WebSphere V3.5とAS/400のセキュリティを統合するにはいくつかの方法があります。
まずはアクセスされるDB2/400に対するセキュリティですが、こちらはOS/400組み込みのセキュリティがそのまま適用されます。
データソースの定義の中でユーザーID/パスワードを指定しますが、これがデータベースアクセスのセキュリティになります。
WebSphereのセキュリティはこれだけではなく、アプリケーション内部でたとえばメソッドごとにアクセス可能なユーザー等の設定を行うことができます。基本的には「エンタープライズ・アプリケーション」単位でセキュリティの設定を行いますが、管理クライアントの接続など、全体での設定も必要になります。
WebSphere全体の設定ですが、認証を行うユーザーの登録元(登録先といった方がわかりやすいかな?)としてローカル・オペレーティングシステムかLDAPを選択することができます。
AS/400で簡単にいうと、OS/400の登録ユーザーで認証するか、ドミノの登録ユーザーで認証するか、が代表的なものでしょう。
ここでそれぞれの設定例をご紹介したいと思います。
WebSphereをただ導入した状態ではセキュリティは有効になっていません。
管理クライアントはホスト名を指定して起動さえすれば接続されてしまいますし、管理クライアントですからなんでも出来てしまいます。
セキュリティを有効にするためには、いったん管理コンソールを起動して「コンソール」メニューから「グローバル・セキュリティー設定の構成」を選択します。
こんな画面が出てきます。まずは「セキュリティーを使用可能にする」にチェックしてください。
ここでは有効範囲の設定です。この「レルム」に指定されたドメインの範囲で有効になります。
チャレンジ・タイプは認証のしかたについてのいくつかの方法を表します。
ユーザーIDとパスワードによるものが「基本」、「証明書」はCAによるものです。
さて、OS/400によってとドミノによってで指定が異なるのが次の2つのタブです。
OS/400の登録ユーザーによってWebSphereの認証を行いたい場合は「認証メカニズム」タブで「ローカル・オペレーティング・システム」を選択してください。
「ユーザー登録」タブで、管理コンソールを使用するために必要なユーザーIDとパスワードを入力します。
ここでチェック等は行われませんので、スペルミスなどないように慎重に入力してください。
設定後、WebSphereをまるごと再起動します。つまり、ENDSBS SBS(QEJBSBS) を一回行って、STRSBS SBS(QEJB/QEJBSBS)をやりなおす、ということですね。
サーバーの再起動が完了したら、管理クライアントを起動します。
起動開始後、しばらくしたら以下のような画面がでてきます。ここで先ほどのユーザーID/パスワードを指定してください。
「一般」タブと「アプリケーションのデフォルト」タブについてはまったく同じです。
ドミノによる認証を行う場合は「認証メカニズム」で「LTPA
(Lightweight Third Party Authentication)」を選択してください。
ドミノとのシングルサインオンを行う場合にのみ、「単一サインオンを使用可能にする(SSO)」をチェックしてください。ここのチェックが必須なわけではありません。
ユーザー登録タブで以下のように登録します。ユーザーは省略形ではなく、きちんと入力する必要があります。また、パスワードはユーザー文書の「インターネット・パスワード」と同じものを入力します。
「拡張」ボタンをおして「拡張プロパティー」を表示させてください。
いったん「ディレクトリー・タイプ」は「Domino
5.0」にしてください。その他の欄の「ユーザー・フィルター」と「ユーザーIDマップ」を以下のように変更してください。変更後、「ディレクトリー・タイプ」は自動的に「カスタム」になりますのでそのままにしておいてください。
WebSphereサーバー全体を再起動します。
管理クライアントを起動する前に、ドミノが起動されていること、およびそのサーバータスクとしてLDAPタスクが起動されていることを確認してください。
WebSphereサーバーの起動の完了後、管理クライアントを開始すると以下のような認証画面が出てきます。
先ほど指定したユーザー/パスワードを入力してください。
ユーザー名はきちんとこのような形で入力しないといけないようです。
より詳しくは以下のURLが参考になります。CAの取得等についても載っていますので、参照してみてください。
|
|