bea weblogic server 統合ガイドpublib.boulder.ibm.com/tividd/td/itame/sc32-1366-01/ja...tivoli...

IBM Tivoli Access Manager for e-business

BEA WebLogic Server 統合ガイド

バージョン 5.1

SC88-9858-00

(英文原典：SC32-1366-00)

��

お願い本書および本書で紹介する製品をご使用になる前に、 63ページの『付録 C. 特記事項』に記載されている情報をお読みください。

本書は、IBM Tivoli Access Manager (プロダクト番号 5724-C08) のバージョン 5 リリース 1、モディフィケーション 0、および新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。

本マニュアルに関するご意見やご感想は、次の URL からお送りください。今後の参考にさせていただきます。

http://www.ibm.com/jp/manuals/main/mail.html

なお、日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは

http://www.ibm.com/jp/manuals/ の「ご注文について」をご覧ください。

(URL は、変更になる場合があります)

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

　原　典： SC32–1366–00

IBM Tivoli Access Manager for e-business

BEA WebLogic Server

Integration Guide

Version 5.1

　発　行：日本アイ・ビー・エム株式会社

　担　当：ナショナル・ランゲージ・サポート

第1刷 2004.1

この文書では、平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、および平成角ゴシック体™W7を使用しています。この(書体*)は、（財）日本規格協会と使用契約を締結し使用しているものです。フォントとして無断複製することは禁止されています。

　　注* 平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、平成角ゴシック体™W7

© Copyright International Business Machines Corporation 2003. All rights reserved.

© Copyright IBM Japan 2004

目次

まえがき. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v本書の対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v本書の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viリリース情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi基本情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viWeb セキュリティー情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii開発者の参照情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii技術上の補足情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viii関連資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

アクセシビリティー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiiソフトウェア・サポートへの連絡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii本書の規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii書体規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiiオペレーティング・システム間の違い . . . . . . . . . . . . . . . . . . . . . . . . . xiii

第 1 章入門と概説 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Tivoli Access Manager セキュリティー・モデル . . . . . . . . . . . . . . . . . . . . . . . . 1Tivoli Access Manager と WebLogic Server の統合 . . . . . . . . . . . . . . . . . . . . . . . 2

Tivoli Access Manager Security Service Provider Interface コンポーネント . . . . . . . . . . . . . . 2ポリシーおよび役割のデプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . 4リソースおよび役割 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Tivoli Access Manager 認証の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

ロギングと監査 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8信頼性、可用性、およびスケーラビリティー . . . . . . . . . . . . . . . . . . . . . . . . . 8

第 2 章インストールの説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . 9サポートされているプラットフォーム . . . . . . . . . . . . . . . . . . . . . . . . . . . 9ディスクおよびメモリーの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9ソフトウェア前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Tivoli Access Manager Policy Server . . . . . . . . . . . . . . . . . . . . . . . . . . 10Tivoli Access Manager Authorization server . . . . . . . . . . . . . . . . . . . . . . . . 10Tivoli Access Manager WebSEAL または Tivoli Access Manager Plug-in for Web Servers. . . . . . . . . 10BEA WebLogic Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Tivoli Access Manager Java ランタイム . . . . . . . . . . . . . . . . . . . . . . . . . 11

インストール・ウィザードを使用したインストール . . . . . . . . . . . . . . . . . . . . . . 12install_amwls オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . . . . . 15AIX でのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15HP-UX でのインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Solaris でのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Windows でのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

第 3 章構成手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19第 1 部: Tivoli Access Manager Java Runtime Environment の構成 . . . . . . . . . . . . . . . . . 19第 2 部: startWebLogic 用の CLASSPATH の設定 . . . . . . . . . . . . . . . . . . . . . . 21第 3 部: Tivoli Access Manager for WebLogic の構成 . . . . . . . . . . . . . . . . . . . . . 22コンソール拡張 Web アプリケーションを使用した Tivoli Access Manager for WebLogic の構成 . . . . . . 22コマンド行からの Tivoli Access Manager for WebLogic の構成 . . . . . . . . . . . . . . . . . 24

第 4 部: Tivoli Access Manager レルムの構成 . . . . . . . . . . . . . . . . . . . . . . . . 25

© Copyright IBM Corp. 2003 iii

コンソール拡張 Web アプリケーションを使用した Tivoli Access Manager レルムの構成 . . . . . . . . 25コマンド行からの Tivoli Access Manager レルムの構成 . . . . . . . . . . . . . . . . . . . . 26

第 5 部: BEA WebLogic Server シングル・サインオン用の構成 . . . . . . . . . . . . . . . . . . 28WebSEAL junction を使用したシングル・サインオンの構成 . . . . . . . . . . . . . . . . . . 28Tivoli Access Manager Plug-in for Web Servers を使用したシングル・サインオンの構成 . . . . . . . . . 29

第 6 部: クラスター環境などの BEA WebLogic Server 複数サーバー環境での Tivoli Access Manager for WebLogicの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30第 7 部: 構成のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

第 4 章シングル・サインオンを使用可能にする . . . . . . . . . . . . . . . . . . 31Tivoli Access Manager WebSEAL を使用したシングル・サインオン. . . . . . . . . . . . . . . . . 31

第 5 章アドミニストレーション・タスク . . . . . . . . . . . . . . . . . . . . . 33Tivoli Access Manager Authorization server で資格サービスを使用可能にする . . . . . . . . . . . . . 33Tivoli Access Manager for WebLogic を使用したユーザーおよびグループの管理 . . . . . . . . . . . . 34デモンストレーション・アプリケーションの使用 . . . . . . . . . . . . . . . . . . . . . . . 35使用上のヒント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37スリー・ストライク・ログオン・ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . 38Tivoli Access Manager レルムの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Tivoli Access Manager for WebLogic の構成解除 . . . . . . . . . . . . . . . . . . . . . . . 40トラブルシューティングのヒント . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40フォーム・ベース・ログイン使用時のシングル・サインオンの失敗 . . . . . . . . . . . . . . . . 40WebLogic Server がメモリー例外をスローする . . . . . . . . . . . . . . . . . . . . . . . 41

制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41既知の問題および対応策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

第 6 章除去の説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Solaris からの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Windows からの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44AIX からの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44HP-UX からの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

付録 A. プロパティー・ファイルのリファレンス. . . . . . . . . . . . . . . . . . . 47amsspi.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47rbpf.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49amwlsjlog.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

付録 B. コマンドのクイック・リファレンス . . . . . . . . . . . . . . . . . . . . 55AMWLSConfigure -action config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56AMWLSConfigure -action unconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58AMWLSConfigure -action create_realm . . . . . . . . . . . . . . . . . . . . . . . . . . . 59AMWLSConfigure -action delete_realm . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

付録 C. 特記事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63商標 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

iv IBM Tivoli Access Manager for e-business: BEA WebLogic Server 統合ガイド

まえがき

IBM® Tivoli® Access Manager for BEA® WebLogic Server® (以下 Tivoli Access

Manager for WebLogic と呼ぶ) へようこそ。当製品は、BEA WebLogic Server 用に作成されたアプリケーションをサポートするために、IBM Tivoli Access Manager

を拡張します。

IBM® Tivoli® Access Manager (Tivoli Access Manager) は、IBM Tivoli Access

Manager 製品スイートのアプリケーションを実行するために必要なベース・ソフトウェアです。 Tivoli Access Manager を使用することにより、広範囲の許可および管理ソリューションを提供する IBM Tivoli Access Manager アプリケーションを統合することができます。統合ソリューションとして購入すれば、これらの製品は、e-business アプリケーションのネットワークとアプリケーションのセキュリティー・ポリシーを集中管理するアクセス・コントロール管理ソリューションを提供します。

注: IBM Tivoli Access Manager は、以前のリリースでは Tivoli SecureWay® Policy

Director と呼ばれていたソフトウェアの新しい名前です。また、Tivoli

SecureWay Policy Director のソフトウェアと資料で使用されていた「管理サーバー」は、現在、「ポリシー・サーバー」と呼ばれています。

本書、「IBM Tivoli Access Manager for WebLogic Server ユーザーズ・ガイド」では、IBM Tivoli Access Manager を BEA WebLogic Server とともに使用する場合のインストール、構成、およびアドミニストレーションに関する説明を記載します。

本書の対象読者この管理ガイドは、次のような読者を対象にしています。

v セキュリティー管理者

v ネットワーク・システム管理者

v IT 設計者

本書の前提として次のような知識が必要です。

v HTTP、TCP/IP、ファイル転送プロトコル (FTP)、Telnet などのインターネット・プロトコル

v WebLogic Server システムのデプロイメントと管理

v 認証および許可を含む、セキュリティー管理

Secure Sockets Layer (SSL) 通信を使用可能にする場合は、SSL プロトコル、鍵交換(公開鍵と秘密鍵)、ディジタル・シグニチャー、暗号アルゴリズム、および認証局についての知識も必要です。

© Copyright IBM Corp. 2003 v

本書の内容本書には次の章があります。

v 第 1 章、『入門と概説』

Tivoli Access Manager for WebLogic によって提供される認証サービスと許可サービスについて、概説します。

v 第 2 章、『インストールの説明』

Tivoli Access Manager for WebLogic のインストール方法を説明します。

v 第 3 章、『構成手順』

Tivoli Access Manager for WebLogic を構成する方法を説明します。

v 第 4 章、『アドミニストレーション・タスク』

デモンストレーション・アプリケーションの使用方法を説明し、使用上のヒント、トラブルシューティング情報、および制限を記載します。

v 第 5 章、『除去の説明』

Tivoli Access Manager for WebLogic を除去する方法を説明します。

資料Tivoli Access Manager ライブラリー、前提資料、および関連資料の説明を検討して、どの資料が役立つかを判断してください。

IBM Tivoli Access Manager for e-business 製品自体の追加情報については、次を参照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/

Tivoli Access Manager ライブラリーは、以下のカテゴリーに編成されています。

v 『リリース情報』

v 『基本情報』

v viiページの『Web セキュリティー情報』

v viiページの『開発者の参照情報』

v viiiページの『技術上の補足情報』

リリース情報v IBM Tivoli Access Manager for e-business はじめにお読みください (GI88-8647-00)

Tivoli Access Manager のインストールと使用に関する入門編の説明があります。

v IBM Tivoli Access Manager for e-business リリース情報 (GI88-8648-00)

ソフトウェアの制限、問題の回避、および資料の更新などの最新情報が記載されています。

基本情報v IBM Tivoli Access Manager Base インストール・ガイド (SC88-9854-00)

Web Portal Manager インターフェースを含む、Tivoli Access Manager ベース・ソフトウェアのインストールおよび構成の方法を説明します。本書は、「IBM Tivoli

vi IBM Tivoli Access Manager for e-business: BEA WebLogic Server 統合ガイド

http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/

Access Manager for e-business Web Security インストール・ガイド」のサブセットであり、IBM Tivoli Access Manager for Business Integration や IBM Tivoli

Access Manager for Operating Systems など、他の Tivoli Access Manager 製品との併用を対象としています。

v IBM Tivoli Access Manager Base 管理者ガイド (SC88-9852-00)

Tivoli Access Manager サービスの概念と使用手順についての説明があります。Web Portal Manager インターフェースから、および pdadmin コマンドを使用して、タスクを実行するための説明が記載されています。

Web セキュリティー情報v IBM Tivoli Access Manager for e-business Web Security インストール・ガイド

(SC88-9853-00)

Tivoli Access Manager ベース・ソフトウェアと Web Security コンポーネントのインストール、構成、および除去について説明します。この資料は、「IBM Tivoli

Access Manager Base インストール・ガイド」のスーパーセットです。

v IBM Tivoli Access Manager for e-business WebSEAL 管理者ガイド (SC88-9851-00)

WebSEAL を使用してユーザーのセキュア Web ドメインのリソースを管理する場合の参考資料、管理手順、および技術参照情報が記載されています。

v IBM Tivoli Access Manager for e-business IBM WebSphere Application Server 統合ガイド (SC88-9860-00)

Tivoli Access Manager を IBM WebSphere® Application Server に統合する際のインストール、除去、および管理について説明します。

v IBM Tivoli Access Manager for e-business Plug-in for IBM WebSphere Edge Server

統合ガイド (SC88-9859-00)

Tivoli Access Manager を IBM WebSphere Edge Server アプリケーションに統合する際のインストール、除去、および管理について説明します。

v IBM Tivoli Access Manager for e-business Plug-in for Web Servers 統合ガイド(SC88-9857-00)

Web サーバー用プラグインを使用して Web ドメインを保護する際のインストールの説明、管理手順、およびテクニカル・リファレンス情報が記載されています。

v IBM Tivoli Access Manager for e-business BEA WebLogic Server 統合ガイド(SC88-9858-00)

Tivoli Access Manager を BEA WebLogic Server に統合する際のインストール、除去、および管理について説明します。

v IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager プロビジョニング・ファースト・スタート・ガイド (SC88-9856-00)

Tivoli Access Manager と Tivoli Identity Manager の統合に関連するタスクの概要と、プロビジョニング・ファースト・スタート (Provisioning Fast Start) コレクションの使用方法およびインストール方法を説明します。

開発者の参照情報v IBM Tivoli Access Manager for e-business Authorization C API デベロッパーズ・リファレンス (SC88-9847-00)

まえがき vii

Tivoli Access Manager Authorization C API および Tivoli Access Manager サービス・プラグイン・インターフェースを使用して Tivoli Access Manager セキュリティーをアプリケーションに追加する方法を説明した参照情報を記載しています。

v IBM Tivoli Access Manager for e-business Authorization Java Classes デベロッパーズ・リファレンス (SC88-9842-00)

Authorization API の Java™ 言語インプリメンテーションを使用して、アプリケーションが Tivoli Access Manager セキュリティーを使用できるようにするための参照情報が記載されています。

v IBM Tivoli Access Manager for e-business Administration C API デベロッパーズ・リファレンス (SC88-9849-00)

Administration API を使用して、アプリケーションが Tivoli Access Manager 管理タスクを実行できるようにするための参照情報が記載されています。この資料には、Administration API の C インプリメンテーションについての説明があります。

v IBM Tivoli Access Manager for e-business Administration Java Classes デベロッパーズ・リファレンス (SC88-9848-00)

