「終了 (Finish)」をクリックして、アプリケーションのインストールを開始します。

7. 「マスター構成への保管 (Save to Master Configuration)」リンクをクリックします。

8. 「保管 (Save)」ボタンをクリックして「マスター構成への保管 (Save toMaster Configuration)」を確認します。

9. 「エンタープライズ・アプリケーション (Enterprise Applications)」を選択し、「SimpleSessionApp」を見つけ、チェック・ボックスにチェック・マークを付け、「開始 (Start)」ボタンを選択して、アプリケーションを開始します。

10. 「開始 (Start)」をクリックします。


サーブレット

1. Web ブラウザーを開始します。

2. 以下の URL にアクセスします。hostname をご使用のシステム名に置き換えます。

http://hostname:9080/gettingstarted3/SimpleSession?msg=Test

3. ユーザー名とパスワードを入力するよう促されるはずです。有効なユーザー名user1、user2、または user3 のいずれかを入力し、さらに ACL への許可を持たない 1 つの有効なユーザー名 (user4 など) を入力します。正しいパスワードを入力します。

テキスト「テスト」が含まれている結果ページが表示されるはずです。無効なユーザー名 user4 を入力すると、Unauthorized (403 Forbidden) ページが表示されるはずです。


5. 同じ URL にアクセスします。プロンプトで、存在しないユーザー名とパスワードを入力します。

ログインを要求するプロンプトが再度出されるはずです。

シック・クライアント

1. launchclient プログラムを使用して、セキュア・アプリケーションを開始します。以下のコマンドを 1 行で入力してください。


C:> c:¥program files¥websphere¥appserver¥bin¥launchclient"c:¥program files¥websphere¥appserver¥installedApps¥<nodename>¥simpleSessionSecure.ear"

2. ユーザー名とパスワードを要求するログイン・プロンプトを受け取るはずです。

3. 有効なユーザー名とパスワードを入力します。たとえば、user1 と入力します。

正常にログインしたことを示すテキストが表示されるはずです。


5. 前述のステップ 1 のように、launchclient プログラムを使用して、セキュア・アプリケーションを開始します。ユーザー名とパスワードを入力するよう促されたら、無効なユーザー名とパスワードを入力します。

ログインに失敗したことを示すテキストが表示されるはずです。

6. 次に進みます。

パート 8: Tivoli Access Manager へのアプリケーションのマイグレーション

以下の指示は、 29ページの『初期インストールの構成』で説明されている、Tivoli

Access Manager for WebSphere の初期のインストールと構成を完了していることを前提にしています。初期のインストールと構成には、adminconsole.ear ファイルのマイグレーションも含まれています。

注: Tivoli Access Manager for WebSphere の初期のインストールと構成を完了していない場合は、この時点で完了してください。 29ページの『初期インストールの構成』中の指示を参照してください。


v マイグレーションする EAR ファイルの名前。







– AIX


– Windows







wsadmin














表 9. マイグレーション・ユーティリティーのコマンド行の呼び出し

UNIX

migrateEAR5 -j /temp/assembly/simpleSessionSecure.ear-a sec_master -p sec_master_password-w wsadmin -d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties



Windows

migrateEAR5.bat -j C:¥temp¥assembly¥simpleSessionSecure.ear-a sec_master -p sec_master_password-w wsadmin -d "o=ibm,c=us"-c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"


マイグレーション・ユーティリティーは、出力をログ・ファイルに記録します。ログ・ファイルの名前が表示されます。たとえば、pdwas_migrate.log のようにです。ログ・ファイルの内容を調べて、すべての役割がマイグレーションされたことを確認できます。

ログ・ファイルが表示されない場合は、マイグレーション・ユーティリティーに問題が生じています。これが生じた場合、正しい Uniform Resource Indicator を-c オプションに指定したこと、および正しいファイル名を -j オプションに指定したことを確認してください。

4. スクリプトが完成したら、次の『パート 9: デプロイ済みアプリケーションのセキュリティーのテスト』に進みます。



2. セキュリティーを検証し終えたら、『パート 10: 役割の変更』に進みます。

パート 10: 役割の変更Tivoli Access Manager の pdadmin ユーティリティーを使用し、ユーザーを追加して役割定義を変更します。

1. pdadmin を開始します。

pdadmin -a sec_master -p myPassword

2. SimpleSession アプリケーションの ACL に変更を加えて、user4 の名前を追加します。以下の acl modify コマンドを、 1 行の切れ目のないコマンド行として入力します。

pdadmin> acl modify _WebAppServer_deployedResources_GoodGuys_SimpleSessApp_ACLset user user4 T[WebAppServer]i

3. サーバーに複製して、ユーティリティーを終了します。

pdadmin> server replicatepdadmin> quit




有効なユーザーの名前を入力する場合は、user1、user2、または user4 のいずれかを入力できます。


2. このページに user4 としてアクセスできない場合は、キャッシュがタイムアウトになるまで待つか、または WebSphere Application Server を再始動してください。

これでチュートリアルは完了しました。


第 7 章除去に関する指示

Tivoli Access Manager for WebSphere を除去するには、必要な構成ファイルに変更を加えて、許可コンポーネントを除去します。

まず、次のようにして、Tivoli Access Manager for WebSphere 許可コンポーネントを構成解除します。

1. 次のようにログインします。

v (UNIX) root として

v (Windows) 管理者特権のある Windows ユーザーとして


3. 実行している WebSphere Application Server のバージョンに応じて、-actionunconfigWAS4 または unconfigWAS5 パラメーターを使用して pdwascfgユーティリティーを実行して、Tivoli Access Manager for WebSphere 許可コンポーネントを構成解除します。

# pdwascfg -action unconfigversion_number-remote_acl_user user_CN-sec_master_pwd password-was_home home_directory_of_WebSphere_Application_Server-pdmgrd_host policy_server_host_name-pdacld_host authorization_server_host_hame

コマンド行オプションの詳細については、 107ページの『付録 A. コマンド・リファレンス』のコマンド参照ページを参照してください。

除去を完了するには、ご使用のオペレーティング・システムの該当セクションに進んでください。

v 『Solaris からの除去』

v 104ページの『Windows からの除去』

v 104ページの『AIX からの除去』

v 105ページの『HP-UX からの除去』

v 105ページの『Linux からの除去』

Solaris からの除去以下の指示を完了してください。

1. Tivoli Access Manager for WebSphere を除去するには、以下のコマンドを入力します。

# pkgrm PDWAS

選択したパッケージの除去を確認するプロンプトが表示されます。

2. 文字 y を入力します。

ファイルが除去されるたびに状況メッセージがリストされます。除去後処理スクリプトの実行後に、ソフトウェア・パッケージの除去が正常に実行されたことを示す状況メッセージが表示されます。pkgrm ユーティリティーが終了します。


3. この時点でサポート Tivoli Access Manager コンポーネントを除去したい場合は、オペレーティング・システム除去ユーティリティーを使用して、Tivoli

Access Manager 許可サーバー (インストールされている場合)、Access Manager

Base Runtime Environment、および Access Manager Java Runtime Environment

を除去してください。

除去方法の詳細については、「IBM Tivoli Access Manager Base インストール・ガイド」を参照してください。

Tivoli Access Manager for WebSphere パッケージの除去が完了しました。

Windows からの除去以下の指示を完了してください。

1. WebSphere Application Server を停止して、再始動します。「アプリケーションの追加と削除」アイコンをクリックします。

2. 「Access Manager for WebSphere」を選択します。

3. 「変更/削除」をクリックします。

「セットアップ言語の選択 (Choose Setup Language)」ダイアログ・ボックスが表示されます。

4. 言語を選択して、「OK」を選択します。

5. 「除去」ラジオ・ボタンを選択します。「次へ」をクリックします。

「ファイル削除の確認 (Confirm File Deletion)」ダイアログ・ボックスが表示されます。

6. 「OK」をクリックします。

Tivoli Access Manager for WebSphere ファイルが除去されます。

「保守の完了 (Maintenance Complete)」ダイアログ・ボックスが表示されます。

7. 「終了」をクリックします。






Tivoli Access Manager for WebSphere の除去が完了しました。

AIX からの除去installp ユーティリティーを使用して、Tivoli Access Manager for WebSphere

Application Server AIX パッケージを除去します。

この時点でサポート Tivoli Access Manager コンポーネントを除去したい場合は、オペレーティング・システム除去ユーティリティーを使用して、Tivoli Access