Administration API の Java 言語インプリメンテーションを使用して、アプリケーションが Tivoli Access Manager 管理タスクを実行できるようにするための参照情報が記載されています。

v IBM Tivoli Access Manager for e-business Web Security デベロッパーズ・リファレンス (SC88-9850-00)

クロスドメイン認証サービス (CDAS)、クロスドメイン・マッピング・フレームワーク (CDMF)、およびパスワード・ストレングス・モジュールに関する管理情報およびプログラミング情報を提供します。

技術上の補足情報v IBM Tivoli Access Manager for e-business コマンド・リファレンス

(SC88-9864-00)

Tivoli Access Manager で用意されているコマンド行ユーティリティーとスクリプトについての説明があります。

v IBM Tivoli Access Manager for e-business エラー・メッセージ・リファレンス(SC88-9845-00)

Tivoli Access Manager から出されるメッセージについての説明および推奨処置が記載されています。

v IBM Tivoli Access Manager for e-business 問題判別ガイド (SC88-9844-00)

Tivoli Access Manager の問題判別についての説明が記載されています。

v IBM Tivoli Access Manager for e-business パフォーマンス・チューニング・ガイド (SC88-9843-00)

Tivoli Access Manager と、ユーザー・レジストリーとしての IBM Tivoli

Directory Server から構成される環境での、パフォーマンス・チューニングに関する情報が記載されています。

viii IBM Tivoli Access Manager for e-business: BEA WebLogic Server 統合ガイド

関連資料この節には、Tivoli Access Manager ライブラリーに関連する資料の一覧があります。

Tivoli Software Library には、白書、データ・シート、デモンストレーション、レッドブック、および発表レターなど、各種の Tivoli 資料が用意されています。 Tivoli

Software Library は、Web 上の http://www.ibm.com/software/tivoli/library/ で使用可能です。

Tivoli Software Glossary には、Tivoli ソフトウェアに関連した数多くの技術用語の定義が記載されています。 Tivoli Software Glossary は、 Tivoli Software Library

Web ページ http://www.ibm.com/software/tivoli/library/ の左側にある「Glossary」リンクから入手することができます。

IBM Global Security KitTivoli Access Manager では、IBM Global Security Kit (GSKit) バージョン 7.0 を使用してデータ暗号化が行われます。 GSKit は、特定のプラットフォーム用の IBM

Tivoli Access Manager Base CD、IBM Tivoli Access Manager Web Security CD、IBM

Tivoli Access Manager Web Administration Interfaces CD、および IBM Tivoli Access

Manager Directory Server CD に含まれています。

GSKit パッケージが提供する iKeyman 鍵管理ユーティリティー gsk7ikm は、鍵データベース、公開鍵と秘密鍵のペア、および証明書要求を作成するために使用します。次の資料は、Tivoli Information Center Web サイトの、IBM Tivoli Access

Manager 製品資料と同じ節にあります。

v IBM Global Security Kit Secure Sockets Layer の入門および iKeyman ユーザーズ・ガイド (SC88-9855-00)

Tivoli Access Manager 環境で SSL 通信を可能にすることを計画している、ネットワークまたはシステムのセキュリティー管理者用の情報を記載しています。

IBM Tivoli Directory ServerIBM Tivoli Directory Server バージョン 5.2 は、使用するオペレーティング・システムの IBM Tivoli Access Manager Directory Server CD に含まれています。

注: IBM Tivoli Directory Server は、以下の名称で以前にリリースされたソフトウェアの新しい名称です。

v IBM Directory Server (バージョン 4.1 およびバージョン 5.1)

v IBM SecureWay Directory Server (バージョン 3.2.2)

IBM Directory Server バージョン 4.1、IBM Directory Server バージョン 5.1、および IBM Tivoli Directory Server バージョン 5.2 はすべて、IBM Tivoli Access

Manager バージョン 5.1 でサポートされます。

IBM Tivoli Directory Server の追加情報については、次を参照してください。

http://www.ibm.com/software/network/directory/library/

まえがき ix

http://www.ibm.com/software/tivoli/library/

http://www.ibm.com/software/tivoli/library/

http://www.ibm.com/software/network/directory/library/

IBM DB2 Universal DatabaseIBM DB2® Universal Database™ Enterprise Server Edition バージョン 8.1 は、IBM

Tivoli Access Manager Directory Server CD で提供され、IBM Tivoli Directory

Server ソフトウェアと一緒にインストールされます。DB2 は、Tivoli Access

Manager のユーザー・レジストリーとして IBM Tivoli Directory Server、z/OS™ または OS/390® の LDAP サーバーを使用する場合に必要です。

DB2 の追加情報については、次を参照してください。

http://www.ibm.com/software/data/db2/

IBM WebSphere Application ServerIBM WebSphere Application Server、Advanced Single Server Edition 5.0 は、使用するオペレーティング・システムの IBM Tivoli Access Manager Web Administration

Interfaces CD に含まれています。 WebSphere Application Server によって、Tivoli

Access Manager の管理に使用する Web Portal Manager インターフェース、およびIBM Tivoli Directory Server の管理に使用する Web Administration Tool を両方サポートすることが可能になります。 Tivoli Access Manager には IBM WebSphere

Application Server Fix Pack 2 も必要であり、これは IBM Tivoli Access Manager

WebSphere Fix Pack CD で提供されています。

IBM WebSphere Application Server の追加情報については、次を参照してください。

http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager for Business IntegrationIBM Tivoli Access Manager for Business Integration は、単体でご注文いただける製品であり、IBM MQSeries® バージョン 5.2 および IBM WebSphere® MQ バージョン 5.3 メッセージのセキュリティー・ソリューションを提供します。 IBM Tivoli

Access Manager for Business Integration を使用すると、WebSphere MQSeries アプリケーションは、送信アプリケーションおよび受信アプリケーションに関連した鍵を使用して、プライバシーと保全性を守る方法でデータを送ることができます。WebSEAL および IBM Tivoli Access Manager for Operating Systems と同様に、IBM Tivoli Access Manager for Business Integration は、IBM Tivoli Access Manager

のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Business Integration の追加情報については、次を参照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/

IBM Tivoli Access Manager for Business Integration バージョン 5.1 に関連する以下の資料は、Tivoli Information Center Web サイトから入手できます。

v IBM Tivoli Access Manager for Business Integration 管理者ガイド (SC88-9495-00)

v IBM Tivoli Access Manager for Business Integration 問題判別ガイド(GC88-9824-00)

v IBM Tivoli Access Manager for Business Integration リリース情報 (GI88-8614-00)

x IBM Tivoli Access Manager for e-business: BEA WebLogic Server 統合ガイド

http://www.ibm.com/software/data/db2/

http://www.ibm.com/software/webservers/appserv/infocenter.html


v IBM Tivoli Access Manager for Business Integration はじめにお読みください(GI88-8646-00)

IBM Tivoli Access Manager for WebSphere BusinessIntegration BrokersIBM Tivoli Access Manager for Business Integration の一部として入手できる IBM

Tivoli Access Manager for WebSphere Business Integration Brokers は、WebSphere

Business Integration Message Broker バージョン 5.0 および WebSphere Business

Integration Event Broker バージョン 5.0 のセキュリティー・ソリューションを提供します。IBM Tivoli Access Manager for WebSphere Business Integration Brokers はTivoli Access Manager と連携して作動し、パスワードと証明書ベースの認証、中央定義の許可、および監査サービスを提供することによって JMS パブリッシュ/サブスクライブ・アプリケーションを保護します。

IBM Tivoli Access Manager for WebSphere Integration Brokers の追加情報については、次を参照してください。


IBM Tivoli Access Manager for WebSphere Integration Brokers バージョン 5.1 に関連する以下の資料は、Tivoli Information Center Web サイトから入手できます。

v IBM Tivoli Access Manager for WebSphere Business Integration Brokers 管理ガイド (SC88-9825-00)

v IBM Tivoli Access Manager for WebSphere Business Integration Brokers リリース情報 (GI88-8645-00)

v IBM Tivoli Access Manager for Business Integration はじめにお読みください(GI88-8646-00)

IBM Tivoli Access Manager for Operating SystemsIBM Tivoli Access Manager for Operating Systems は、単体でご注文いただける製品であり、ネイティブのオペレーティング・システムで提供されているものに加えて、UNIX システムでの許可ポリシー実施のための 1 つの層を提供します。WebSEAL および IBM Tivoli Access Manager for Business Integration と同様に、IBM Tivoli Access Manager for Operating Systems は、IBM Tivoli Access Manager

のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Operating Systems の追加情報については、次を参照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/

IBM Tivoli Access Manager for Operating Systems バージョン 5.1 に関連する以下の資料は、Tivoli Information Center Web サイトから入手できます。

v IBM Tivoli Access Manager for Operating Systems インストール・ガイド(SC88-9494-00)

v IBM Tivoli Access Manager for Operating Systems 管理者ガイド (SC88-9492-00)

v IBM Tivoli Access Manager for Operating Systems 問題判別ガイド (SC88-9493-00)

v IBM Tivoli Access Manager for Operating Systems リリース情報 (GI88-8613-00)

まえがき xi


http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/

v IBM Tivoli Access Manager for Operating Systems 最初にお読みください(GI88-8611-00)

IBM Tivoli Identity ManagerIBM Tivoli Identity Manager バージョン 4.5 は単体でご注文いただける製品であり、ユーザー (ユーザー ID およびパスワードなど) およびプロビジョニング (すなわち、アプリケーション、リソース、またはオペレーティング・システムへのアクセス権の提供または取り消し) の集中管理を可能にします。Tivoli Identity Manager

は、Tivoli Access Manager Agent を使用して Tivoli Access Manager と統合できます。Agent のご購入について詳しくは、IBM 営業担当者にお問い合わせください。

IBM Tivoli Identity Manager の追加情報については、次を参照してください。

http://www.ibm.com/software/tivoli/products/identity-mgr/

アクセシビリティーアクセシビリティー機能は、運動障害や視覚障害などの障害を持つユーザーがソフトウェア・プロダクトを快適に使用できるようにサポートします。これらの製品を使用することにより、インターフェースを耳で聴いて確認したり、ナビゲートしたりするための支援テクノロジーをご利用いただけます。また、グラフィカル・ユーザー・インターフェースのすべての機能は、マウスを使用しなくてもキーボードから操作できるようになっています。

ソフトウェア・サポートへの連絡IBM 営業担当員にお問い合わせください。

本書の規則本書では、特別な用語とアクションに関して、およびオペレーティング・システムに依存するコマンドおよびパスに関して、いくつかの規則を使用しています。

書体規則本書では、以下の書体規則を使用しています。

太字周囲にあるテキスト、キーワード、パラメーター、オプション、Java クラスやオブジェクトの名前との区別が難しい小文字コマンドまたは大文字小文字混合コマンドは太字で示されます。

イタリック変数、資料のタイトル、および強調される特殊な用語または句はイタリックで示されます。

モノスペースコード例、コマンド行、画面出力、周囲にあるテキストとの区別が難しいファイル名およびディレクトリー名、システム・メッセージ、ユーザーの入力が必要なテキスト、引き数またはコマンド・オプションの値はモノスペースで示されます。

xii IBM Tivoli Access Manager for e-business: BEA WebLogic Server 統合ガイド

http://www.ibm.com/software/tivoli/products/identity-mgr/

オペレーティング・システム間の違い本書では、環境変数の指定およびディレクトリー表記について UNIX 規則を使用します。Windows コマンド行を使用するときは、環境変数の場合は $variable を%variable% に置き換え、ディレクトリー・パスの場合はスラッシュ (/) を円記号(¥) に置き換えてください。Windows システムで bash シェルを使用している場合は、UNIX 規則を使用できます。

まえがき xiii

xiv IBM Tivoli Access Manager for e-business: BEA WebLogic Server 統合ガイド

第 1 章入門と概説

Tivoli Access Manager for WebLogic は、Tivoli Access Manager のセキュリティー機能を使用して BEA WebLogic Server アプリケーションへのアクセスを保護するTivoli Access Manager の拡張機能です。 BEA WebLogic Server Security Service

Provider Interface により、Tivoli Access Manager for WebLogic は Tivoli Access

Manager が管理するユーザー・レジストリーを使用してクライアントを認証します。 IBM Tivoli Access Manager WebSEAL (WebSEAL) または IBM Tivoli Access

Manager Plug-in for Web Servers を使用すれば、Tivoli Access Manager for

WebLogic のセキュリティー機能を拡張して、エンド・ユーザー・シングル・サインオンのサポートを提供できます。

Tivoli Access Manager for WebLogic により、WebLogic Server アプリケーションは、Tivoli Access Manager セキュリティーを使用できるようになります。この場合、コーディングやデプロイメントの変更を必要としません。

Tivoli Access Manager セキュア・ドメインは、Tivoli Access Manager for WebLogic

のインストールより前にデプロイされなければなりません。

Tivoli Access Manager が初めてのユーザーは、セキュア・ドメインをデプロイする前に Tivoli Access Manager セキュリティー・モデルを検討する必要があります。セキュリティー・モデルの簡単な要約について説明します。

Tivoli Access Manager セキュリティー・モデルTivoli Access Manager は、許可管理およびネットワーク・セキュリティー・ポリシー管理の完全なソリューションであり、地理的に分散したイントラネット、エクストラネットを超えて、リソースのエンドツーエンド保護を提供します。

Tivoli Access Manager は、最先端技術のセキュリティー・ポリシー管理を特色としています。さらに、認証、許可、データ・セキュリティー、およびリソース管理の機能もサポートします。 Tivoli Access Manager を標準的なインターネットベースのアプリケーションとともに使用して、高度にセキュアで、よく管理されたイントラネットとエクストラネットを構築します。

Tivoli Access Manager は中核として次を提供します。

v 認証フレームワーク

Tivoli Access Manager は、証明書、基本認証、フォーム、および HTTP ヘッダーを含む、広範囲の認証メカニズムをサポートします。

v 許可フレームワーク

Tivoli Access Manager は許可ポリシー管理のフレームワークを提供します。許可ポリシーは集中的に管理され、エンタープライズ全域の実施ポイントにアクセスするように、自動的に分散されます。 Tivoli Access Manager 許可サービスは、ネイティブ Tivoli Access Manager サーバー・アプリケーションおよびサード・パーティー・アプリケーションへのアクセス要求において、許可および拒否判断を提供します。

© Copyright IBM Corp. 2003 1

WebSEAL は、Web ベースのリソースを対象にした、Tivoli Access Manager リソース・セキュリティー・マネージャーです。 WebSEAL は、ハイパフォーマンスのマルチスレッド Web サーバーで、保護 Web リソースに対するきめの細かいセキュリティーを適用します。

Tivoli Access Manager Plug-in for Web Servers は Tivoli Access Manager と統合して、Web リソースの完全なセキュリティー・ソリューションを提供します。プラグインは、Web サーバーと同じプロセスの一部として作動し、着信する各要求をインターセプトし、権限決定が必要かどうかを判別し、必要に応じてユーザー認証のための手段を提供します。

Tivoli Access Manager Plug-in for Web Servers と WebSEAL はどちらも、シングル・サインオン・ソリューションを提供し、Web アプリケーション・リソースをセキュリティー・ポリシーに取り込みます。

IBM Tivoli Access Manager に関する資料を検討することにより、デプロイメントを決定するのに必要な情報を含め、Tivoli Access Manager についてさらに知識を得ることができます。この資料のまえがきには、関連する Tivoli Access Manager 資料のリストがあります。

Tivoli Access Manager と WebLogic Server の統合Tivoli Access Manager for WebLogic バージョン 5.1 は以下をサポートします。

v BEA WebLogic Server バージョン 7.0 SP2


Tivoli Access Manager for WebLogic バージョン 5.1 は、Security Service Provider

Interface (SSPI) を使用した BEA WebLogic Server の完全セキュリティー・フレームワークを提供します。

注: Tivoli Access Manager for WebLogic バージョン 5.1 は、BEA WebLogic Server

カスタム・レルムをサポートしません。 BEA WebLogic Server カスタム・レルムのサポートは、Tivoli Access Manager for WebLogic バージョン 4.1 の一部として行われていました。

BEA WebLogic Server は、Tivoli Access Manager for WebLogic など、サード・パーティー・セキュリティー・プロバイダーに SSPI を提供し、そのセキュリティー機能をシームレスに BEA WebLogic Server アーキテクチャーに統合します。

Tivoli Access Manager Security Service Provider Interfaceコンポーネント

Tivoli Access Manager for WebLogic は、各 BEA WebLogic Server のセキュア・ドメインで作成されたデフォルトのセキュリティー・レルムを置き換え、以下の BEA

WebLogic Server セキュリティー・プロバイダーを提供します。

v 認証プロバイダー

v 許可プロバイダー

v 役割マッピング・プロバイダー

2 IBM Tivoli Access Manager for e-business: BEA WebLogic Server 統合ガイド

Tivoli Access Manager for WebLogic は、デフォルトの BEA WebLogic Server 信任状マッピング・セキュリティー・プロバイダーとデフォルトの鍵ストアを使用します。

上でリストされた各プロバイダーには、WebLogic コンソールを介して構成を編集できるようにする管理 Bean (MBean) も含まれます。下の節では、これらのプロバイダーや MBean がそれぞれ提供する機能について詳しく説明します。

Tivoli Access Manager は、BEA WebLogic Server との次の統合点を提供します。

認証プロバイダーTivoli Access Manager for WebLogic 認証プロバイダーは、BEA WebLogic Server

の単純な認証をインプリメントします。単純な認証では、ユーザーはユーザー名とパスワードの組み合わせを使用して BEA WebLogic Server への認証を試みます。このユーザー名とパスワードは、Tivoli Access Manager Java ランタイム・コンポーネントを使用して Tivoli Access Manager によって検査されます。

Tivoli Access Manager for WebLogic は、独自のログイン・モジュールを提供します。このモジュールは、WebSEAL または Tivoli Access Manager Plug-in for Web

Servers のシングル・サインオン機能を提供するために使用されます。シングル・サインオン機能を使用可能にする方法について詳しくは、 31ページの『第 4 章シングル・サインオンを使用可能にする』を参照してください。

Tivoli Access Manager for WebLogic の認証プロバイダーは、以下の複数のコンポーネントで構成されます。

v 認証プロバイダー

IBM Tivoli Access Manager for WebLogic Server 認証プロバイダーを WebLogic

セキュリティー・フレームワークに統合します。

v Java 認証許可サービス (JAAS) ログイン・モジュール

単純なシングル・サインオン認証を実行します。 JAAS ログイン・モジュールは、JAAS 標準によって指定されたプリンシパルで取り込まれたサブジェクトを戻します。 Tivoli Access Manager for WebLogic は独自のログイン・モジュールを提供します。このモジュールは、Tivoli Access Manager Authorization server への認証に Tivoli Access Manager Java ランタイム・コンポーネントを使用します。

v 認証 MBean

WebLogic コンソールからの認証プロバイダーの構成を可能にします。これにより、ユーザーは、Tivoli Access Manager for WebLogic コンソール拡張を使用したユーザーの追加や削除など、ユーザー・レジストリー管理タスクを実行することもできます。

許可プロバイダー許可プロバイダーは、BEA WebLogic Server と外部許可サービス (EAS) の間のインターフェースを提供します。許可プロバイダーは、BEA WebLogic Server リソースへのアクセスを許可するのか拒否するのかを決定します。アクセス決定は、Tivoli

Access Manager Java ランタイム・コンポーネントとともに配布されるPDPermission クラスを使用して行われます。

第 1 章入門と概説 3

Tivoli Access Manager for WebLogic の許可プロバイダーは以下のコンポーネントで構成されます。

v 許可プロバイダー

許可プロバイダーを WebLogic セキュリティー・フレームワークに統合します。Tivoli Access Manager for WebLogic 許可プロバイダーは、BEA WebLogic Server

リソースへのアクセスを制御し、Tivoli Access Manager オブジェクト・スペースへのポリシーのデプロイメントと、Tivoli Access Manager オブジェクト・スペースからのポリシーの除去を処理します。

v 許可 MBean

WebLogic コンソールからの許可プロバイダーの構成を可能にします。また、WebLogic コンソールからポリシーを作成および削除するなどの操作のために起動されます。

役割マッピング・プロバイダー役割マッピング・プロバイダーは、役割の管理に使用されている、BEA WebLogic

Server と外部許可サービス (EAS) の間のインターフェースの提供に使用されます。役割マッピング・プロバイダーは、許可プロバイダーの担当であるポリシーではなく役割に焦点を当てます。

役割マッピング・プロバイダーは以下のコンポーネントで構成されます。

v 役割マッピング・プロバイダー。

役割マッピング・プロバイダーを WebLogic セキュリティー・フレームワークに統合します。 Tivoli Access Manager for WebLogic 役割マッピング・プロバイダーは、役割のデプロイメントと削除を担当しています。

v 役割マッピング MBean。

WebLogic コンソールからの役割マッピング・プロバイダーの構成を可能にします。また、WebLogic コンソールから役割を削除することにより役割メンバーシップを作成および更新するなどの操作のために起動されます。

ポリシーおよび役割のデプロイメントポリシーと役割は、デプロイメント記述子内に定義するか、または WebLogic コンソールを介して作成することができます。 J2EE アプリケーションのデプロイメント時に、アプリケーション・デプロイメント記述子内に定義された役割とポリシーが Tivoli Access Manager 保護オブジェクト・スペースにエクスポートされます。

Tivoli Access Manager 管理ユーティリティー pdadmin または Tivoli Access

Manager Web Portal Manager を使用したポリシーの作成は可能ですが、作成されることはありません。 Tivoli Access Manager for WebLogic を使用する BEA

WebLogic Server を開始する前に、Tivoli Access Manager 内にいくつかのデフォルト・ポリシーが作成されなければなりません。これは、Tivoli Access Manager for

WebLogic の構成中に実行されます。— Tivoli Access Manager for WebLogic 構成について詳しくは、 19ページの『第 3 章構成手順』を参照してください。

リソースおよび役割BEA WebLogic Server は、多くの異なるリソース・タイプを定義します。これらのタイプはすべて Tivoli Access Manager for WebLogic によってサポートされます。


すべてのリソース・タイプは、Tivoli Access Manager for WebLogic 内では同じであるとみなされるため、BEA WebLogic Server の将来のリリース用に作成される新規リソース・タイプは自動的にサポートされます。

すべてのリソース・タイプに定義されたポリシーと役割は、一貫した方法で Tivoli

Access Manager 保護オブジェクト・スペースに保管されます。

保護できるサポート対象 BEA WebLogic Server リソースの現行リストは、以下のとおりです。

v 管理リソース

v アプリケーション・リソース

v COM リソース

v EIS リソース

v EJB リソース

v JDBC リソース

v JMS リソース

v サーバー・リソース

v URL リソース

v Web サービス・リソース

リソースは Tivoli Access Manager 保護オブジェクト・スペース内に次の形式で表されます。

/WebAppServer/WLS/Resources/wls_domain/wls_realm/resource_type/Details

役割は Tivoli Access Manager 保護オブジェクト・スペース内に次の形式で表されます。

/WebAppServer/WLS/Roles/wls_domain/wls_realm/role_name/AppName

これらの Tivoli Access Manager 保護オブジェクト・コンテナー名は、Tivoli Access

Manager for WebLogic を使用して構成されたプロパティー・ファイルにより完全に構成可能です。そのため、すべての BEA WebLogic Server と他のアプリケーション・サーバーを構成して、1 つの Tivoli Access Manager ドメインにすることができます。これにより、すべてのアプリケーション・サーバー・タイプの役割とポリシーについて集約されたロケーションを作成することができます。

Tivoli Access Manager 認証の使用Tivoli Access Manager は、外部ユーザーと内部ユーザーのいずれに対する認証の提供にも、使用できます。外部ユーザーの認証は、WebSEAL または Tivoli Access

Manager Plug-in for Web Servers のいずれかのシングル・サインオン機能に依存します。最高度のネットワーク・セキュリティーの場合、WebSEAL または the Tivoli

Access Manager Plug-in for Web Servers のいずれかを介して外部ユーザーからアクセス要求を受信する各 WebLogic Server は、内部ユーザーからアクセス要求を受け入れません。以下の節では、外部ユーザーと内部ユーザーの両方に対する認証を処理する方法について説明します。


WebSEAL を使用した外部ユーザーの認証下記の図は、外部ユーザーからの保護リソースへのアクセスを求める要求を処理するモデルを示したものです。

以下のリストは、上の図で示されるプロセスを説明します。

1. 外部ユーザーが、保護リソースへのアクセスを要求します。要求は、エンタープライズのセキュア・ネットワークに入る前に WebSEAL によって受け取られます。

2. WebSEAL はユーザー要求をインターセプトし、Tivoli Access Manager セキュア・ドメインでユーザーを認証します。

WebSEAL がサポートする認証方式は次の通りです。ユーザー名とパスワード、証明書、ユーザー名と RSA SecureID、あるいはカスタム認証メカニズム。

WebSEAL は、要求された URL および Tivoli Access Manager アクセス・ポリシーに基づいて、自身の許可判断を適用します。 WebSEAL は、アカウント妥当性、時刻、および認証メカニズムなどの考慮事項を適用することができます。

3. ユーザーの URL 要求が許可されると、WebSEAL はその要求を WebLogic

Server に転送します。要求は、基本認証ヘッダーの中に外部のユーザー名と特殊なパスワードを含んでいます。この特殊なパスワードは sso_user に属していて、このパスワードを使用すると、Security Service Provider Interface はWebSEAL をこの要求の起点として確認できます。

sso_user について詳しくは、 19ページの『第 3 章構成手順』を参照してください。

4. WebLogic Server は、認証済みユーザー ID とパスワードを透過的に Security

Service Provider Interface に渡します。

5. Security Service Provider Interface は Tivoli Access Manager 認証サービスを使用して、WebSEAL が提供するパスワードが前述の sso_use に正しいことを確認します。つまり、このパスワードは、要求の発信元が WebSEAL であるというトラストの基礎を提供します。

図 1. Tivoli Access Manager は外部ユーザーに対してシングル・サインオン認証を提供


これで、要求は許可の準備ができました。

内部ユーザーの認証下の図は、WebSEAL またはプラグイン・セキュリティーを通過しない内部ユーザーによる保護リソースへのアクセスを求める要求を処理するためのモデルを示します。

以下のリストは、上の図で示されるプロセスを説明します。

1. 内部ユーザーが保護リソースへのアクセスを要求します。

2. WebLogic ユーザー認証モジュールがユーザーの ID を Security Service Provider

Interface に送信します。

3. Security Service Provider Interface が認証要求をユーザー・レジストリーに送信します。

認証が成功すると、Security Service Provider Interface はユーザー名を認証済みユーザーとして WebLogic Server に戻します。

4. 要求を認証するために、BEA WebLogic Server は、認証済み現行ユーザー(unauth の場合がある) が要求リソースにアクセスすることを許可されているかどうかを判別する Tivoli Access Manager for WebLogic 許可プロバイダーを照会します。

アクセスは、Tivoli Access Manager Authorization server への呼び出しによって決定されます。 Tivoli Access Manager Authorization server は、リソースへのアクセス権が付与される役割を選択し、その役割のいずれかを認証済みの現行ユーザーに付与するかどうかを決定します。

図 2. Tivoli Access Manager カスタム・レルムは内部ユーザーの認証を提供


ロギングと監査Tivoli Access Manager for WebLogic 内のロギングは、Tivoli Access Manager Java

ランタイム・コンポーネントとともに配布される IBM JLog クラスによって処理されます。 Tivoli Access Manager for WebLogic と、Tivoli Access Manager for

WebLogic に同梱の JLog プロパティー・ファイルを使用することにより、BEA

WebLogic Server ロギング・クラスを使用するように JLog クラスを構成することができます。これにより、Tivoli Access Manager for WebLogic はイベントのログをWebLogic ログ・ファイルに直接記録できます。

信頼性、可用性、およびスケーラビリティーTivoli Access Manager for WebLogic は Tivoli Access Manager Java ランタイム・クラスを使用して、Tivoli Access Manager 保護オブジェクト・データベースとユーザー・レジストリーを操作します。内部 Tivoli Access Manager for WebLogic キャッシュにより、アクセス決定のパフォーマンスが向上します。