Manager 許可サーバー (インストールされている場合)、Access Manager Base


Runtime Environment、および Access Manager Java Runtime Environment を除去してください。除去方法の詳細については、「IBM Tivoli Access Manager Base インストール・ガイド」を参照してください。

HP-UX からの除去以下の指示を完了してください。


# swremove PDWAS

一連の状況メッセージが表示されます。分析段階が正常に終了したことを示す状況メッセージが表示されます。swremove ユーティリティーにより、Tivoli

Access Manager for WebSphere ファイルがハード・ディスクから除去されます。

除去が完了すると、swremove ユーティリティーは終了します。






これで HP-UX 上での Tivoli Access Manager for WebSphere の除去が完了しました。

Linux からの除去以下の指示を完了してください。


# rpm -e PDWAS-PD

ファイルが除去されます。rpm ユーティリティーが終了します。






Tivoli Access Manager for WebSphere パッケージの除去が完了しました。

第 7 章除去に関する指示 105

付録 A. コマンド・リファレンス


pdwascfgTivoli Access Manager for WebSphere Application Server を構成または構成解除します。

構文pdwascfg -action {configWAS4|configWAS5} -remote_acl_user user

-sec_master_pwd password -was_home was_home_dir -pdmgrd_hostpolicy_server_hostname -pdacld_host authorization_server_hostname[-amwas_homeamwas_install_path] [-pdmgrd_port policy_server_port] [-pdacld_portauthorization_server_port] [-embedded {true|false}] [-action_type{all|local|remote}] [-am_domain was_domain] [-cfg_url pdjrte_config_file_URL][-key_url pdjrte_keystore_URL ] [-verbose {true|false}]

pdwascfg -action {unconfigWAS4|unconfigWAS5} -remote_acl_user user

-sec_master_pwd password -was_home was_install path -pdmgrd_hostpolicy_server_hostname -pdacld_host authorization_server_hostname

pdwascfg -help [ options]

パラメーター-action {configWAS4|configWAS5}このコマンドが実行するアクションを指定します。Tivoli Access Manager for

WebSphere Application Server を構成します。

-action {unconfigWAS4|unconfigWAS5}このコマンドが実行するアクションを指定します。Tivoli Access Manager for

WebSphere Application Server を構成解除します。

-action_type {all|local|remote}必要な構成レベルを指定します。可能な値: all、local、または remote です。local オプションは、ローカル・マシンに必要な構成変更のみを実行します (つまり、SvrSslCfg ではない)。remote オプションは、リモート・マシンに必要な構成変更のみを実行します (つまり、SvrSslCfg)。このコマンドのデフォルトはall です。

-am_domain was_domain

Tivoli Access Manager for WebSphere 用の Tivoli Access Manager ドメインを指定します。 Tivoli Access Manager 認証サーバー (pdacld) はドメインに入っている必要があり、ドメインは Tivoli Access Manager 保護オブジェクト・スペースに存在している必要があります。

-amwas_home amwas_install_path

Tivoli Access Manager for WebSphere がデフォルト・ロケーションにインストールされていない場合に、Tivoli Access Manager for WebSphere インストールのロケーションを指定します。このパラメーターは、-action{configWAS4|configWAS5} または -action {unconfigWAS4|unconfigWAS5}オプションと一緒に使用します。


注: Tivoli Access Manager for WebSphere がデフォルト・ロケーションにインストールされていれば、-amwas_home オプションを pdwascfg コマンドの一部として指定する必要はありません。

-cfg_url pdjrte_config_file_url

PDJrte プロパティー・ファイルのロケーションを指定します。 -action_typeremote または -action_type all も指定されている場合は、このファイルは構成時に作成され、構成解除時に除去されます。

-embedded {true|false}true に設定されていると、この製品が WebSphere にパッケージされていることを指定します。デフォルト値は false です。

-help [options]コマンド・オプション名と簡単な説明がリストされます。1 つ以上のオプションを指定すると、各オプションと簡単な説明がリストされます。

-key_url pdjrte_keystore_url

PDJrte 鍵ストアファイルのロケーションを指定します。 -action_type remoteまたは -action_type all も指定されている場合は、このファイルは構成時に作成され、構成解除時に除去されます。

-pdacld_host authorization_server_hostname

Tivoli Access Manager Authorization server のホスト名が含まれています。このパラメーターは、-action {configWAS4|configWAS5} または -action{unconfigWAS4|unconfigWAS5} オプションと一緒に使用します。

-pdacld_port authorization_server_port

Tivoli Access Manager Authorization server のポート番号が標準ポートと異なって構成されている場合にのみ、これを指定します。このパラメーターは、-action {configWAS4|configWAS5} または -action{unconfigWAS4|unconfigWAS5} オプションと一緒に使用します。このオプションを使用する場合、pdmgrd_port が指定されていなければならないことに注意してください。

-pdmgrd_host policy_server_hostname

Tivoli Access Manager ポリシー・サーバーのホスト名が含まれています。このパラメーターは、-action {configWAS4|configWAS5} または -action{unconfigWAS4|unconfigWAS5} オプションと一緒に使用します。

-pdmgrd_port policy_server_port

Tivoli Access Manager ポリシー・サーバーのポート番号が標準ポートと異なって構成されている場合にのみ、これを指定します。このパラメーターは、-action {configWAS4|configWAS5} または -action{unconfigWAS4|unconfigWAS5} オプションと一緒に使用します。

-remote_acl_user user

リモート ACL ユーザーのユーザー名を指定します。このパラメーターは、Tivoli Access Manager Authorization server との SSL 接続に使用されます。ユーザーがレジストリーに入っていてはなりません。このパラメーターは、-action {configWAS4|configWAS5} または -action{unconfigWAS4|unconfigWAS5} オプションと一緒に使用します。

例: -remote_acl_user pdpermadmin

付録 A. コマンド・リファレンス 109

-sec_master_pwd password

管理ユーザーのパスワードを指定します (通常は、sec_master)。このパラメーターは、-action {configWAS4|configWAS5} または -action{unconfigWAS4|unconfigWAS5} オプションと一緒に使用します。

-verbose {true|false}true に設定されている場合は、冗長出力が使用可能になり、それ以外の場合は、冗長出力が使用不可になります。デフォルト値は false です。

-was_home was_home_dir

WebSphere Application Server インストールのホーム・ディレクトリーへの完全修飾パスを指定します。このパラメーターは、-action{configWAS4|configWAS5} または -action {unconfigWAS4|unconfigWAS5}オプションと一緒に使用します。

たとえば、c:¥WebSphere¥AppServer

コメントpdwascfg ユーティリティーは、UNIX ではシェル・スクリプトとして、Windows

システムではバッチ・ファイルとしてインプリメントされます。アクション config

を指定して呼び出すと、ユーティリティーは、以下のタスクを実行します。

v Tivoli Access Manager for WebSphere を使用するように WebSphere を構成する。

v Tivoli Access Manager for WebSphere 許可コンポーネントと、ポリシー・サーバーおよび Authorization server の両方との間で SSL 通信を構成するために、Java

クラス com.tivoli.mts.SvrSslCfg を呼び出す。

v ホスト・システム上の Tivoli Access Manager for WebSphere クラス用のユーザーID を作成する。

スクリプトは、前提条件ソフトウェアのロケーションについては、正しい環境変数の検出に依存します。環境変数 %WAS_HOME% を WebSphere Application Server

インストール・ディレクトリーに設定します。 %PDWAS_HOME% を Tivoli Access

Manager for WebSphere インストール・ディレクトリーのディレクトリー・ロケーションに設定します。 pdwascfg コマンド・ファイルは、以下のオプションを使用して Java を呼び出します。

v -Dpdwas.lang.home

Tivoli Access Manager for WebSphere で提供されるネイティブ言語サポート・ライブラリーが入っているディレクトリー。これらのライブラリーは、Tivoli

Access Manager for WebSphere インストール・ディレクトリーの下のサブディレクトリーにあります。例:

-Dpdwas.lang.home=%PDWAS_HOME%¥java¥nls

v -Dpdwas.home

Tivoli Access Manager for WebSphere のホーム (インストール) ディレクトリーです。例:

-Dpdwas.home=%PDWAS_HOME%

注: この環境変数は、Tivoli Access Manager for WebSphere のインストール後に新規コマンド・ウィンドウが開かれた場合にのみ設定されます。


v -Dwas.home

WebSphere Application Server のホーム (インストール) ディレクトリーです。例:

-Dwas.home=%WAS_HOME%

pdwascfg によって構築されるサンプル Java コマンドは、次のとおりです。

java -Dpdwas.lang.home=%PDWAS_HOME%¥java¥nls-Dpdwas.home=%PDWAS_HOME%-Dwas.home=%WAS_HOME%PDWAScfg -action configWAS5-remote_acl_user pdpermadmin-sec_master_pwd myPassword-was_home c:¥WebSphere¥AppServer-pdmgrd_host pdmgrserver.mysubnet.ibm.com-pdacld_host pdacldserver.mysubnet.ibm.com

アベイラビリティーこのコマンドは、次のデフォルト・インストール・ディレクトリーに置かれています。

v UNIX システム:

/opt/amwas/sbin/

v Windows システムの場合:

C:¥Program Files¥Tivoli¥amwas¥sbin¥

デフォルト以外のインストール・ディレクトリーを選択した場合は、このユーティリティーは、インストール・ディレクトリーの下の sbin ディレクトリーに入っています (たとえば、install_dir¥sbin¥)。

戻りコード次の終了状況コードが戻されることがあります。

0 コマンドが正常に完了しました。

1 コマンドが失敗しました。

コマンドが失敗した場合は、エラー・メッセージが表示されます。問題の詳細説明については、「IBM Tivoli Access Manager エラー・メッセージ・リファレンス」を参照してください。


migrateEAR4セキュリティー・ポリシー情報をデプロイメント記述子 (エンタープライズ・アーカイブ・ファイル) から Tivoli Access Manager for WebSphere Application Server

バージョン 4.0.6 にマイグレーションします。

構文migrateEAR4 -j absolute_pathname_to_application_EAR_file -c URI -a admin_ID -padmin_pwd -w Websphere_admin_ID -d user_registry_domain_suffix [-rroot_objectspace_name] [-t ssl_timeout] [-e enterprise_application_name]

パラメーター-a admin_ID

Tivoli Access Manager 管理ユーザーを指定します。このアドミニストレーターは、ユーザー、オブジェクト、および ACL を作成するために必要な特権を持っていなければなりません。たとえば、-a sec_master と指定します。

このパラメーターはオプションです。このパラメーターを指定しないと、ユーザーは実行時に管理ユーザー名を入力するよう促されます。

-c URI

pdwascfg ユーティリティーによって構成された PdPerm.properties ファイルの Uniform Resource Indicator (URI) ロケーションを指定します。 WebSphere

Application Server がデフォルト・ロケーションにインストールされている場合は、URI は次のとおりです。



v AIX


v Windows

– WebSphere Application Server 4:




-d user_registry_domain_suffix

ユーザー・レジストリーが使用するドメイン・サフィックスを指定します。たとえば、LDAP ユーザー・レジストリーの場合、これは以下の例のようなドメイン接尾部になります。

"o=ibm,c=us"

注: Windows では、ドメイン・サフィックスを引用符で囲む必要があります。

-e enterprise_application_name

インストールされた名前と異なる表示名を持つインストール済みアプリケーションが正しくマイグレーションされるように、アプリケーション名を指定します。このオプションを指定しないと、ユーティリティーは、.ear ファイルまたは.xml ファイルを使用してアプリケーション名を見つけ出そうとします。


アプリケーション名は、アプリケーションのデプロイメントで変更することもできるし、後で WebSphere コンソールから変更することもできます。この変更内容は EAR ファイルに反映されません。EAR ファイルに変更を加えて新しい名前を反映させないと、誤った保護オブジェクトが作成されます。アプリケーションが WebSphere Application Server コンソールに表示されているときに、-e オプションを使用してそのアプリケーションの名前を指定します。

-j absolute_pathname_to_application_EAR_file

Java 2 Enterprise Edition アプリケーション・アーカイブ・ファイルを指定します。オプションで、このオプションを EAR ディレクトリーにすることもできます。

たとえば、-j /tmp/test_application.EAR と指定します。

-p admin_pwd

Tivoli Access Manager 管理ユーザーのパスワードを指定します。管理ユーザーは、ユーザー、オブジェクト、および ACL を作成するために必要な特権を持っていなければなりません。たとえば、-a sec_master 管理ユーザーのパスワードを -p myPassword として指定できます。

このパラメーターはオプションです。このパラメーターを指定しないと、ユーザーは管理ユーザー名のパスワードを入力するよう促されます。

-r root_objectspace_name

ルート・オブジェクト・スペース名を指定します。これは、WebSphere

Application Server 用に作成される保護オブジェクト・ネーム・スペース階層のルートの名前です。このパラメーターはオプションです。ルート・オブジェクト・スペースのデフォルト値は、WebAppServer です。

デフォルト以外の名前を使用する場合は、PDWAS.properties ファイルを変更して正しいオブジェクト・スペースにアクセスする必要があります。

アクション・グループ名は、ルート・オブジェクト・スペース名と一致しています。したがって、ルート・オブジェクト・スペース名を指定する際に、アクション・グループ名は自動的に設定されます。

-t ssl_timeout

SSL タイムアウトの分数を指定します。このパラメーターは、デフォルトの接続タイムアウトの前に、Tivoli Access Manager Authorization server とポリシー・サーバー間の SSL コンテキストの切断と再接続を行うのに使用します。

デフォルトは 60 分です。最小値は 10 分です。最大値は、Tivoli Access

Manager の ssl-v3-timeout 値以下でなければなりません。ssl-v3-timeout のデフォルト値は 120 分です。

このパラメーターはオプションです。この値の管理に精通していない場合は、デフォルト値を使用すると安全です。

-w WebSphere_admin_ID

WebSphere Application Server セキュリティー・ユーザー・レジストリー・フィールドでアドミニストレーターとして構成されている管理ユーザー名を指定します。Tivoli Access Manager オブジェクト・スペースの作成や更新の際には、このユーザーとしてアクセスする必要があります。


WebSphere 管理ユーザーがまだ保護オブジェクト・スペースに存在していない場合は、作成されるかインポートされます。この場合、このユーザーのランダム・パスワードが生成され、アカウントは無効に設定されます。このパスワードを既知の値に変更し、アカウントを有効に設定する必要があります。

保護オブジェクト ACL が作成されます。管理ユーザーは、以下の ACL 属性でグループ pdwas-admin に追加されます。

v T — 横断許可

v i — 呼び出し許可

v WebAppServer — アクション・グループ名。WebAppServer はデフォルト名です。

-r オプションを指定してマイグレーション・ユーティリティーを実行すると、このアクション・グループ名 (および対応するルート・オブジェクト・スペース) を上書きできることに注意してください。

admin.ear ファイルをマイグレーションする場合は、グループ pdwas-admin

を admin 役割に追加する必要があります。

コメントこのユーティリティーは、セキュリティー・ポリシー情報をデプロイメント記述子(エンタープライズ・アーカイブ・ファイル) から Tivoli Access Manager for

WebSphere にマイグレーションします。このユーティリティーは、UNIX ではシェル・スクリプトとして、Windows システムではバッチ・ファイルとしてインプリメントされます。スクリプトは、Java クラス com.tivoli.pdas.migrate.Migrate を呼び出します。

スクリプトは、前提条件ソフトウェアのロケーションについては、正しい環境変数の検出に依存します。スクリプトは、以下のオプションを使用して Java を呼び出します。

v -Dpdwas.lang.home




v -cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate

CLASSPATH は、お客様の Java インストールにとって正しい値を設定してください。

また、Windows では、-j オプションと -c オプションの両方が、WebSphere

Application Server のインストール先を判別するために変数 %WAS_HOME% を参照できます。この情報は、以下の処理に使用されます。

v エンタープライズ・アーカイブ・ファイルの絶対パス名の作成。

v PdPerm.properties ファイルのロケーションの絶対パス名の作成。




/opt/amwas/bin/


C:¥Program Files¥Tivoli¥amwas¥bin¥

デフォルト以外のインストール・ディレクトリーを選択した場合は、このユーティリティーは、インストール・ディレクトリーの下の bin ディレクトリーに入っています (たとえば、install_dir¥bin¥)。






migrateEAR5セキュリティー・ポリシー情報をデプロイメント記述子 (エンタープライズ・アーカイブ・ファイル) から Tivoli Access Manager for WebSphere Application Server