Tivoli Access Manager Java ランタイム・クラスは、Tivoli Access Manager

Authorization server のフェイルオーバーをサポートします。 1 次 Authorization

server が壊れると、2 次サーバーへのフェイルオーバーが自動的に行われます。

推奨環境セットアップは、複製された acld と Tivoli Access Manager for WebLogic

資格サービスを使用します。

アクセス決定は、Tivoli Access Manager Policy Server、または Tivoli Access

Manager for WebLogic に同梱の Tivoli Access Manager Authorization server 資格サービスを使用して実行できます。

Tivoli Access Manager Policy Server 構成は、Single Point of Failure とパフォーマンス問題のため、テスト環境でのみ使用してください。資格サービスは、特に実稼働環境で使用するために開発されました。詳しくは、 33ページの『Tivoli Access

Manager Authorization server で資格サービスを使用可能にする』を参照してください。


第 2 章インストールの説明

この章では、以下のトピックについて説明します。

v 『サポートされているプラットフォーム』

v 『ディスクおよびメモリーの要件』

v 10ページの『ソフトウェア前提条件』

v 12ページの『インストール・ウィザードを使用したインストール』

v 15ページの『ネイティブ・ユーティリティーを使用したインストール』

サポートされているプラットフォームTivoli Access Manager for WebLogic バージョン 5.1 は以下をサポートします。



Tivoli Access Manager for WebLogic は、このリリースのカスタム・レルムをサポートしません。その代わり、この統合は、BEA WebLogic Server Security Service

Provider Interface (SSPI) をサポートします。

Tivoli Access Manager for WebLogic は、以下のオペレーティング・システムでサポートされます。

v IBM AIX 5.1

v Sun Solaris 8 および 9

v Hewlett-Packard HP-UX 11.0 および 11i (BEA WebLogic Server バージョン 7.0

のみ)

v Microsoft Windows 2000 Server および Advanced Server (Service Pack 3)

注: Tivoli Access Manager for WebLogic は、Java 2 Security Manager が使用可能にされた状態で実行中のシステムをサポートします。 Java ポリシー・ファイルには、Java 2 Security Manager が機能するための特定のコードベースに必要な許可を含むソフトウェアが提供されます。

ディスクおよびメモリーの要件Tivoli Access Manager for WebLogic のディスクおよびメモリーの要件は以下の通りです。

v 64 MB RAM (128 MB を推奨)。

これは、BEA WebLogic Server およびその他の Tivoli Access Manager コンポーネントによって指定されるメモリー要件に加えて必要とされるメモリー容量です。この追加の 64 MB RAM は、キャッシュ・パフォーマンスを最適化するために使用されます。


他の Tivoli Access Manager コンポーネントによって必要とされるメモリー容量は、ホスト・システムにインストールされる Tivoli Access Manager コンポーネントによって異なります。詳しくは、「IBM Tivoli Access Manager Base インストール・ガイド」を参照してください。

v 2 MB のディスク・スペース (4 MB を推奨)。

この要件は、BEA WebLogic Server およびその他の Tivoli Access Manager コンポーネントによって必要とされるディスク・スペースに追加されます。

v 5 MB ディスク・スペース (ログ・ファイル用)。

これは、ソフトウェア・コンポーネントに必要なディスク・スペースとは別に必要です。

ソフトウェア前提条件Tivoli Access Manager for WebLogic を正常にインストールするには、以下の節に記載されている前提条件が必要です。

v 『Tivoli Access Manager Policy Server』

v 『Tivoli Access Manager WebSEAL または Tivoli Access Manager Plug-in for

Web Servers』

v 11ページの『BEA WebLogic Server』

v 11ページの『Tivoli Access Manager Java ランタイム』

Tivoli Access Manager Policy ServerTivoli Access Manager セキュア・ドメインは、Tivoli Access Manager for WebLogic

のインストールより前に設定される必要があります。

Tivoli Access Manager セキュア・ドメインは、Tivoli Access Manager Policy Server

のインストール時に確立されます。このポリシー・サーバーは、ご使用のオペレーティング・システム用の IBM Tivoli Access Manager Base CD で配布されます。

一般に、Tivoli Access Manager Policy Server は、Tivoli Access Manager for

WebLogic のホストになっているシステム以外のシステムにインストールされます。

Tivoli Access Manager Authorization serverTivoli Access Manager Authorization server は、BEA WebLogic Server と Tivoli

Access Manager for WebLogic がインストールされている同じホストにインストールする必要があります。

Authorization server は、Tivoli Access Manager 許可サービスへのアクセス権をBEA WebLogic Server に提供します。許可サーバーは、ロギングおよび監査コレクション・サーバーとしても作動し、サーバー・アクティビティーのレコードを保管します。

Tivoli Access Manager WebSEAL または Tivoli AccessManager Plug-in for Web Servers

Tivoli Access Manager WebSEAL (WebSEAL) と Tivoli Access Manager Plug-in for

Web Servers (プラグイン) は、Tivoli Access Manager for WebLogic が使用できる


Web ベースのセキュリティー・サービスを提供します。これらのアプリケーションは、インストール時に BEA WebLogic Server シングル・サインオン・ソリューションを提供するために使用できます。

WebSEAL またはプラグインは、Tivoli Access Manager for WebLogic をインストールするための前提条件ではありません。これらは、シングル・サインオン・ソリューションを必要とする場合に必要です。

WebSEAL またはプラグインのインストールの説明については、「IBM Tivoli Access

Manager for e-business Web Security インストール・ガイド」を参照してください。

WebSEAL または他のプロキシー・サーバーを使用して BEA WebLogic Server に接続する場合、そのプロキシー・サーバーが、BEA WebLogic Server の保護リソースにアクセスするユーザーの単一の POC であることを確認してください。アクセスを制限するには、BEA WebLogic Server 接続フィルターを作成する必要があります。接続フィルターを使用する場合、役割を使用してアクセスを制限する場合より、ネットワーク・レベルでリソースを保護できます。接続フィルターの作成について詳しくは、BEA WebLogic Server の資料を参照してください。

BEA WebLogic ServerBEA WebLogic Server は、Tivoli Access Manager for WebLogic をホストするシステム上にインストールされ構成される必要があります。BEA WebLogic Server は、startWebLogic コマンドを使用して起動されます。

BEA WebLogic Server は、AIX を除くすべてのサポート対象プラットフォームで必要な Java Runtime Environment とともに配布されます。 Tivoli Access Manager for

WebLogic はこれと同じ Java Runtime Environment を使用します。 BEA WebLogic

Server を正しくインストールすれば、Java Runtime Environment に関する Tivoli

Access Manager for WebLogic 前提条件が満たされます。

AIX 上の IBM Java Runtime EnvironmentAIX システムの BEA WebLogic Server 7.0 では、IBM Java Runtime Environment

バージョン 1.3 が、Tivoli Access Manager for WebLogic のホストとなるシステム上にインストールされなければなりません。 AIX システムの BEA WebLogic

Server 8.1 では、IBM Java Runtime Environment バージョン 1.4 が、Tivoli Access

Manager for WebLogic のホストとなるシステム上にインストールされなければなりません。 Tivoli Access Manager for WebLogic は、前述と同じバージョンの Java

Runtime Environment を使用します。

Tivoli Access Manager Java ランタイムTivoli Access Manager Base からの Tivoli Access Manager Java Runtime

Environment バージョン 5.1 は、Tivoli Access Manager for WebLogic のホストとなるシステム上にインストールおよび構成されなければなりません。

Tivoli Access Manager Java Runtime Environment は、Java ベースの認証機能および許可機能を提供します。これらの Java クラスは、BEA WebLogic Server によって使用される Java Runtime Environment を拡張します。

第 2 章インストールの説明 11

Tivoli Access Manager セキュア・ドメインは、Tivoli Access Manager for WebLogic

のホストとなるシステム上で Tivoli Access Manager Java Runtime Environment を構成する前に設定されなければなりません。

Tivoli Access Manager Java Runtime Environment は、サポート対象のオペレーティング・システムごとに IBM Tivoli Access Manager Base CD で配布されます。インストールの説明については、「IBM Tivoli Access Manager Base インストール・ガイド」を参照してください。

インストール・ウィザードを使用したインストール

重要このインストール・ウィザードは、BEA WebLogic Server バージョン 7.0 のデフォルト・インストール・ロケーションについてのみサポートされています。 BEA WebLogic Server バージョン 8.1 を使用している場合は、 15ページの『ネイティブ・ユーティリティーを使用したインストール』内の指示に従ってください。

install_amwls インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールおよび構成することで、Tivoli Access Manager for WebLogic Server

システムのセットアップを単純にしています。

v Access Manager Java Runtime Environment

v Access Manager for WebLogic Server

install_amwls ウィザードを使用して Tivoli Access Manager for WebLogic Server

システムをインストールおよび構成するには、以下のステップに従ってください。

1. Tivoli Access Manager レジストリー・サーバー、Policy Server、およびAuthorization server がドメインにすでにセットアップされていることを確認します。

2. 必要なオペレーティング・システム・パッチがすべてインストールされていることを確認します。詳しくは、 9ページの『サポートされているプラットフォーム』を参照してください。

3. 状況およびメッセージを英語 (デフォルト) 以外の言語で表示するには、インストール・ウィザードを実行する前に、言語サポート・パッケージをインストールする必要があります。

4. このマシンに BEA WebLogic Server がインストールおよび構成されていること、および BEA WebLogic Server ドメインが作成されていることを確認します。

5. Windows システムでは、実行中のプログラムをすべて終了します。

6. BEA WebLogic Server を開始します。

UNIX /WLS_install_dir/user_projects/domain_name/startWebLogic.sh

WindowsC:¥WLS_install_dir¥user_projects¥domain_name/startWebLogic.cmd


7. CLASSPATH および PATH 変数を設定し、WebLogic .jars を CLASSPATH に追加し、次のスクリプトを BEA WebLogic Server

WebLogic_install_dir/server/bin ディレクトリーから実行して WebLogic

.jars を bin および lib ディレクトリーに追加します。

UNIX .setWLSEnv.sh

WindowssetWLSEnv.cmd

インストール・ウィザードを実行する前に、まず BEA WebLogic Server に同梱された Java 実行可能プログラムが、システム・パスにあることを確認します。

8. AIX、HP-UX (BEA WebLogic Server 7.0 のみ)、Solaris、および Windows プラットフォーム用の Tivoli Access Manager Web Security CD のルート・ディレクトリーにある install_amwls プログラムを実行します。 BEA WebLogic

Server がデフォルトのロケーションにインストールされていない場合は、次のコマンドでインストール・ウィザードを実行する必要があります。

install_amwls -is:javahome path

path は、ウィザードを使用してインストールを実行するために使用される jre

のロケーションです。

注:

1. install_amwls.options.template ファイルは、サイレント・インストールの場合や、デフォルトのインストール値を単にオーバーライドする場合にも使用できます。このファイルを編集し、必要な値をすべて含めてください。

v デフォルトの値をオーバーライドするには、次のコマンドを使用します。

install_amwls -options install_amwls.options.template

v サイレント・インストールを実行するには、次のコマンドを使用します。

install_amwls -silent -options install_amwls.options.template

2. 英語以外のプラットフォームでのインストール・ウィザードでは、BEA

WebLogic Server に同梱された JDK を使用すると、「ようこそ(Welcome)」画面に意味不明のテキストが表示される場合があります。この表示問題は、実際のソフトウェアのインストールには影響はありません。この問題を修正する場合は、IBM JDK 1.3.1 をインストールし、それを使用して install_amwls を実行します。

まずインストール・ウィザードは、構成情報 (14 ページの『install_amwls オプション』を参照) を入力するよう指示します。 Windows システムの場合のみ、Tivoli Access Manager for WebLogic のデフォルトのインストール・ディレクトリーを必ず受け入れてください。

注: この情報を指定する (またはデフォルト値を受け入れる) と、この後は介入なしにコンポーネントがインストールおよび構成されます。

インストール・ウィザードの最後に要約画面が表示されます。この画面には、インストールされたコンポーネント、試行された構成、およびその構成が成功したかどうかが表示されます。インストールは成功したが構成が失敗した場合


は、 19ページの『第 3 章構成手順』のステップに従って Tivoli Access

Manager for WebLogic の構成を手動で試行できます。それ以外の場合は、以下のステップを続行してください。

9. BEA WebLogic Server を停止します。

10. インストールでファイル AMSSPIProviders.jar が/bea_install_dir/weblogic/server/lib/mbeantypes ディレクトリーにコピーされたことを確認してください。このファイルがこのディレクトリーに存在しない場合は、このファイルを手動で /amwls_install_dir/lib からコピーしてください。

11. 21ページの『第 2 部: startWebLogic 用の CLASSPATH の設定』の指示に従って、startWebLogic コマンドの CLASSPATH を設定します。

12. Tivoli Access Manager レルムを作成および構成します。詳しくは、 25ページの『第 4 部: Tivoli Access Manager レルムの構成』を参照してください。

13. WebLogic コンソールを使用して、BEA WebLogic Server を再始動します。

14. BEA WebLogic Server のシングル・サインオン・サービスを提供する Tivoli

Access Manager WebSEAL を使用する場合、 28ページの『第 5 部: BEA

WebLogic Server シングル・サインオン用の構成』の指示に従います。

15. インストールと構成をテストして、Tivoli Access Manager for WebLogic がTivoli Access Manager レジストリーに対して正しく構成されていることを確認してください。それには、 30ページの『第 7 部: 構成のテスト』のステップを実行してください。

install_amwls オプション以下は、install_amwls の実行時に表示されるオプションです。

表 1. install_amwls インストール・ウィザードの構成オプション。

構成オプション説明デフォルト値

リモート ACL ユーザー *

Authorization server と通信するために作成される Tivoli Access Manager プリンシパル。

sec_master パスワード *Tivoli Access Manager アドミニストレーター・パスワード。

Policy Server ホスト名 *Policy Server の完全修飾ホスト名。例:

pdmgr.tivoli.com

Policy Server ポート番号 *

Policy Server が要求を listen するポート番号。デフォルト・ポート番号は 7135 です。

7135

Authorization server ホスト名*Tivoli Access Manager Authorization server

のホスト名。

Authorization server ポート番号* Authorization server のポート番号。 7136

true に設定されている場合、AMWLS5.1 コンソール拡張をデプロイします。

true

WebLogic Domain アドミニストレーター *

BEA WebLogic Server ドメインのアドミニストレーター。このユーザーは、WebLogic

ドメインを作成したときに設定されています。


表 1. install_amwls インストール・ウィザードの構成オプション。 (続き)