バージョン 5.0.2 にマイグレーションします。

構文migrateEAR5 -j path -c URI -a admin_ID -p admin_pwd -w Websphere_admin_user

-d user_registry_domain_suffix [-r root_objectspace_name] [-t ssl_timeout] [-eenterprise_application_name]

パラメーター-a admin_ID

管理ユーザー ID を指定します。管理ユーザーは、ユーザー、オブジェクト、および ACL を作成するために必要な特権を持っていなければなりません。たとえば、-a sec_master と指定します。

このパラメーターはオプションです。このパラメーターを指定しないと、ユーザーは実行時に管理ユーザー名を入力するよう促されます。

-c URI

pdwascfg ユーティリティーによって構成された PdPerm.properties ファイルの Uniform Resource Indicator (URI) ロケーションを指定します。 WebSphere

Application Server がデフォルト・ロケーションにインストールされている場合は、URI は次のとおりです。


file:/opt/WebSphere/AppServer/java/jre/PDPerm.properties

v AIX


v Windows





-d user_registry_domain_suffix

ユーザー・レジストリーが使用するドメイン・サフィックスを指定します。たとえば、LDAP ユーザー・レジストリーの場合、これは以下の例のようなドメイン接尾部になります。

"o=ibm,c=us"

注: Windows では、ドメイン・サフィックスを引用符で囲む必要があります。

-e enterprise_application_name

インストールされた名前と異なる表示名を持つインストール済みアプリケーションが正しくマイグレーションされるように、アプリケーション名を指定します。このオプションを指定しないと、ユーティリティーは、.ear ファイルまたは.xml ファイルを使用してアプリケーション名を見つけ出そうとします。


アプリケーション名は、アプリケーションのデプロイメントで変更することもできるし、後で WebSphere コンソールから変更することもできます。この変更内容は EAR ファイルに反映されません。EAR ファイルに変更を加えて新しい名前を反映させないと、誤った保護オブジェクトが作成されます。アプリケーションが WebSphere Application Server コンソールに表示されているときに、-e オプションを使用してそのアプリケーションの名前を指定します。

-j path

Java 2 Enterprise Edition アプリケーション・アーカイブ・ファイルの完全修飾パスとファイル名を指定します。オプションで、このパスを拡張エンタープライズ・アプリケーションのディレクトリーにすることができます。

たとえば、-j /tmp/test_application.EAR と指定します。

-p admin_pwd

Tivoli Access Manager 管理ユーザーのパスワードを指定します。管理ユーザーは、ユーザー、オブジェクト、および ACL を作成するために必要な特権を持っていなければなりません。たとえば、-a sec_master 管理ユーザーのパスワードを -p myPassword として指定できます。

このパラメーターはオプションです。このパラメーターを指定しないと、ユーザーは管理ユーザー名のパスワードを入力するよう促されます。

-r root_objectspace_name

ルート・オブジェクト・スペース名を指定します。これは、WebSphere

Application Server 用に作成される保護オブジェクト・ネーム・スペース階層のルートの名前です。このパラメーターはオプションです。

ルート・オブジェクト・スペースのデフォルト値は、WebAppServer です。デフォルト以外の名前を使用する場合は、PDWAS.properties ファイルを変更して正しいオブジェクト・スペースにアクセスする必要があります。

アクション・グループ名は、ルート・オブジェクト・スペース名と一致しています。したがって、ルート・オブジェクト・スペース名を指定する際に、アクション・グループ名は自動的に設定されます。

-t ssl_timeout

SSL タイムアウトの分数を指定します。このパラメーターは、デフォルトの接続タイムアウトの前に、Tivoli Access Manager Authorization server とポリシー・サーバーの間の SSL コンテキストの切断と再接続を行うのに使用します。

デフォルトは 60 分です。最小値は 10 分です。最大値は、Tivoli Access

Manager の ssl-v3-timeout 値を超えてはなりません。ssl-v3-timeout のデフォルト値は 120 分です。

このパラメーターはオプションです。この値の管理に精通していない場合は、デフォルト値を使用すると安全です。

-w WebSphere_admin_user

WebSphere Application Server セキュリティー・ユーザー・レジストリー・フィールドでアドミニストレーターとして構成されているユーザー名を指定します。Tivoli Access Manager 保護オブジェクト・スペースを作成または更新するには、このユーザーのアクセス許可が必要です。


WebSphere 管理ユーザーがまだ保護オブジェクト・スペースに存在していない場合は、作成されるかインポートされます。この場合、このユーザーのランダム・パスワードが生成され、アカウントは無効に設定されます。このパスワードを既知の値に変更し、アカウントを有効に設定する必要があります。

保護オブジェクト ACL が作成されます。管理ユーザーは、以下の ACL 属性でグループ pdwas-admin に追加されます。

v T — 横断許可

v i — 呼び出し許可

v WebAppServer— アクション・グループ名。WebAppServer はデフォルト名です。

-r オプションを指定してマイグレーション・ユーティリティーを実行すると、このアクション・グループ名 (および対応するルート・オブジェクト・スペース) を上書きできることに注意してください。

adminconsole.ear ファイルをマイグレーションする場合は、pdwas-admin グループを管理者役割に追加してください。

コメントこのユーティリティーは、セキュリティー・ポリシー情報をデプロイメント記述子(エンタープライズ・アーカイブ・ファイル) から Tivoli Access Manager for

WebSphere にマイグレーションします。このユーティリティーは、UNIX ではシェル・スクリプトとして、Windows システムではバッチ・ファイルとしてインプリメントされます。スクリプトは、Java クラス com.tivoli.pdas.migrate.Migrate を呼び出します。

スクリプトは、前提条件ソフトウェアのロケーションについては、正しい環境変数の検出に依存します。スクリプトは、以下のオプションを使用して Java を呼び出します。

v -Dpdwas.lang.home




v -cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate

CLASSPATH は、お客様の Java インストールにとって正しい値を設定してください。

また、Windows では、-j オプションと -c オプションの両方が、WebSphere

Application Server のインストール先を判別するために変数 %WAS_HOME% を参照できます。この情報は、以下の処理に使用されます。

v エンタープライズ・アーカイブ・ファイルの絶対パス名の作成。

v PdPerm.properties ファイルのロケーションの絶対パス名の作成。




/opt/amwas/bin/


C:¥Program Files¥Tivoli¥amwas¥bin¥

デフォルト以外のインストール・ディレクトリーを選択した場合は、このユーティリティーは、インストール・ディレクトリーの下の bin ディレクトリーに入っています (たとえば、install_dir¥bin¥)。






付録 B. 特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本 IBM

の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。

IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

〒106-0032

東京都港区六本木 3-2-31

IBM World Trade Asia Corporation

Licensing

以下の保証は、国または地域の法律に沿わない場合は、適用されません。IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム (本プログラムを含む) との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。


IBM Corporation

2Z4A/101

11400 Burnet Road

Austin, TX 78758

USA

本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、IBM より提供されます。

この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があります。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。 IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。

本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。より具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品などの名前が含まれている場合があります。これらの名称はすべて架空のものであり、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎません。

著作権使用許諾:

本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を例示するサンプル・アプリケーション・プログラムがソース言語で掲載されています。お客様は、サンプル・プログラムが書かれているオペレーティング・プラットフォームのアプリケーション・プログラミング・インターフェースに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。このサンプル・プログラムは、あらゆる条件下における完全なテストを経ていません。したがって IBM は、これらのサンプル・プログラムについて信頼性、利便性もしくは機能性があることをほのめかしたり、保証することはできません。お客様は、IBM のアプリケーション・プログラミング・インターフェースに準


拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、 IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。

それぞれの複製物、サンプル・プログラムのいかなる部分、またはすべての派生した創作物には、次のように、著作権表示を入れていただく必要があります。

© (お客様の会社名) (西暦年). このコードの一部は、IBM Corp. のサンプル・プログラムから取られています。© Copyright IBM Corp. _年を入れる_. All rights reserved.