構成オプション説明デフォルト値

WebLogic ドメイン管理パスワード *WebLogic ドメイン・アドミニストレーターのパスワード。

Access Manager for WebLogic Server のインストール・ディレクトリーへのパス。

Windows システムでは、デフォルトを使用する必要があります。

C:¥Program

Files¥Tivoli¥pdwls

WebLogic Admin Server の URL。 t3://localhost:7001

ネイティブ・ユーティリティーを使用したインストールご使用のオペレーティング・システムに合った節の以下の指示を完了します。

v 『AIX でのインストール』

v 16ページの『HP-UX でのインストール』

v 17ページの『Solaris でのインストール』

v 17ページの『Windows でのインストール』

注: Tivoli Access Manager for WebLogic をインストールする前に必ず BEA

WebLogic Server を停止して、インストールの完了後に再始動してください。

AIX でのインストールTivoli Access Manager for WebLogic インストールは、ファイルの抽出をパッケージ構成から分離します。ソフトウェア・パッケージを AIX にインストールするには、installp を使用します。その後に、Tivoli Access Manager for WebLogic を手動で構成します。

注: すでに Tivoli Access Manager for WebLogic をインストールして構成済みで再インストールする必要がある場合は、まず Tivoli Access Manager for WebLogic

パッケージを構成解除し除去を行う必要があります。44 ページの『AIX からの除去』を参照してください。

Tivoli Access Manager for WebLogic を AIX 上にインストールするには、次の指示を完了します。

1. root としてログインします。

2. Tivoli Access Manager Base からの必須コンポーネントを含むソフトウェア前提条件が満たされていることを確認します。 10ページの『ソフトウェア前提条件』を参照してください。

3. IBM Tivoli Access Manager Web Security for AIX CD を CD ドライブに挿入します。

4. シェル・プロンプトで次のコマンドを入力します。

installp -acgNXd cd_mount_point/usr/sys/inst.images PDWLS

注: インストールでファイル AMSSPIProviders.jar が/bea_install_dir/weblogic/server/lib/mbeantypes ディレクトリーにコピーされたことを確認してください。このファイルがこのディレクトリーに存在しない場合は、このファイルを手動で /amwls_install_dir/lib からコピーしてください。


5. 次に、Tivoli Access Manager for WebLogic を構成します。 19ページの『第 3

章構成手順』へ進んでください。

HP-UX でのインストール

重要HP-UX プラットフォームにインストールする場合、Tivoli Access Manager for

WebLogic は BEA WebLogic Server バージョン 7.0 についてのみサポートされます。

すでに Tivoli Access Manager for WebLogic をインストールおよび構成していて、再インストールする必要がある場合は、最初に構成解除してから除去してください。 45ページの『HP-UX からの除去』を参照してください。

Tivoli Access Manager for WebLogic を HP-UX 上にインストールするには、次のステップを完了します。

1. ユーザー root としてログインします。


3. pfs_mountd および pfsd が稼働していなければ、それらを順にバックグラウンドで開始します。 pfs_mount コマンドを使用して CD をマウントします。たとえば、次のように入力します。

/usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom

/dev/dsk/c0t0d0 は CD デバイスでです。 /cd-rom はマウント・ポイントです。

4. 次のコマンドを入力して Tivoli Access Manager for WebLogic パッケージをインストールします。

# swinstall -s /cd_rom/hp PDWLS

分析フェーズが正常に完了したことを示すメッセージが表示されます。次に、実行フェーズが開始されようとしていることを示すメッセージが表示されます。ファイルが CD から抽出され、ハード・ディスクにインストールされます。実行フェーズが正常に完了したことを示すメッセージが表示されます。 swinstall ユーティリティーが終了します。





Solaris でのインストールTivoli Access Manager for WebLogic インストールは、ファイルの抽出をパッケージ構成から分離します。 pkgadd を使用してソフトウェア・パッケージを Solaris オペレーティング環境 (以降は Solaris と呼びます) にインストールします。その後に、Tivoli Access Manager for WebLogic を手動で構成します。

注: すでに Tivoli Access Manager for WebLogic をインストールおよび構成していて、再インストールする必要がある場合は、最初に構成解除してから除去してください。 43ページの『Solaris からの除去』を参照してください。

Tivoli Access Manager for WebLogic を Solaris 上にインストールするには、次の指示を完了します。

1. ユーザー root としてログインします。


3. IBM Tivoli Access Manager Web Security for Solaris CD を挿入します。

4. 次のコマンドを実行して、ソフトウェアをインストールします。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/solaris/pddefault PDWLS

説明:

-d /cdrom/cdrom0/solaris パッケージの場所を指定します。

-a /cdrom/cdrom0/solaris/pddefault インストール管理スクリプトの場所を指定します。

各パッケージのインストール・プロセスが完了するたびに、以下のメッセージが表示されます。

Installation of package successful.




Windows でのインストールTivoli Access Manager for WebLogic インストールは、ファイルの抽出をパッケージ構成から分離します。 InstallShield setup.exe を使用して、Tivoli Access Manager

for WebLogic ファイルをインストールします。 InstallShield が完了したら、 19ページの『第 3 章構成手順』の指示により Tivoli Access Manager for WebLogic を構成します。


注: すでに Tivoli Access Manager for WebLogic をインストールおよび構成していて、再インストールする必要がある場合は、最初に構成解除してから除去してください。 44ページの『Windows からの除去』を参照してください。

Tivoli Access Manager for WebLogic を Windows にインストールするには、以下の指示を完了します。

1. Windows ドメインに、Windows アドミニストレーター特権を持つユーザーとしてログインします。


3. IBM Tivoli Access Manager Web Security for Windows CD を CD ドライブに挿入します。

4. 次のファイルをダブルクリックして、Tivoli Access Manager for WebLogic

InstallShield セットアップ・プログラムを実行します。ここで、下記のコマンド内の文字 E: は CD ドライブを表します。

E:¥Windows¥PolicyDirector¥Disk Images¥Disk1¥PDWLS¥Disk Images¥Disk1¥setup.exe

「セットアップする言語の選択 (Choose Setup Language)」ウィンドウがオープンします。

5. 該当する言語を選択し、「OK」をクリックします。

InstallShield プログラムが始動し、「ようこそ (Welcome)」ウィンドウがオープンします。

6. 「次へ」をクリックします。

「使用条件 (License Agreement)」ウィンドウがオープンされます。

7. ご使用条件を読み、その使用条件を受け入れるのであれば「はい」をクリックします。

「宛先ロケーションの選択 (Choose Destination Location)」ウィンドウがオープンします。

8. デフォルトのロケーションを受け入れるか、またはブラウズして代わりのロケーションを探します。「次へ」をクリックします。

「ファイル・コピーの開始 (Start Copying Files)」ウィンドウがオープンします。

9. 表示されたインストール・ロケーションが正しいことを確認して、「次へ」をクリックします。

ファイルがディスクに抽出されます。ファイルがインストールされたことを示すメッセージが表示されます。

10. 「終了」をクリックして、セットアップ・プログラムを終了します。

11. インストールでファイル AMSSPIProviders.jar がc:¥bea_install_dir¥weblogic¥server¥lib¥mbeantypes ディレクトリーにコピーされたことを確認します。このファイルがこのディレクトリーに存在しない場合は、このファイルを手動で c:¥amwls_install_dir¥lib からコピーしてください。




第 3 章構成手順

Tivoli Access Manager for WebLogic を構成するには、以下の各節にある指示を完了します。

v 『第 1 部: Tivoli Access Manager Java Runtime Environment の構成』

v 21ページの『第 2 部: startWebLogic 用の CLASSPATH の設定』

v 22ページの『第 3 部: Tivoli Access Manager for WebLogic の構成』

v 25ページの『第 4 部: Tivoli Access Manager レルムの構成』

v 28ページの『第 5 部: BEA WebLogic Server シングル・サインオン用の構成』

v 30ページの『第 6 部: クラスター環境などの BEA WebLogic Server 複数サーバー環境での Tivoli Access Manager for WebLogic の構成』

v 30ページの『第 7 部: 構成のテスト』

注: 本章の説明は、Tivoli Access Manager for WebLogic および前提条件ソフトウェア (Tivoli Access Manager Base コンポーネントを含む) をインストール済みであることを前提にしています。これらのソフトウェアが未インストールの場合、 9ページの『第 2 章インストールの説明』にある指示に従ってここでインストールしてください。

第 1 部: Tivoli Access Manager Java Runtime Environment の構成Tivoli Access Manager Java Runtime Environment は Tivoli Access Manager for

WebLogic の前提条件です。 Java ランタイム・コンポーネントが正しく構成されてからでないと、BEA WebLogic Server レルムを構成することはできません。 Tivoli

Access Manager ユーティリティー pdjrtecfg を使用して、BEA WebLogic Server

によって使用される Java Runtime Environment を更新します。また、システムに複数の Java Runtime Environment が含まれている場合は必ず、BEA WebLogic Server

が使用する Java Runtime Environment が pdjrtecfg ユーティリティーの実行に使用されるようにしてください。

1. Tivoli Access Manager Base Java Runtime Environment がインストール済みであることを検証します。

詳細については、 10ページの『ソフトウェア前提条件』を参照してください。

2. CLASSPATH および PATH 変数を設定し、WebLogic .jars を CLASSPATH に追加し、次のスクリプトを BEA WebLogic Server

WebLogic_install_dir/server/bin ディレクトリーから実行して WebLogic .jars

を bin および lib ディレクトリーに追加します。

UNIX .setWLSEnv.sh

WindowssetWLSEnv.cmd

ezInstall を実行する前に、まず BEA WebLogic Server に同梱された Java 実行可能プログラムが、システム・パスにあることを確認します。


3. Tivoli Access Manager Java Runtime Environment は、BEA WebLogic Server に同梱され、インストールされる JDK に対して構成されなければなりません。これを行うには、以下のようにします。

a. ディレクトリーを、Tivoli Access Manager インストール・パス内の sbin ディレクトリーに変更します。例:

UNIX: /opt/PolicyDirector/sbinWindows: C:¥Program Files¥Tivoli¥Policy Director¥sbin

b. 次のように pdjrtecfg コマンドを実行します。

pdjrtecfg -action config -host policy_server_name -java_home java_location

java_location は、BEA WebLogic Server Java Runtime Environment のディレクトリー・ロケーションです。これは、次のようになります。

WindowsBEA WebLogic Server バージョン 7.0

c:¥bea¥jdk131_ob¥jre

BEA WebLogic Server バージョン 8.1

c:¥bea¥jdk141¥jre

Solaris、HP-UX

/usr/local/bea/jdk141_03

AIX

AIX システムでは、BEA WebLogic Server 7.0 は IBM Java Runtime

Environment バージョン 1.3 が必要です。また、BEA WebLogic

Server 8.1 は IBM Java Runtime Environment バージョン 1.4 が必要です。 pdjrtecfg コマンドの -java_home オプションは、AIX マシン上の JRE のインストール・ロケーションに設定します。 BEA

WebLogic Server バージョン 7.0

/usr/java131

BEA WebLogic Server バージョン 8.1

/usr/java14

注:

1. BEA WebLogic Server 8.1 インストールの pdjrtecfg ユーティリティーは、jre/lib ディレクトリー上の jsse.jar を置き換えます。このファイルは、Tivoli Access Manager Java ランタイムが構成解除されるときに復元されます。

2. Sun v1.4 JRE を構成するとき、pdjrtecfg を対話モードで実行したり、pdconfig ユーティリティーを使用して JRE を構成しないでください。これらの操作を行うと、構成が失敗します。

pdjrtecfg の使用についての詳細は、「IBM Tivoli Access Manager Base インストール・ガイド」の関連するリファレンス・ページを参照してください。


第 2 部: startWebLogic 用の CLASSPATH の設定

注: 下の構成ステップを実行する前に、WebLogic ドメインが作成されていることを確認してください。

startWebLogic コマンドを、WebLogic Server を始動するために使用します。startWebLogic が正しい Java クラスにアクセスしてロードできるようにするには、CLASSPATH 環境変数を変更する必要があります。

次の指示を完了してください。

1. WebLogic Server が実行中であれば、まず停止します。

2. startWebLogic コマンドの CLASSPATH 変数に以下のファイル名を追加します。

UNIX

/opt/pdwls/lib/AMSSPICore.jar/opt/pdwls/lib/rbpf.jar

Windows

C:¥amwls_install_directory¥lib¥AMSSPICore.jarC:¥amwls_install_directory¥lib¥rbpf.jar

startWebLogic コマンドは、BEA WebLogic Server のインストール済みドメインのディレクトリー内にあります。標準的なインストールではこれは次のとおりです。

UNIX /WebLogic_install_directory/user_projects/domain_name

WindowsC:¥WebLogic_install_directory¥user_projects¥domain_name

変数 domain_name は、BEA WebLogic Server ドメインを作成したときに選択した名前です。

3. デフォルト言語 (英語) を使用している場合は、このステップは飛ばしてください。

デフォルト (英語) 以外の言語をサポートする言語パックを使用している場合は、startWebLogic スクリプトで定義されている CLASSPATH に、次のパスを追加する必要があります。

UNIX

/opt/pdwls/nls/java/com/tivoli/amwls/sspi/nls

Windows

C:¥Progra~1¥Tivoli¥pdwls¥nls¥java¥com¥tivoli¥amwls¥sspi¥nls

注: このディレクトリーを追加することにより、言語パックのインストールで/opt/pdwls/nls/java/com/tivoli/amwls/sspi/nls/ にインストールされるリソース・バンドルにアクセスできます。

第 3 章構成手順 21

第 3 部: Tivoli Access Manager for WebLogic の構成Tivoli Access Manager for WebLogic の構成は、コマンド行からでも、Tivoli Access