この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示されない場合があります。

商標以下は、IBM Corporation の商標です。

AIX

DB2

IBM

IBM ロゴSecureWay

Tivoli

Tivoli ロゴ

Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation

の米国およびその他の国における商標です。

Java およびすべての Java 関連の商標およびロゴは、Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。

UNIX は、The Open Group がライセンスしている米国およびその他の国における登録商標です。

他の会社名、製品名およびサービス名などはそれぞれ各社の商標または登録商標です。

付録 B. 特記事項 123

用語集

［ア行］アクション (action). アクセス・コントロール・リスト (ACL) 許可属性。アクセス・コントロール・リスト(access control list) も参照。

アクセス許可 (access permission). オブジェクト全体に適用されるアクセス特権。

アクセス・コントロール (access control). コンピューター・セキュリティーにおいては、コンピューター・システムのリソースに、許可されたユーザーが許可された手段でのみアクセスできるようにするプロセス。

アクセス・コントロール・リスト (access control list(ACL)). コンピューター・セキュリティーにおいては、オブジェクトにアクセスできるすべてのサブジェクトと、そのサブジェクトがもつアクセス権を識別するオブジェクトに関連したリスト。たとえば、アクセス・コントロール・リストは、ファイルにアクセスできるユーザーと、そのファイルに対するユーザーのアクセス権を識別するファイルに関連したリスト。

アドミニストレーション・サービス (administrationservice). Tivoli Access Manager リソース・マネージャー・アプリケーションで管理要求を実行するために使用できる許可 API ランタイム・プラグイン。管理サービスは、pdadmin コマンドからのリモート要求に応答してタスク (たとえば、保護オブジェクト・ツリーに含まれている特定ノードの下のオブジェクトをリストする)

を実行する。ユーザーは許可 ADK を使用してこれらのサービスを開発できる。

暗号 (cipher). 鍵によって (暗号化解除された) 平文のデータに変換されるまで読めない暗号化されたデータ。

暗号化 (encryption). コンピューター・セキュリティーにおいて、データを、元のデータを得られない、または暗号化解除プロセスによってのみ取得できるような読解不能な形に変換するプロセス。

インターネット・プロトコル (Internet protocol (IP)).インターネット・スイート・プロトコルにおいて、データをネットワークまたは相互接続ネットワーク経由の経路を設定し、高位プロトコル層と物理ネットワークの間で仲介の役割を果たす、コネクションレス・プロトコル。

インターネット・プロトコル (Internet suite ofprotocols). インターネットでの使用向けに開発され、Internet Engineering Task Force (IETF) を介してRequests for Comments (RFC) として公開されたプロトコルのセット。

応答ファイル (response file). プログラムからの質問に対する事前定義応答のセットが含まれ、応答値を一度に 1 つずつ入力する代わりに使用されるファイル。

［カ行］外部許可サービス (external authorization service).Tivoli Access Manager の許可決定チェーンの一部として、アプリケーションまたは環境固有の許可決定を行うために使用できる許可 API ランタイム・プラグイン。ユーザーは許可 ADK を使用してこれらのサービスを開発できる。

鍵 (key). コンピューター・セキュリティーにおいて、データを暗号化または暗号化解除するために暗号アルゴリズムと一緒に使用される、一連のシンボル。秘密鍵(private key) および公開鍵 (public key) を参照。

鍵データベース・ファイル (key database file). 鍵リング (key ring) を参照。

鍵ファイル (key file). 鍵リング (key ring) を参照。

鍵ペア (key pair). コンピューター・セキュリティーにおいては、公開鍵と秘密鍵。鍵ペアが暗号化に使用される場合、送信側は公開鍵を使用してメッセージを暗号化し、受信側は秘密鍵を使用してそのメッセージを暗号化解除する。鍵ペアが署名に使用される場合、署名者は秘密鍵を使用してメッセージの表記を暗号化し、受信側は公開鍵を使用してそのメッセージの表記を暗号化解除し、署名を検証する。

鍵リング (key ring). コンピューター・セキュリティーでは、公開鍵、秘密鍵、トラステッド・ルート、および証明書が含まれているファイル。

仮想ホスティング (virtual hosting). Web サーバーが、インターネットに対して複数のホストのように見せかけることができること。

管理サーバー (management server). 現在は使用されていない用語。ポリシー・サーバー (policy server) を参照。


管理ドメイン (management domain). Tivoli Access

Manager が認証、許可、およびアクセス・コントロールに関するセキュリティー・ポリシーを実施するデフォルトのドメイン。このドメインは、ポリシー・サーバーを構成するときに作成される。ドメイン (domain) も参照。

基本認証 (basic authentication). 認証メソッドの 1

つ。この認証では、ユーザーがセキュア・オンライン・リソースへのアクセス権を取得するには、ユーザーが有効なユーザー名とパスワードを入力しなければならない。

許可 (authorization). (1) コンピューター・セキュリティーにおいて、ユーザーに付与された、コンピューター・システムと通信する (つまりコンピューター・システムを使用する) 権限。 (2) ユーザーに、オブジェクト、リソース、または機能への完全アクセス権あるいは制限付きアクセス権を付与する処理。

許可 (permission). ファイルまたはディレクトリーなど、保護されたオブジェクトへアクセスする機能。オブジェクトに関する許可の数と意味は、アクセス・コントロール・リスト (ACL) によって定義される。アクセス・コントロール・リスト (access control list) も参照。

許可規則 (authorization rule). ルール (rule) を参照。

許可サービス・プラグイン (authorization serviceplug-in). 動的ロード可能ライブラリー (DLL または共用ライブラリー)。許可 API 内でサービス・インターフェースを拡張する操作を実行するために、初期設定時に、Tivoli Access Manager 許可 API ランタイム・クライアントによるロードが可能である。現在使用可能なサービス・インターフェースには、管理、外部許可、信任状変更、資格付与、および PAC 操作の各インターフェースがある。ユーザーは許可 ADK を使用してこれらのサービスを開発できる。

グローバル・サインオン (global signon (GSO)). ユーザーがバックエンド Web アプリケーション・サーバーに代替のユーザー名とパスワードを提供できるようにする柔軟なシングル・サインオン・ソリューション。グローバル・サインオンは、ユーザーに、単一ログインを通しての使用が許可されているコンピューティング・リソースへのアクセス権を認可する。 GSO は、異機種が混在する分散コンピューティング環境に複数のシステムとアプリケーションが存在する大規模な企業向けに設計されており、ユーザーは複数のユーザー名とパスワードを管理しないで済む。シングル・サインオン (single

signon) を参照。

クロスドメイン認証サービス (cross domainauthentication service (CDAS)). 共用ライブラリー機構を提供する WebSEAL サービス。デフォルトWebSEAL 認証メカニズムを、WebSEAL に Tivoli

Access Manager 識別を戻すカスタム・プロセスに置き換えることができる。WebSEAL も参照。

クロスドメイン・マッピング・フレームワーク (crossdomain mapping framework (CDMF)). プログラミング・インターフェースの 1 つで、デベロッパーはこのインターフェースを利用して、WebSEAL

e-Community SSO 機能が使用された場合にユーザー識別のマッピングをカスタマイズしたり、ユーザー属性を処理することができる。

公開鍵 (public key). コンピューター・セキュリティーにおいて、誰でも使用できる鍵。秘密鍵 (private key)

と対比。

構成 (configuration). (1) 情報処理システムのハードウェアとソフトウェアを編成して相互接続させる方法。(2) システム、サブシステム、またはネットワークを構成するマシン、デバイス、およびプログラム。

コンテナー・オブジェクト (container object). オブジェクト・スペースを個別の機能リージョンに編成するという、構造上の呼称。

［サ行］サービス (service). サーバーによって実行される作業。サービスは、ファイル・サーバー、HTTP サーバー、E メール・サーバー、フィンガー・サーバーにおいては送信または保管するデータの単純な要求であり、プリント・サーバー、プロセス・サーバーの場合はより複雑な処理となる。

サイレント・インストール (silent installation). コンソールにメッセージは送信しないが、代わりにメッセージとエラーをログ・ファイルに保管するインストール。また、サイレント・インストールでは、データ入力に応答ファイルを使用できる。応答ファイル (response file)

も参照。

サフィックス (suffix). ローカル側で保持されているディレクトリー階層内の最上位項目を識別する識別名。Lightweight Directory Access Protocol (LDAP) では相対命名方式が使用されているため、この接頭部は、そのディレクトリー階層内の他の全項目に適用される。ディレクトリー・サーバーは、それぞれがローカル側で保持されているディレクトリー階層を識別する、複数の接尾部をもつことができる。


資格 (entitlement). 外部化されたセキュリティー・ポリシー情報が含まれているデータ構造。資格には、ポリシー・データまたは機能が、特定のアプリケーションが理解できる形にフォーマットされて入っている。

資格サービス (entitlement service). プリンシパルまたは状況セットの外部ソースから資格を戻すのに使用される許可 API ランタイム・プラグイン。資格は、通常はアプリケーション固有データであり、リソース・マネージャー・アプリケーションによって何らかの用途で消費されるか、または、許可プロセスでの使用のためにプリンシパルの信任状に追加される。ユーザーは許可ADK を使用してこれらのサービスを開発できる。

識別名 (distinguished name (DN)). ディレクトリー内の項目を一意的に識別する名前。識別名は、属性:値ペア (複数ペアがある場合はコンマで区切られる) で構成される。

自己登録 (self-registration). ユーザーが、管理者の介入なしに必要なディレクトリーを入力して、登録 Tivoli

Access Manager ユーザーになることができる処理。

ジャンクション (junction). フロントエンドのWebSEAL サーバーとバックエンドの Web アプリケーション・サーバーの間の HTTP または HTTPS 接続。WebSEAL は、バックエンド・サーバーに代わり、ジャンクションを使用して保護サービスを提供する。

証明書 (certificate). コンピューター・セキュリティーにおいて、公開鍵を証明書所有者の身元にバインドするディジタル文書。これにより、証明書所有者を認証できる。証明書は、認証局により発行される。

シングル・サインオン (single signon (SSO)). いったんログオンしたら、それぞれのアプリケーションごとにログオンする必要なく複数のアプリケーションにアクセスできる、ユーザーの能力。グローバル・サインオン(global signon) も参照。

信任状 (credentials). 認証時に取得する詳細情報。この情報には、ユーザー、グループ・アソシエーション、およびその他のセキュリティーに関連した識別属性が含まれている。信任状は、許可、監査、委任などの多数のサービスを実行する際に利用できる。

信任状変更サービス (credentials modificationservice). Tivoli Access Manager 信任状を変更するために使用できる許可 API ランタイム・プラグイン。外部でお客様が開発した信任状変更サービスの場合、操作は信任状属性リストへの追加/削除に限定され、対象も変更可能と見なされた属性に限定される。

スキーマ (schema). データ定義言語によって、データベース構造が完全に記述されているステートメントのセ

ット。リレーショナル・データベースにおいて、スキーマは、テーブル、各テーブルのフィールド、およびフィールドとテーブル間の関係を定義する。

スケーラビリティー (scalability). ネットワーク・システムの、増大している、リソースにアクセスするユーザーに対応する能力。

ステップアップ認証 (step-up authentication). 事前構成された認証レベル階層に依存し、リソース上のポリシー・セットに従って特定の認証レベルを施行する、保護オブジェクト・ポリシー (POP)。ステップアップ認証POP はユーザーに、特定のリソースへのアクセスに対してを複数レベルの認証を使用した認証を強制しないが、最低でもリソースを保護しているポリシーで要求されるレベルで認証を行うことを要求する。

セキュリティー管理 (security management). 重要なアプリケーションとデータへのアクセスをコントロールする、組織の能力について記述してある管理規律。

接続 (connection). (1) データ通信において、情報の伝達のための機能単位間で確立されるアソシエーション。 (2) TCP/IP では、信頼性の高いデータ・ストリーム送達サービスを提供する 2 つのプロトコル・アプリケーション間のパス。インターネットでは、1 つのシステムの TCP アプリケーションから別のシステムの TCP

アプリケーションに拡張された接続。 (3) システム通信では、2 つのシステム間またはシステムとデバイス間でデータの受け渡しを行うときの伝送路。

属性リスト (attribute list). 許可決定を実行するために使用する拡張情報が含まれているリンク・リスト。属性リストは、name = value ペアのセットからなる。

［タ行］多重プロキシー・エージェント (multiplexing proxyagent (MPA)). 複数のクライアント・アクセスに対応するゲートウェイ。このゲートウェイは、クライアントが Wireless Access Protocol (WAP) を使用してセキュア・ドメインにアクセスする場合には、Wireless Access

Protocol (WAP) ゲートウェイとも呼ばれる。ゲートウェイは、起点サーバーへの単一の認証済みチャネルを確立し、すべてのクライアント要求と応答をこのチャネルに通す。

デーモン (daemon). システム全体にわたって機能を連続的または定期的に実行するために不在モードで稼働するプログラム。たとえば、ネットワーク制御。デーモンによっては、自動的に起動してタスクを実行するものや、定期的に作動するものがある。

用語集 127

ディジタル・シグニチャー (digital signature).e-commerce において、データ単位に付加されているか、またはデータ単位の暗号の変形であるデータ。これにより、データ単位の受信側は送信元とデータ単位の保全性を検証し、潜在的な偽造を認識することができる。

ディレクトリー・スキーマ (directory schema). ディレクトリーに表示される有効な属性タイプとオブジェクト・クラス。属性タイプとオブジェクト・クラスは、属性値の構文、ディレクトリーに存在しなければならない属性、およびディレクトリーに存在してもよい属性を定義する。

トークン (token). (1) ローカル・エリア・ネットワークにおいて、一時的に伝送メディアのコントロール下にある装置を示すために、1 つのデータ装置から別のデータ装置に連続的に渡される権限のシンボル。各データ装置に、メディアをコントロールするためのトークンを獲得して使用する機会がある。トークンは、伝送許可を示す特定のメッセージまたはビット・パターン。 (2) ローカル・エリア・ネットワーク (LAN) において、伝送メディアを介して 1 つの装置から別の装置に渡されるビット・シーケンス。トークンがビット・シーケンスにデータを追加すると、そのビット・シーケンスはフレームになる。

特権属性証明書 (privilege attribute certificate). プリンシパルの認証属性と許可属性およびプリンシパルの機能が含まれているディジタル文書。

特権属性証明書サービス (privilege attributecertificate service). 所定のフォーマットの PAC をTivoli Access Manager 信任状に、またはその逆に変換する許可 API ランタイム・クライアント・プラグイン。これらのサービスを使用して、Tivoli Access Manager 信任状を他のセキュア・ドメイン・メンバーへの伝送用にパッケージしたりマーシャルしたりすることもできる。ユーザーは許可 ADK を使用してこれらのサービスを開発できる。特権属性証明書 (privilege attribute certificate)

も参照。

ドメイン (domain). (1) 共通サービスを共用し、通常、共通目的をもって機能するユーザー、システム、およびリソースの論理グループ。 (2) データ処理リソースが共通のコントロール下にある、コンピューター・ネットワークの一部。ドメイン名 (domain name) も参照。

ドメイン名 (domain name). インターネット・スイート・プロトコルにおいて、ホスト・システムの名前。ドメイン名は、区切り文字で区切られた一連のサブネームで構成される。たとえば、ホスト・システムの完全修飾ドメイン名 (FQDN) が as400.rchland.vnet.ibm.com であ

れば、以下のそれぞれはドメイン名as400.rchland.vnet.ibm.com, vnet.ibm.com,ibm.com である。

トラステッド・ルート (trusted root). Secure Sockets

Layer (SSL) では、公開鍵および関連した認証局の識別名 (CA)。

［ナ行］認証 (authentication). (1) コンピューター・セキュリティーにおいて、ユーザー ID またはオブジェクトにアクセスするユーザーの適格性の検証。 (2) コンピューター・セキュリティーにおいて、メッセージが変更または破壊されていないことの検証。 (3) コンピューター・セキュリティーにおいて、情報システムまたは保護リソースのユーザーの検証に使用するプロセス。マルチファクター認証 (multi-factor authentication)、ネットワーク・ベース認証 (network-based authentication)、およびセットアップ認証 (step-up authentication) も参照。

認証局 (certificate authority (CA)). 証明書を発行する組織。認証局は、証明書の所有者の身元および所有者が使用を許可されているサービスの認証、新しい証明書の発行、既存の証明書の更新、およびすでにその使用を許可されていないユーザーが所有する証明書の取り消しを行う。

ネットワーク・ベース認証 (network-basedauthentication). ユーザーのインターネット・プロトコル (IP) に基づいて、オブジェクトへのアクセスをコントロールする、保護オブジェクト・ポリシー (POP)。保護オブジェクト・ポリシー (protected object policy) も参照。

［ハ行］バインド (bind). ID をプログラム内の別のオブジェクトに関連付けること。たとえば、ID を値、アドレス、または別の ID に関連付ける、あるいは仮パラメーターと実パラメーターを関連付ける、など。