Manager コンソール拡張 Web アプリケーションを使用しても実行できます。どちらのオプションについても詳しくは、以下の節で説明します。

下の指示を実行する前に、BEA WebLogic Server ドメインを作成してください。

Tivoli Access Manager for WebLogic の構成中およびレルムの作成中に入力されたデータは、プロパティー・ファイルに保管されます。このプロパティー・ファイルは、Tivoli Access Manager for WebLogic の動作の変更に使用できます。詳しくは、47ページの『付録 A. プロパティー・ファイルのリファレンス』を参照してください。

コンソール拡張 Web アプリケーションを使用した TivoliAccess Manager for WebLogic の構成


UNIX /WLS_install_dir/user_projects/domain_name/startWebLogic.sh

WindowsC:¥WLS_install_dir¥user_projects¥domain_name¥startWebLogic.cmd

2. BEA WebLogic のホストとなるマシンで、Web ブラウザーをオープンし、BEA

WebLogic コンソールに接続します。次のようにします。

http://WebLogic_server_name:7001/console

7001 は、デフォルトの BEA WebLogic Server ポート番号です。この値は構成可能です。

3. BEA WebLogic Server ログオン画面が表示されます。アドミニストレーター特権のある BEA WebLogic Server ユーザーでログオンします。

4. Tivoli Access Manager for WebLogic Server を構成し、Tivoli Access Manager レルムを作成するには、Web インターフェースに構成タスクを提供する Tivoli

Access Manager のコンソール拡張 Web アプリケーションをデプロイする必要があります。この Web アプリケーションをデプロイするには、以下のようにします。

a. BEA WebLogic Server ホーム・ページの「ドメイン構成 (Domain

Configurations)」バナー内で「Web アプリケーション (Web Applications)」を選択します。

b. 「新規 Web アプリケーションの構成 (Configure a New WebApplication)」リンクを選択します。

c. 「ブラウザーからアップロード (Upload it through your browser)」リンクを選択します。

d. アプリケーション amwls_install_dir¥lib¥AMWLSConsoleExtension.war をブラウズします。「アップロード (Upload)」をクリックします。

e. AMWLSConsoleExtension.war の「選択」リンクをクリックします。

f. デプロイメント・ターゲットを選択し、「構成と表示 (Configure andDisplay)」をクリックします。


コンソール拡張 Web アプリケーションが正常にデプロイされたことを確認するには、左の画面ペインで「デプロイメント (Deployments)」フォルダーを展開します。「Web アプリケーション (Web Applications)」フォルダーを展開すると、「AMWLSConsoleExtensions」がリスト内に表示されます。また、コンソール Web アプリケーション拡張をデプロイすれば、コンソール・ウィンドウの左側に表示される BEA WebLogic Server のナビゲーション・ペインに「Tivoli Access Manager」アイコンが追加されます。

5. Tivoli Access Manager ドメインを構成するために、BEA WebLogic Server ナビゲーション・ペインで「Access Manager」アイコンをクリックします。

6. 構成画面が表示されます。すべての必須情報とオプションのパラメーターを入力します。入力する情報について詳しくは、下の表を参照してください。

config アクションに使用可能なオプションを下の表にリストします。最初の表には、必須のオプションが含まれています。 2 番目の表には、任意指定のオプションが含まれています。

必須オプション名説明

domain_admin WebLogic ドメイン・アドミニストレーター

domain_admin_pwd WebLogic ドメイン・アドミニストレーター・パスワード

remote_acl_user Authorization server 用に作成される Tivoli Access Manager プリンシパル

sec_master_pass Tivoli Access Manager sec_master アドミニストレーター・パスワード

pdmgrd_host Tivoli Access Manager Policy Server ホスト名

pdacld_host Tivoli Access Manager Authorization server ホスト名。

注: パスワードを入力する必要はありません。その代わり、アクションが実行される前にパスワードのプロンプトが出されます。これは、パスワードがコマンド・ヒストリーに残るのを防ぐためです。

下の表には、config アクションに対する任意指定のオプションが含まれます。

オプション名説明

wls_server_url ローカルの WebLogic Server の URL を指定します。デフォルトは t3://localhost:7001 です。

pdmgrd_port Tivoli Access Manager Policy Server のポート番号。

pdacld_port Tivoli Access Manager Authorization server のポート番号。

am_domain Tivoli Access Manager ドメインの名前を指定します。デフォルトは Default です。

amwls_home Tivoli Access Manager for WebLogic Server のインストール・ディレクトリーへのパスを指定します。

「適用」をクリックします。

7. 構成が正常に完了すると、右側のペインに Tivoli Access Manager for WebLogic

Server パラメーターがリストされます。

これで、Tivoli Access Manager レルムを構成できます。 25ページの『第 4 部:

Tivoli Access Manager レルムの構成』を参照してください。


コマンド行からの Tivoli Access Manager for WebLogic の構成


UNIX

/WLS_install_dir/user_projects/domain_name/startWebLogic.sh

Windows

C:¥WLS_install_dir¥user_projects¥domain_name¥startWebLogic.cmd

2. 下のコマンドを実行して、Tivoli Access Manager for WebLogic を構成します。

注: (前の章で説明したように) ファイル抽出中に推奨ロケーションに Tivoli

Access Manager for WebLogic がインストールされなかった場合は、必ずAMWLSConfigure スクリプト内の AMSSPI_DIR 変数を実際のインストール・ディレクトリーのロケーションに設定してください。同様に、WebLogic

がデフォルトのロケーションにインストールされていない場合は、ALWLSConfigure スクリプト内の WebLogic.jar の正しいロケーションを使用して WLS_JAR 変数を更新します。

UNIX install-dir/sbin/AMWLSConfigure.sh

Windowsinstall-dir¥sbin¥AMWLSConfigure.bat

AMWLSConfigure Java アプリケーションが Tivoli Access Manager for

WebLogic を構成するためのコマンド行構文は、次のとおりです。

v AMWLSConfigure -action config [options ...]

これにより、Tivoli Access Manager for WebLogic が構成されます。

v AMWLSConfigure -help [action ]

これにより、AMSSPIConfigure に渡される必須の値とオプションの値が表示されます。

config アクションに使用可能なオプションを下の表にリストします。最初の表には、必須のオプションが含まれています。 2 番目の表には、任意指定のオプションが含まれています。


domain_admin WebLogic ドメイン・アドミニストレーター

domain_admin_pwd WebLogic ドメイン・アドミニストレーター・パスワード

remote_acl_user Authorization server 用に作成される Tivoli Access Manager プリンシパル

sec_master_pass Tivoli Access Manager sec_master アドミニストレーター・パスワード

pdmgrd_host Tivoli Access Manager Policy Server ホスト名

pdacld_host Tivoli Access Manager Authorization server ホスト名。



下の表には、config アクションに対する任意指定のオプションが含まれます。


deploy_extension true に設定されている場合、Tivoli Access Manager for Web Logic

Server コンソール拡張をデプロイします。デフォルト値は true です。

wls_server_url ローカルの WebLogic Server の URL を指定します。デフォルトは t3://localhost:7001 です。

pdmgrd_port Tivoli Access Manager Policy Server のポート番号。

pdacld_port Tivoli Access Manager Authorization server のポート番号。

am_domain Tivoli Access Manager ドメインの名前を指定します。デフォルトは Default です。

amwls_home Tivoli Access Manager for WebLogic Server のインストール・ディレクトリーへのパスを指定します。

verbose 詳細出力を使用可能または使用不能にするブール値。デフォルト値は false です。

次に、Tivoli Access Manager レルムを構成する必要があります。

第 4 部: Tivoli Access Manager レルムの構成

コンソール拡張 Web アプリケーションを使用した TivoliAccess Manager レルムの構成

Tivoli Access Manager for WebLogic Server が BEA WebLogic Server にセキュリティーを提供するように構成されると、Tivoli Access Manager セキュリティーに関連付けるレルムを作成する必要があります。これを行うには、以下のようにします。

1. 左の画面ペイン内で「Access Manager」アイコンを展開し、「レルム」アイコンをクリックします。

2. 「レルムの作成」画面が表示されます。すべての必須変数をすべて入力します。「適用」をクリックします。

3. BEA WebLogic Server 7.0 を構成し、上で作成した Tivoli Access Manager レルムを使用するには、以下のようにします。

a. BEA WebLogic Server ナビゲーション・ペインで、ご使用のドメインに関連するアイコンを選択します。

b. 「ドメインの構成 (Domain Configuration)」画面が表示されます。「セキュリティー (Security)」タブを選択します。

c. 「一般」タブの「デフォルト・レルム (Default Realm)」ドロップダウン・リストを使用して、前述のステップで作成したレルムを選択します。「適用」をクリックします。


BEA WebLogic Server 8.1 を構成し、上で作成した Tivoli Access Manager レルムを使用するには、 BEA WebLogic Server コンソール上の「セキュリティー(Security)」タブを使用してデフォルトのレルムを設定します。

4. BEA WebLogic Server を再始動します。

5. 新規 Access Manager レルムが正しく機能しているかどうかをテストするには、右の画面ペインにある「Access Manager」フォルダー内の「ユーザー」および「グループ」アイコンに、Tivoli Access Manager ユーザー・レジストリーからエントリーを組み込む必要があります。

注: すでに存在する SSO ユーザーを指定したが、既存ユーザーの誤ったパスワードを入力した場合、レルム作成アクションは成功しますが、SSO は使用不可になります。この状態では、Tivoli Access Manager for WebLogic rbpf.properties

ファイル内の該当エントリーを更新することにより、SSO を容易に使用可能にできます。 rbpf.properties について詳しくは、 47ページの『付録 A. プロパティー・ファイルのリファレンス』を参照してください。

コマンド行からの Tivoli Access Manager レルムの構成1. 下のコマンドを実行し、Tivoli Access Manager for WebLogic レルムを作成します。

注: (前の章で説明したように) ファイル抽出中に推奨ロケーションに Tivoli

Access Manager for WebLogic がインストールされなかった場合は、必ずAMWLSConfigure スクリプト内の AMSSPI_DIR 変数を実際のインストール・ディレクトリーのロケーションに設定してください。同様に、WebLogic がデフォルトのロケーションにインストールされていないか、または WebLogic バージョン 8.1 を使用している場合は、ALWLSConfigureスクリプト内の WebLogic.jar の正しいロケーションを使用して WLS_JAR

変数を更新します。

UNIX install-dir/sbin/AMWLSConfigure.sh

Windowsinstall-dir¥sbin¥AMWLSConfigure.bat

AMWLSConfigure Java アプリケーションが Tivoli Access Manager for

WebLogic を構成するためのコマンド行構文は、次のとおりです。

v AMWLSConfigure -action create_realm [options ...]

これにより、Tivoli Access Manager for WebLogic レルムが作成されます。

v AMWLSConfigure -help [action ]

これにより、AMSSPIConfigure に渡される必須の値とオプションの値が表示されます。

create_realm アクションに使用可能なオプションを、下の表にリストします。最初の表には、必須のオプションが含まれています。 2 番目の表には、任意指定のオプションが含まれています。


realm_name 作成される WLS レルムの名前を指定します。


domain_admin_pwd WebLogic ドメイン・アドミニストレーター・パスワードを指定します。

user_dn_suffix コンソール拡張 Web アプリケーションを介してユーザーを作成するときに使用する識別名 (DN) サフィックスを指定します。

group_dn_suffix コンソール拡張 Web アプリケーションを介してグループを作成するときに使用する識別名 (DN) サフィックスを指定します。

admin_group 内部構成用に使用する Tivoli Access Manager グループを指定します。


下の表には、create_realm アクションに対する任意指定のオプションが含まれます。


user_dn_prefix コンソール拡張 Web アプリケーションを介してユーザーを作成するときに使用する識別名 (DN) プレフィックスを指定します。

group_dn_prefix コンソール拡張 Web アプリケーションを介してグループを作成するときに使用する識別名 (DN) プレフィックスを指定します。

sso_enabled true に設定されている場合、シングル・サインオン・サポートを使用可能にします。デフォルト値は false です。

sso_user Tivoli Access Manager とのシングル・サインオン・トラスト・アソシエーションを作成するユーザーを指定します。

sso_pwd シングル・サインオン・ユーザーのパスワードを指定します。

verbose 詳細出力を使用可能または使用不能にするブール値。デフォルト値は false です。

2. BEA WebLogic Server 7.0 を構成し、上で作成した Tivoli Access Manager レルムを使用するには、以下のようにします。

a. BEA WebLogic のホストとなるマシンで、Web ブラウザーをオープンし、BEA WebLogic コンソールに接続します。次のようにします。

http://WebLogic_server_name:7001/console

7001 は、デフォルトの BEA WebLogic Server ポート番号です。この値は構成可能です。

b. BEA WebLogic Server ログオン画面が表示されます。アドミニストレーター特権のあるユーザーでログオンします。

c. BEA WebLogic Server ナビゲーション・ペインで、ご使用のドメインに関連するアイコンを選択します。

d. 「ドメインの構成 (Domain Configuration)」画面が表示されます。「セキュリティー (Security)」タブを選択します。


e. 「一般」タブの「デフォルト・レルム (Default Realm)」ドロップダウン・リストを使用して、前述のステップで作成したレルムを選択します。「適用」をクリックします。

BEA WebLogic Server 8.1 を構成し、上で作成した Tivoli Access Manager レルムを使用するには、 BEA WebLogic Server コンソール上の「セキュリティー(Security)」タブを使用してデフォルトのドメインを設定します。


4. 新規 Access Manager レルムが正しく機能しているかどうかをテストするには、左の画面ペインにある「Access Manager」フォルダー内の「ユーザー」および「グループ」アイコンに、Tivoli Access Manager ユーザー・レジストリーからエントリーを組み込む必要があります。

第 5 部: BEA WebLogic Server シングル・サインオン用の構成本節では、WebSEAL または Tivoli Access Manager Plug-in for Web Servers のいずれかを使用した BEA WebLogic Server へのシングル・サインオンを構成するプロセスについて説明します。シングル・サインオン機能をインプリメントしない場合は、本節をスキップしてください。

WebSEAL と Tivoli Access Manager Plug-in for Web Servers は、異なる方法でセキュリティーとシングル・サインオンをインプリメントし、異なるシステム・アーキテクチャーを使用します。 WebSEAL と Web サーバーのプラグインをインストールする方法について詳しくは、「IBM Tivoli Access Manager for e-business Web

Security インストール・ガイド」を参照してください。 WebSEAL の構成に関する背景情報と詳細については、「IBM Tivoli Access Manager for e-business WebSEAL

管理者ガイド」を参照してください。プラグインの操作情報および構成情報については、「IBM Tivoli Access Manager Plug-in for Web Servers 統合ガイド」を参照してください。

以下の節では、WebSEAL とプラグインの構成に関する追加情報について説明します。この情報は、インプリメントするアーキテクチャーによっては BEA WebLogic

Server へのシングル・サインオンの構成に必要です。

v 『WebSEAL junction を使用したシングル・サインオンの構成』

v 29ページの『Tivoli Access Manager Plug-in for Web Servers を使用したシングル・サインオンの構成』

WebSEAL junction を使用したシングル・サインオンの構成WebSEAL を使用して BEA WebLogic Server にシングル・サインオン機能を提供するには、WebSEAL サーバーのホストとなるシステムで以下のステップを実行します。

1. WebSEAL 構成ファイル webseald.conf をオープンします。

2. 次の構成項目を設定します。

basicauth-dummy-passwd = sso_pwd

このパスワードは、レルム作成アクションで使用可能にされた sso_pwd フィールドのパスワードに一致しなければなりません。

3. WebSEAL を停止して再始動し、構成変更を有効にします。


4. pdadmin コマンドを使用して、WebSEAL junction を作成します。

注: このステップは、Tivoli Access Manager セキュア・ドメイン内の任意のマシン上で行うことができます。 WebSEAL システム上で行う必要はありません。たとえば、Tivoli Access Manager システム上でこのステップを実行することができます。

必ず -b オプションを使用して、junction ターゲット URL を提供するようにしてください。これは、シングル・サインオンの場合必須です。

たとえば、次のコマンドを、 1 つの継続するコマンド行として入力します。

pdadmin> server task webseald_server_name create -t tcp-p WebLogic_Server_listen_port -h WebLogic_Server-b supply junction_target

次のテーブルは、前述の pdadmin コマンド内の変数を定義します。

表 2. pdadmin コマンドのオプション

オプション説明

webseald_server_name WebSEAL サーバーの名前。この名前は、webseald-WebSEAL_server_instance という 2 つの部分から構成されます。 WebSEAL_server_instance にはユーザーのシステムのホスト名を使用します。たとえば、ホスト・マシン名がcruz の場合、webseald_server_name は webseald-cruz となります。注: WebSEAL の複数インスタンスを同一サーバー上にインストールしている場合は、サーバー・インスタンスも指定する必要があります。複数サーバー・インスタンスで junction

を作成する方法について詳しくは、「IBM Tivoli Access

Manager for e-business WebSEAL 管理者ガイド」を参照してください。

WebLogic_Server BEA WebLogic Server のホスト名。

WebLogic_Server_listen_port BEA WebLogic Server が listen しているポート。デフォルトは 7001。

-b supply シングル・サインオンに必須。 WebSEAL がダミー・パスワードを渡すことを保証する。

junction_target junction の URL ターゲット

WebSEAL junction の作成と使用に関する詳細な情報については、「IBM Tivoli

Access Manager for e-business WebSEAL 管理者ガイド」を参照してください。

Tivoli Access Manager Plug-in for Web Servers を使用したシングル・サインオンの構成

シングル・サインオンが正しく機能するには、基本認証ヘッダー内の正しい情報をIBM Tivoli Access Manager for WebLogic Server に渡すように Tivoli Access

Manager Plug-in for Web Servers を構成する必要があります。それには、基本認証を許可後モジュールとしてプラグイン構成ファイル内に構成する必要があります。

plug-in_install_dir/etc ディレクトリーにある pdwebpi.conf 構成ファイルを編集し、次の値を [common-modules] スタンザに追加します。


[common-modules]post-authzn = BA

次に、[BA} スタンザ内の add-hdr および supply-password パラメーターをそれぞれ BA と sso_user パスワードに設定します。次のようにします。

[BA]add-hdr = supplysupply-password = sso_pwd

Tivoli Access Manager Plug-in for Web Servers の構成について詳しくは、「IBM

Tivoli Plug-in for Web Servers 統合ガイド」を参照してください。

第 6 部: クラスター環境などの BEA WebLogic Server 複数サーバー環境での Tivoli Access Manager for WebLogic の構成

本節では、BEA WebLogic Server が複数サーバー環境またはクラスター環境でセットアップされるアーキテクチャーについて説明します。クラスター環境などのBEA WebLogic Server 複数サーバー環境で Tivoli Access Manager for WebLogic を構成するには、以下のようにします。

1. 22ページの『第 3 部: Tivoli Access Manager for WebLogic の構成』と 25ページの『第 4 部: Tivoli Access Manager レルムの構成』の説明を使用して、Tivoli Access Manager for WebLogic を構成し、BEA WebLogic Server アドミニストレーション・サーバーに Tivoli Access Manager レルムを作成します。

2. Tivoli Access Manager for WebLogic プロパティーをドメインの管理サーバーから各宛先マシン (管理対象サーバー) にコピーして、クラスター・メンバーを含め、管理対象サーバー上で Tivoli Access Manager for WebLogic を使用可能にします。プロパティー・ファイルは BEA_WLS_HOME/jdk_location/jre/amwls/ 内に存在し、各管理対象サーバー上の同じロケーションにコピーされなければなりません。

第 7 部: 構成のテスト以下のステップを完了して、Tivoli Access Manager for WebLogic が Tivoli Access

Manager のレジストリーに対して正しく構成されていることを確認します。

1. BEA WebLogic Server コンソールを使用して、新規テスト・ユーザーを作成および検証します。

2. 次の pdadmin コマンドを実行します。

pdadmin> user show test_user

v account-valid が yes か、検証します。

v password-valid が yes か、検証します。

Tivoli Access Manager for WebLogic シングル・サインオン・ソリューションにより、ユーザーを BEA WebLogic Server に対して透過的に認証する、WebSEAL を経由する 1 回だけの認証が可能になります。デモンストレーション・アプリケーションを実行することにより、認証が正しく構成されているか、認証を確認することができます。デモンストレーション・アプリケーションについては、 35ページの『デモンストレーション・アプリケーションの使用』で説明します。


第 4 章シングル・サインオンを使用可能にする

Tivoli Access Manager WebSEAL を使用したシングル・サインオンTivoli Access Manager for WebLogic は、他の Tivoli Access Manager 製品 (Tivoli

Access Manager WebSEAL、Tivoli Access Manager Plug-in for Web Servers、Tivoli

Access Manager Plug-in for Edge Server など) からの Web シングル・サインオンをサポートします。

WebSEAL と BEA WebLogic Server 間のトラスト関係は、構成された HTTP 基本認証ダミー・パスワードを使用して実現されます。これと同じメソッドが、Custom

Security Realm インターフェースをインプリメントする以前の Tivoli Access

Manager for BEA WebLogic Server 製品でシングル・サインオンを実行するために使用されていました。

Tivoli Access Manager HTTP リバース・プロキシー (例: WebSEAL) は、ユーザー名と既知のシングル・サインオン秘密パスワードを渡すように構成されています。この秘密パスワードは、リバース・プロキシーがトラステッドかどうかの判別に使用されます。 Tivoli Access Manager Authorization server がパスワードを検証した後で、リソースを要求するユーザーの信任状が獲得されます。

下の図は、トラスト関係がどのように確立されるかについて詳細を示します。

上の図は、以下のステップを示します。

1. ユーザーは、WebSEAL がサポートする任意の認証メカニズム (例: ユーザー名/

パスワードまたはクライアント証明書) を使用して WebSEAL に認証されます。次に、ユーザーは BEA WebLogic Server リソースの要求をサブミットします。

図 3. Tivoli Access Manager WebSEAL を使用したシングル・サインオン


2. WebSEAL が、-b supply オプションを使用して、BEA WebLogic Server へのjunction とともに構成されます。 WebSEAL は、以下を含む基本認証ヘッダーとともに要求を BEA WebLogic Server に渡します。

v WebSEAL 認証済みユーザー ID (図の user-1)

v webseald.conf 内の basicauth-dummy-passwd の値。これは、前述の秘密パスワードです。

3. BEA WebLogic Server は、検証のために Tivoli Access Manager for WebLogic

認証プロバイダーにユーザー ID と秘密パスワードを渡します。

4. Tivoli Access Manager for WebLogic ログイン・モジュールは Tivoli Access

Manager を使用して、渡されたパスワードが、Tivoli Access Manager for

WebLogic によって構成された WebSEAL シングル・サインオン・ユーザー用であることを検証します。このパスワードの検証によって、WebSEAL と BEA

WebLogic Server の間のトラスト関係が結ばれます。

ステップ 4 が成功すると、Tivoli Access Manager for WebLogic 認証プロバイダーは、渡されたユーザー ID を BEA WebLogic Server に対して認証します。秘密パスワード (図の ws-passwd) を使用して構成された WebSEAL シングル・サインオン・ユーザーの認証は、Tivoli Access Manager for WebLogic ログイン・モジュールにキャッシュされるため、1 回のみ実行されます。このキャッシュは構成可能であり、オフにすることもできます。

ただし、SSO をレルムの作成中にセットアップして、手動で SSO Tivoli Access

Manager for WebLogic を使用可能にできます。

1. SSO ユーザーを作成します。

2. amsspi.properties Tivoli Access Manager for WebLogic 構成ファイルに、以下を設定します。

com.tivoli.amwls.sspi.Authentication.ssoEnabled = truecom.tivoli.amwls.sspi.Authentication.ssoTrustId = sso_username


第 5 章アドミニストレーション・タスク

本章には、Tivoli Access Manager for WebLogic に関する次の情報を記載します。

v 『Tivoli Access Manager Authorization server で資格サービスを使用可能にする』

v 34ページの『Tivoli Access Manager for WebLogic を使用したユーザーおよびグループの管理』

v 35ページの『デモンストレーション・アプリケーションの使用』

v 37ページの『使用上のヒント』

v 38ページの『スリー・ストライク・ログオン・ポリシー』

v 39ページの『Tivoli Access Manager レルムの削除』

v 40ページの『Tivoli Access Manager for WebLogic の構成解除』

v 40ページの『トラブルシューティングのヒント』

v 41ページの『制限』

Tivoli Access Manager Authorization server で資格サービスを使用可能にする

デフォルトでは、Tivoli Access Manager for WebLogic は Tivoli Access Manager

Policy Server を使用して Tivoli Access Manager 保護オブジェクト・データベース内の保護オブジェクトをブラウズします。ただし、Tivoli Access Manager Policy

Server は複製することができず、それにより Tivoli Access Manager for WebLogic

Single Point of Failure が発生するため、このアーキテクチャーはテスト環境でのみ使用してください。さらに、資格サービスは、内部キャッシング技法に基づいて、より高いランタイム・パフォーマンスを発揮します。資格サービス・アーキテクチャーは、常に実稼働環境で使用してください。

以下の構成ステップは、Tivoli Access Manager for WebLogic が適切に構成された後でのみ実行してください。 Tivoli Access Manager for WebLogic は、2 つの資格サービスを使用します。どちらも、構成されたすべての Tivoli Access Manager

Authorization server 上で使用可能にされていなければなりません。

v Tivoli Access Manager 拡張属性資格サービスこれは、Tivoli Access Manager Authorization server とともに配付されるデフォルトの資格サービスです。

v RBPF 保護オブジェクト・ブラウズ資格サービスこれは、Tivoli Access Manager for WebLogic とともに配付される資格サービスです。

Tivoli Access Manager for WebLogic が資格サービスを使用していることを確認するには、以下のステップを実行してください。

1. rbpf_ent_pos_browser 共用ライブラリーを Tivoli Access Manager for

WebLogic ホストから Tivoli Access Manager Authorization server ホストにコピ


ーし、システム PATH にある任意のディレクトリーに置きます。rbpf_ent_pos_browser 共用ライブラリーは、次の Tivoli Access Manager for

WebLogic ホスト上にあります。

UNIX /opt/PolicyDirector/lib

Windowsc:¥Program Files¥Tivoli¥pdwls¥bin

2. Tivoli Access Manager 許可ホストが、次の場所にある ivacld.conf ファイルをオープンします。

UNIX /opt/PolicyDirector/etc

Windowsc:¥Program Files¥Tivoli¥Policy Director¥etc

3. 以下の 2 行を [aznapi-entitlement-services] スタンザに追加します。

AZN_ENT_EXT_ATTR = azn_ent_ext_attrRBPF_POS_BROWSE = rbpf_ent_pos_browser

4. Tivoli Access Manager Authorization server を再始動します。

5. Tivoli Access Manager for WebLogic ホストから、java_home/amwls/WLS_Domain_Name/WLS_Realm_Name にある rbpf.properties ファイルをオープンします。— WLS_Domain_Name は BEA WebLogic Server ドメイン名であり、WLS_Realm_Name は BEA WebLogic Server セキュリティー・レルム名です。次のプロパティーを true に更新します。

com.tivoli.pd.as.rbpf.UseEntitlements=true


これらのステップを正常に完了すると、Tivoli Access Manager for WebLogic が使用可能にされた BEA WebLogic Server は、Tivoli Access Manager Policy Server とは対照的に、Tivoli Access Manager Authorization server を使用してすべての保護オブジェクトをブラウズします。

Tivoli Access Manager for WebLogic を使用したユーザーおよびグループの管理

Tivoli Access Manager for WebLogic を使用すれば、BEA WebLogic Server コンソールでユーザーおよびグループを管理できます。 BEA WebLogic Server コンソールのセキュリティー・ペインから、「Access Manager」アイコン、「レルム」アイコンと続けて展開し、「ユーザー」および「グループ」アイコンを表示します。Tivoli Access Manager for WebLogic セキュリティーのユーザーおよびグループの管理は、これらのアイコンから行います。