ビジネス資格 (business entitlement). ユーザー信任状の補足属性であり、リソースに対する要求の許可で使用できるきめの細かい条件を記述する。

秘密鍵 (private key). コンピューター・セキュリティーにおいて、所有者のみが知っている鍵。公開鍵 (public

key) と対比。

ファイル転送プロトコル (file transfer protocol(FTP)). インターネット・スイート・プロトコルにおいて、マシン間またはホスト間でのバルク・データ・ファ


イルの転送に伝送制御プロトコル (TCP) および Telnet

サービスを使用するアプリケーション層のプロトコル。

ブレード (blade). アプリケーション固有のサービスとコンポーネントを提供するコンポーネント。

プロセス間通信 (interprocess communication(IPC)). (1) プログラム間でデータを通信し、それぞれのプログラムのアクティビティーを同期するプロセス。セマフォー、シグナル、および内部メッセージ・キューは、プロセス間通信の共通メソッドである。 (2) オペレーティング・システムの機構の 1 つで、各プロセスは、同一コンピューター内で、またはネットワークを介して相互に通信できる。

ポータル (portal). 特定のユーザーのアクセス許可に基づいて、リンク、コンテンツ、サービスなどの Web リソースのカスタマイズ・リストを動的に生成する、統合Web サイト。

ポーリング (polling). 一定の間隔でデータベースに質問してデータを送信する必要があるかどうかを決定するプロセス。

保護オブジェクト (protected object). 実際のシステム・リソースの論理表現で、ACL や POP を適用したり、ユーザー・アクセスを許可したりする場合に使用される。保護オブジェクト・ポリシー (protected object

policy) および保護オブジェクト・スペース (protected

object space) も参照。

保護オブジェクト・スペース (protected objectspace). 実際のシステム・リソースの仮想オブジェクト表現で、ACL や POP を適用したり、ユーザー・アクセスを許可したりする場合に使用される。保護オブジェクト (protected object) および保護オブジェクト・ポリシー (protected object policy) も参照。

保護オブジェクト・ポリシー (protected object policy(POP)). 保護オブジェクトにアクセスするために、ACL ポリシーによって許可された操作に追加条件を課すセキュリティー・ポリシーのタイプの 1 つ。 POP

条件を課すのはリソース・マネージャーの役割である。アクセス・コントロール・リスト (access control list)、保護オブジェクト (protected object)、および保護オブジェクト・スペース (protected object space) も参照。

保護品質 (quality of protection). 認証、保全性、およびプライバシー条件の組み合わせによって決定する、データ・セキュリティーのレベル。

ホスト (host). ネットワーク (インターネット、SNA

ネットワークなど) に接続しており、そのネットワークへのアクセス・ポイントを提供するコンピューター。また、環境にもよるが、ホストはネットワークの集中制御

を行う場合もある。ホストは、クライアントまたはサーバーのいずれか、または同時にその両方になることができる。

ポリシー (policy). 管理対象リソースに適用されるルールのセット。

ポリシー・サーバー (policy server). セキュア・ドメイン内の他のサーバーに関するロケーション情報を保守する、Tivoli Access Manager サーバー。

［マ行］マイグレーション (migration). プログラムの古いバージョンまたはリリースを新規のバージョンまたはリリースに置き換えるためのインストール作業。

マルチファクター認証 (multi-factor authentication).ユーザーに複数の認証レベルを使用した認証を義務付ける、保護オブジェクト・ポリシー (POP)。たとえば、保護リソースに対するアクセス・コントロールで、ユーザーに、ユーザー名/パスワードとユーザー名/トークン・パスコードの両方を用いた認証を義務付けることができる。保護オブジェクト・ポリシー (protected object

policy) も参照。

メタデータ (metadata). 保管データの特性を表すデータ。

［ヤ行］役割の活動化 (role activation). 役割にアクセス許可を適用する処理。

役割の割り当て (role assignment). ユーザーが、役割用に定義されたオブジェクトに対する適切なアクセス許可を所持できるように、その役割をユーザーに割り当てる処理。

ユーザー (user). 他者が提供するサービスを使用する、すべての人、組織、プロセス、装置、プログラム、プロトコル、またはシステム。

ユーザー・レジストリー (user registry). レジストリー (registry) を参照。

［ラ行］ランタイム (run time). コンピューター・プログラムが実行されている時間枠。ランタイム環境は、実行環境である。

用語集 129

リソース・オブジェクト (resource object). サービス、ファイル、プログラムなど、実際のネットワーク・リソースを表したもの。

ルーティング・ファイル (routing file). メッセージの構成をコントロールするコマンドが含まれている ASCII

ファイル。

ルール (rule). イベント・サーバーが各イベント間の関係 (イベント相関) を認識し、それに応じて自動応答を実行できるようにする 1 つ以上の論理ステートメント。

レジストリー (registry). ユーザー、システム、およびソフトウェアに関するアクセス情報と構成情報が入っているデータ・ストア。

レプリカ (replica). 別のサーバーのディレクトリー(複数も可) のコピーが保管されるサーバー。レプリカは、パフォーマンスまたは応答時間の改善およびデータ保全性の維持のためにサーバーをバックアップする。

A

ACL. アクセス・コントロール・リスト (access control

list) を参照。

B

BA. 基本認証 (basic authentication) を参照。

C

CA. 認証局 (certificate authority) を参照。

CDAS. クロスドメイン認証サービス (Cross Domain

Authentication Service) を参照。

CDMF. クロスドメイン・マッピング・フレームワーク(Cross Domain Mapping Framework) を参照。

CGI. 共通ゲートウェイ・インターフェース (common

gateway interface) を参照。

Common Gateway Interface (common gatewayinterface (CGI)). HTTP 要求により、Web サーバーからアプリケーション・プログラムに、または、アプリケーション・プログラムから Web サーバーに情報を渡すスクリプトを定義するためのインターネット標準。CGI

スクリプトは、Perl などのスクリプト言語で書かれたCGI プログラムである。

Cookie. サーバーがクライアント・マシンに保管して、後続のセッションでアクセスする情報。 Cookies により、サーバーはクライアントに関する特定の情報を記憶しておくことができる。

D

DN. 識別名 (distinguished name) を参照。

E

EAS. 外部許可サービス (External Authorization

Service) を参照。

G

GSO. グローバル・サインオン (global signon) を参照。

H

HTTP. Hypertext Transfer Protocol を参照。

Hypertext Transfer Protocol (hypertext transferprotocol (HTTP)). インターネット・スイート・プロトコルにおいて、ハイパーテキスト文書の転送および表示に使用されるプロトコル。

I

IP. インターネット・プロトコル (Internet Protocol) を参照。

IPC. プロセス間通信 (Interprocess Communication) を参照。

L

LDAP. Lightweight Directory Access Protocol を参照。

Lightweight Directory Access Protocol (LDAP).TCP/IP を使用して X.500 モデルをサポートするディレクトリーへのアクセスを提供し、さらに複雑な X.500

Directory Access Protocol (DAP) のリソース要件を必要としない、オープン・プロトコル。 LDAP を使用するアプリケーション (ディレクトリー使用可能アプリケーション) は、ディレクトリーを、共通データ・ストアとして、また人やサービスに関する情報 (E メール・アドレス、公開鍵、サービス固有の構成パラメーターなど)

の検索用に使用できる。 LDAP は、元々は RFC 1777

で規定されていた。LDAP バージョン 3 は RFC 2251

で規定されており、IETF はさらに標準機能の開発を続


けている。 IETF が定義した LDAP の標準スキーマのいくつかは、RFC 2256 で規定されている。

Lightweight Third Party Authentication (LTPA). インターネット・ドメイン内にある一連の Web サーバー全体にシングル・サインオンできるようにする認証フレームワーク。

LTPA. Lightweight Third Party Authentication を参照。

P

PAC. 特権属性証明書 (privilege attribute certificate) を参照。

POP. 保護オブジェクト・ポリシー (protected object

policy) を参照。

R

RSA 暗号化 (RSA encryption). 暗号化と認証に使用される公開鍵暗号方式のためのシステム。これは、1977

年に Ron Rivest、Adi Shamir、Leonard Adleman の 3

氏によって発明された。このシステムのセキュリティーは、2 つの大きい素数の積の因数処理の困難性に依存する。

S

Secure Sockets Layer (secure sockets layer(SSL)). 通信にプライバシーを持たせるセキュリティー・プロトコル。 SSL により、クライアント/サーバー・アプリケーションは、盗聴、改ざん、およびメッセージ偽造を防止することを目的として通信できる。 SSL

は、Netscape Communications Corp. と RSA Data

Security, Inc. によって開発された。

SSL. セキュア・ソケット層 (Secure Sockets Layer) を参照。

SSO. 単一サインオン (Single Signon) を参照。

U

Uniform Resource Identifier (URI). リソースの名前(ディレクトリーおよびファイル名)、リソースのロケーション (ディレクトリーとファイル名が存在しているコンピューター)、リソースへのアクセス方法 (HTTP などのプロトコル) を含め、インターネット上のコンテンツを識別するために使用される文字ストリング。 URI の例としては、Uniform Resource Locator、つまり URL がある。

Uniform Resource Locator (URL). コンピューター上またはネットワーク内の情報リソース (インターネットなど) を示す文字シーケンス。この文字シーケンスには、次のものが含まれている。 (a) 情報リソースへのアクセスに使用されるプロトコルの省略名。 (b) プロトコルが情報リソースの検出に使用する方法。たとえば、インターネットのコンテキストの場合は、さまざまな情報リソース (HTTP、FTP、Gopher、Telnet、およびニュース) へのアクセスに使用される数種類のプロトコルの省略名。IBM ホーム・ページの URL は、http://www.ibm.com。

URI. uniform resource identifier を参照。

URL. uniform resource locator を参照。

W

Web Portal Manager (WPM). セキュア・ドメイン内の Tivoli Access Manager の基本および WebSEAL セキュリティー・ポリシーの管理に使用される、Web ベースのグラフィカル・アプリケーション。 pdadmin コマンド行インターフェースの代わりに、この GUI を使用することでリモート管理者アクセスが可能になり、管理者は代行ユーザー・ドメインを作成して、代行管理者をこれらのドメインに割り当てることができる。

WebSEAL. Tivoli Access Manager ブレード。WebSEAL は、セキュリティー・ポリシーを保護オブジェクト・スペースに適用する、ハイパフォーマンス・マルチスレッド Web サーバー。 WebSEAL は、シングル・サインオン・ソリューションを提供でき、バックエンド Web アプリケーション・サーバー・リソースをそのセキュリティー・ポリシーの中に取り込むことができる。

WPM. Web Portal Manager を参照。

用語集 131

索引日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。

［ア行］アクセス設定継承 7

指定変更 7

アクセス・コントロール・リスト 5

アップグレードAccess Manager 3.9 から 16

Policy Director 3.8 から 16

アドバンスト版 3

インストール・パッケージ 11

オペレーティング・システムサポートされているバージョン 11

［カ行］概要 1

管理 API 9, 60

管理ツールpdadmin 60

Web ポータル・マネージャー 60

管理ユーザーWebSphere

作成 31

関連資料 xi

キャッシュ・テーブル指定 62

許可サーバー追加許可サーバーの構成 64

許可判断 3

グループ 5

構成初期システム 29

追加システム 29, 45

動的役割キャッシング 61

Tivoli Access Manager 29

構成パラメーター指定 60

［サ行］作成

WebSphere 管理ユーザー 31

サポートされているプラットフォーム 11

除去AIX 104

除去 (続き)

HP-UX 105

Linux 105

Solaris 103

Windows 104

所要量ディスク・スペース 12

メモリー 12

シングル・サーバーホスト・ベースのセキュリティー 59

ユーザーの ACL への追加 53

シングル・サインオン、WebSEAL での 73

静的役割定義 61

静的役割キャッシング使用可能化 61

セキュリティー宣言 2

プログラマチック 2

宣言セキュリティー 2

ソフトウェア前提条件Tivoli Access Manager Base 13

ソフトウェアの内容 11

［タ行］チュートリアル概要 79, 90

セキュリティーの使用可能化 79, 90

セキュリティーの追加 82, 93

セキュリティーのテストサーブレット 86, 97

シック・クライアント 86, 97

セキュリティー役割の使用可能化 78

マイグレーション・ユーティリティーの使用 87, 98

役割の変更 89, 100

ユーザーの LDAP への追加 81, 91

ディスク所要量 12

ディレクトリー 15

デプロイメント記述子 3, 5, 49, 53

動的役割キャッシング構成 61

ドメイン、結合 35

トラブルシューティングのヒント 54, 76

トレース 71

［ハ行］バックアップ 78

プリンシパル 5


プリンシパルの存続時間指定 62

プログラマチック・セキュリティー 2

ホスト・ベースのセキュリティー 16, 59

ポリシー管理集中化 8

［マ行］マイグレーション、セキュリティー設定の

WebSphere バージョン 4.0.6 37

WebSphere バージョン 5.0.2 39

マイグレーション・ユーティリティー概要 49

使用 49

初期使用 39, 52, 89, 100

制限 53

チュートリアル 87, 98

ロギング 39, 52, 89, 100

マッピンググループから役割へ 5

役割に対するプリンシパル 5

ユーザーを役割に 51

メモリー所要量 12

問題判別 54, 76

［ヤ行］役割 5

役割の存続時間指定 62

役割ベースのセキュリティー 4

役割ベースのポリシー・フレームワーク・パラメーター指定 62

役割マッピング 51

ユーザー役割へのマッピング 51

ユーザーのインポート 15

ユーザーの最大数指定 61

ユーザーのバルク・ロード 15

ユーザー・レジストリー共用 3, 13

前提条件 15

LDAP 15

ユーティリティーmigrateEAR4 112

migrateEAR5 116

pdwascfg 108

［ラ行］ロギング 71

Aadmin.ear 37, 40, 50, 87, 98

amwas_migrate.log 52, 89, 100

CCLASSPATH

設定 36

com.tivoli.mts.SvrSslCfg 36

configWAS4 35

configWAS5 35

DDTD 49

EEAR ファイル 53

GGSO プリンシパル・マッピング 66

Iinstallp 22

InstallShield 26

JJ2EE セキュリティー 4

Java Runtime Environment

前提条件バージョン 14

Java プロパティー・ファイル 60

MmigrateEAR4 ユーティリティー 112

migrateEAR5 ユーティリティー 116

Ppdadmin

管理ユーザーの作成 31

役割の変更 89, 100

ユーザーのインポート 15

ユーザーの追加 81, 91

要約 8

PDPerm.properties 37, 40, 50, 87, 98

pdwascfg

使用 35, 48

pdwascfg ユーティリティー 108


pdwas-admin グループACL への追加 39

PDWAS.properties 60

PDWAS_HOME、設定 35

pdwas_migrate.log 39

pkgadd 21

Rrpm 24, 105

SsetupCmdLine 35

SSL タイムアウト値 54

SvrSslCfg

許可サーバーの追加 64

swinstall 23

swremove 105

TTivoli Access Manager

管理 API 9, 60

許可サーバー 10

許可フレームワーク 2

構成 29

除去 103

セキュア・ドメイン 14

セキュリティー・モデル 1

ポリシー・サーバー 14

ポリシー・データベース複製する 10

Policy Server 5

WebSphere との統合 2

Tivoli Access Manager のインストールAIX 22

HP-UX 23

Linux 24

Solaris 21

Windows 26

Tivoli Access Manager の除去 103

WWAS_HOME

設定 37, 40

Web ポータル・マネージャー 8, 60

WebSphere

アドバンスト版シングル・サーバー 13, 59

管理サーバー 31, 32

シングル・サーバーホスト・ベースのセキュリティー 16

マイグレーションのステップ 53

WebSphere (続き)

セキュリティーの制約 83, 94

チュートリアルアプリケーションのデプロイ 85, 96

複数のサーバーの管理 8

文書 URL 13

Admin Client 85, 96

Bindings (バインディング) 82

EJB Modules (EJB モジュール) 82

Security Roles (セキュリティー役割) 82

Web Modules (Web モジュール) 83, 94

WebSphere v5.1

構成 43

WebSphere アドバンスト版 3

WebSphere コンソールTivoli Access Manager グループの構成 65

WebSphere セキュリティーバージョン 4.0.6 での使用可能化 31

バージョン 5.0.2 での使用可能化 32

索引 135

��

Printed in Japan

SC88-9860-00

ibm websphere application server...

Documents