「ユーザー」アイコンを選択すると、「ユーザー管理」ページが表示されます。このページから、以下を実行できます。

v Tivoli Access Manager for WebLogic ユーザーをリストする。

v 個々のユーザーの詳細を表示する。

v ユーザーを作成する。

「グループ」アイコンを選択すると、「グループ管理」ページが表示されます。このページから、以下を実行できます。


v グループをリストする。

v 特定グループの詳細を表示する。

v グループを作成する。

関連するコンソール拡張ページでスペース区切りのリストを入力することにより、複数のユーザーをグループに追加したり、グループをユーザーに追加したりすることができます。

ユーザーまたはグループをリストするときに、「最大戻り数」フィールドに値が入力されない場合は、「パターン」フィールドで指定される基準を満たすすべてのユーザーまたはグループが表示されます。

デモンストレーション・アプリケーションの使用デモンストレーション・アプリケーションを使用して、2 つのタイプの許可を参照し、WebSEAL シングル・サインオン機能を試すことができます。

2 つのタイプの許可とは次のとおりです。

v 宣言

デプロイメント記述子を使用して、ユーザーおよびグループ特定の役割を付与します。

v プログラマチック

アプリケーション・ソース・コード内から役割検査が行われます。

デモンストレーション・アプリケーションは、Web コンポーネントと EJB コンポーネントで構成されます。

Web コンポーネント内の 2 つのセキュリティー・レベルは、以下のように説明できます。

v 宣言:

web.xml デプロイメント記述子は、ServletRole という単一の役割を定義します。 weblogic.xml デプロイメント記述子は、ServletRole およびBankMembersServlet グループの間のプリンシパル・マッピングを定義します。web.xml デプロイメント記述子内のセキュリティー制約により、サーブレットの任意のメソッドにアクセスするための ServletRole 役割がユーザーに付与されなければならないことが保証されます。

v プログラマチック:

doPost() メソッドには追加のセキュリティーがあり、この場合、呼び出し側にServletRole が付与されることがプログラマチックに保証されます。これにより、単一ウェブ・コンポーネント内でプログラマチック・セキュリティーと宣言セキュリティーの両方をテストできます。 HTTPRequest.isUserInRole() メソッドは、許可検査を行うために使用されます。

EJB コンポーネント内の 3 つのセキュリティー・レベルは、以下のように説明できます。

v 宣言セキュリティー:

EJBRole という ejb-jar.xml デプロイメント記述子で、単一の役割が定義されます。 weblogic-ejb-jar.xml デプロイメント記述子は、EJBRole と

第 5 章アドミニストレーション・タスク 35

BankMembersEJB グループの間のプリンシパル・マッピングを定義します。ejb-jar.xml デプロイメント記述子内のメソッド許可により、 getBalance() メソッドにアクセスするために、EJBRole 役割がユーザーに付与されなければならないことが保証されます。

v プログラマチック・セキュリティー:

getBalance() メソッドには追加のセキュリティーがあり、この場合、呼び出し側に EJBRole が付与されることがプログラマチックに保証されます。EJBContext.isCallerInRole() メソッドは、許可検査を行うために使用されます。

v アカウント名に基づくプログラマチック・セキュリティー:

getBalance() メソッドは、要求されたアカウントの名前が呼び出し側プリンシパルの名前に一致することを保証します。つまり、Banker1 のみが Banker1 の勘定残高を表示することができます。

デモンストレーション・アプリケーションを実行するには、次のステップを完了します。

1. デモンストレーション・アプリケーション PDDemoApp.ear をWebLogic_domain_directory¥applications にコピーします。このディレクトリーを使用する必要はないことに注意してください。 EAR ファイルは、ユーザーのファイル・システム内の任意のディレクトリーに入れることができます。デモンストレーション・アプリケーションは、/AMWLS_install_dir/demo にあります。

2. BEA WebLogic Server コンソールを使用して、次のユーザーを作成します。

Banker1Banker2Banker3Banker4URLUser1URLUser2URLUser3

3. BankMembersEJB および BankMembersServlet という 2 つのグループを作成します。新規に作成されたグループにユーザー Banker1、Banker2、Banker3、およびBanker4 を追加します。

BEA WebLogic Server コンソールの使用についての説明は、BEA WebLogic

Server 資料を参照してください。

4. BEA WebLogic Server コンソールを使用して、デモンストレーション・アプリケーションをデプロイします。

5. デモンストレーション・アプリケーションにアクセスするには、次の URL にアクセスします。

http://WebLogic_Server_host:WebLogic_Server_listening_port/pddemo/PDDemo

上で定義した Banker ユーザーのいずれかを使用して認証します。

WebLogic_Server_host は、BEA WebLogic Server システムのホスト名です。

WebLogic_Server_listening_port は、BEA WebLogic Server が listen しているポートです。


6. BankMembersServlet グループのユーザーのみがサーブレットにアクセスできることを確認します。

7. BankMembersEJB グループのメンバーである認証済みユーザーが、自分の残額を表示することはできるが、他のユーザーの残高を表示することはできないことを確認します。

WebSEAL シングル・サインオンをテストするには、次のステップを完了します。

1. 次の URL にアクセスします。

https://webseald_server_name/junction_target/pddemo/PDDemo

WebSEAL はユーザーに、認証のためのプロンプトを出します。

変数 webseald_server_name および junction_target についての説明は、 30ページの『第 7 部: 構成のテスト』を参照してください。

注: デフォルト WebSEAL の動作は HTTP 上の基本認証またはフォーム・ベースの認証を妨げるため、ここでは HTTPS を使用します。

2. 前述で定義したユーザーのいずれかで認証します。

このプロセスにより、ユーザーは BEA WebLogic Server に対してシングル・サインオンを行うことができ、二度目の認証を必要とせずにサーブレットを起動できます。 WebSEAL 経由でアクセスされる場合、PDDemo デモンストレーション・アプリケーションは、BEA WebLogic Server に直接アクセスする場合にみられるのと同じ動作をします。

3. 認証済みユーザーが自分の残額は表示できるが、他のユーザーの残高は表示できないことを検証します。

使用上のヒント1. 外部ユーザー用にシングル・サインオンを使用可能にする場合は、良好なセキュリティーが実践されるよう監視します。認証は必ず、WebSEAL サーバーによってのみ行われることを確認してください。これを行うには、内部ユーザー (すなわち、WebSEAL を使用して BEA WebLogic Server にアクセスしないユーザー)

による BEA WebLogic Server へのアクセスを使用不可にします。これは、ネットワーク接続フィルターを使用することにより実行できます。接続フィルターを使用する場合、役割を使用してアクセスを制限する場合より、ネットワーク・レベルでリソースを保護できます。

2. Tivoli Access Manager および WebLogic Server の両方が、認証の試みの失敗を追跡し続けることを承知しておいてください。各製品は、ユーザー・アカウントがロックされる前に許容される、試行の失敗の最大回数を指定するセキュリティー構成設定値を維持管理しています。ユーザーは、これら 2 つの設定値のうち小さいものによってロックアウトされます。たとえば、WebLogic Server は 5

回のログイン失敗を許容するとしても、Tivoli Access Manager は 3 回のログイン失敗しか許容しないよう構成されていれば、ユーザーはログインを 3 回失敗すると、ロックアウトされます。


スリー・ストライク・ログオン・ポリシースリー・ストライク・ログオン・ポリシー (LDAP ベースの Tivoli Access Manager

インストールに使用可能) では、失敗ログオン試行の最大回数とペナルティー・ロックアウト時間を指定することによって、コンピューターのパスワードが攻撃されるのを防ぐことができます。このポリシーは、1 つの条件を作成します。その条件では、ユーザーがログオンに失敗した場合、次にログオンを試みる前に一定の時間待たなければなりません。たとえば、3 回失敗したら 180 秒のペナルティーを科す、などのようにポリシーで指示できます。このタイプのログオン・ポリシーを使用すれば、コンピューターによって生成されるランダムなログオンが 1 秒間に何度も試みられるのを防ぐことができます。

スリー・ストライク・ログオン・ポリシーは、以下の 2 つの pdadmin ポリシー・コマンド設定を合わせたものを必要とします。

v 失敗ログオン試行の最大回数policy set max-login-failures

v 失敗ログオン試行を超えた場合のペナルティーの設定policy set disable-time-intervalペナルティー設定には、アカウントのロックアウト時間間隔の設定、またはアカウントを完全に使用不可にする設定が含まれます。

たとえば 3 回のログオン試行の失敗後に特定のロックアウト時間ペナルティーが科されるというログオン・ポリシーが設定されている場合、4 回目の試行が行われたときに (その試行が正しいか間違っているかに関わらず) エラー・ページが表示されます。そのページには、パスワード・ポリシーのためアカウントが一時的に使用できなくなっていることが示されます。

時間間隔は秒単位で指定されます。最小推奨時間間隔は 60 秒です。

disable-time-interval ポリシーが disable に設定されると、ユーザーはアカウントからロックアウトされ、このユーザーの LDAP account valid 属性は no に設定されます。アカウントは、アドミニストレーターが Web portal Manager を使用して再び使用可能にします。

注: disable-time-interval を disable に設定すると、追加の管理オーバーヘッドが発生します。 account valid 情報をプラグインに複製するときに遅延が発生します。この状態は、LDAP 環境によって異なります。また、LDAP インプリメンテーションによっては、account valid の更新操作を行った結果として、パフォーマンスが低下することもあります。タイムアウト間隔の使用をお勧めするのには、このような理由があります。

以下の pdadmin コマンドは、LDAP レジストリーを使用する場合にのみ当てはまります。

表 3. pdadmin LDAP ログオン・ポリシー・コマンド

コマンド説明

policy set max-login-failures {number|unset} [-user username]

policy get max-login-failures [-user username]


表 3. pdadmin LDAP ログオン・ポリシー・コマンド (続き)

コマンド説明

ペナルティーが課される前に許容される失敗ログオン試行の最大回数を制御するポリシーを管理します。このコマンドは、policy set disable-time-interval コマンドで設定されたペナルティーに依存します。

アドミニストレーターはこのポリシーを特定のユーザーに適用したり、LDAP レジストリーにリストされるすべてのユーザーにこのポリシーをグローバルに適用したりすることができます。

デフォルト設定は、10 回です。

policy set disable-time-interval {number|unset|disable} [-user username]

policy get disable-time-interval [-user username]

失敗ログオン試行の最大回数に達した場合にアカウントが使用不可になる期間を制御するペナルティー・ポリシーを管理します。

アドミニストレーターはこのペナルティー・ポリシーを特定のユーザーに適用したり、LDAP レジストリーにリストされるすべてのユーザーにこのポリシーをグローバルに適用したりすることができます。

デフォルト設定は 180 秒です。

Tivoli Access Manager レルムの削除Tivoli Access Manager レルムを削除するには、以下のようにします。

1. BEA WebLogic Server が開始されていることを確認します。

2. コンソールを使用して、Tivoli Access Manager for WebLogic create_realm アクションによって作成されるレルムにならないように、デフォルト・レルムを変更します。


4. コンソールを使用して Tivoli Access Manager レルムを削除するには、以下のようにします。

a. BEA WebLogic Server ナビゲーション・バーから「Access Manager」アイコンをオープンします。

b. 「レルム」アイコンをクリックします。「レルム構成」ページが表示されます。

c. 「削除」をクリックします。「レルム構成の削除 (Delete Realm

Configuration)」ページが表示されます。

d. 「OK」をクリックします。「レルムの作成」ページに、空のフィールドが表示されます。

5. コマンド行を使用して Tivoli Access Manager レルムを削除するには、AMWLSConfigure -action delete_realm を使用します。 AMWLSConfigure


-action delete_realm コマンドで使用するオプションについて詳しくは、 55ページの『付録 B. コマンドのクイック・リファレンス』を参照してください。

注: ファイル抽出中に推奨ロケーションに Tivoli Access Manager for WebLogic がインストールされなかった場合は、必ず AMWLSConfigure スクリプト内のAMSSPI_DIR 変数を実際のインストール・ディレクトリーのロケーションに設定してください。同様に、WebLogic がデフォルトのロケーションにインストールされていない場合は、ALWLSConfigure スクリプト内の WebLogic.jar の正しいロケーションを使用して WLS_JAR 変数を更新します。

Tivoli Access Manager for WebLogic の構成解除Tivoli Access Manager for WebLogic を構成解除するには、以下のようにします。

1. BEA WebLogic Server が開始されていることを確認します。

2. Tivoli Access Manager レルムが削除されていることを確認します。 39ページの『Tivoli Access Manager レルムの削除』を参照してください。

3. コンソールを使用して Tivoli Access Manager for WebLogic を構成解除するには、以下のようにします。

a. 「Access Manager」フォルダーをクリックします。「構成」ページが表示されます。

b. 「削除」をクリックします。「構成解除」ページが表示されます。

c. Tivoli Access Manager sec_master のパスワードを入力し、「OK」をクリックします。

d. 「構成」ページに、空のフィールドが表示されます。

4. コマンド行から Tivoli Access Manager for WebLogic を構成解除するには、AMWLSConfigure -action unconfig コマンドを使用します。 AMWLSConfigure

-action unconfig コマンドで使用するオプションについて詳しくは、 55ページの『付録 B. コマンドのクイック・リファレンス』を参照してください。

トラブルシューティングのヒントトピックの索引は次のとおりです。

v 『フォーム・ベース・ログイン使用時のシングル・サインオンの失敗』

v 41ページの『WebLogic Server がメモリー例外をスローする』

フォーム・ベース・ログイン使用時のシングル・サインオンの失敗ユーザーがフォーム・ベース・ログインを介して認証された場合に、アクセス許可が与えられていないリソースにアクセスしようとすると、次のようなエラー・メッセージが表示される場合があります。

WebSEAL からのメッセージにサインオンできませんでした(Could not Sign On message from WebSEAL)

これは、実際には認証されるはずのユーザーであっても、Web コンテナー内のサーブレットにアクセスする許可を持たないために、発生する場合があります。

このエラーが基本認証の使用時に発生する場合は、前述のページは参照できず、認証の詳細を求めるプロンプトが再度ユーザーに出されます。これは BEA WebLogic


Server のデフォルトの動作であり、ユーザーがページに直接または WebSEAL を経由してアクセスする場合のいずれにも見られます。

WebLogic Server がメモリー例外をスローする問題: java.lang.OutofMemory 例外がスローされる。

説明: 多数の Access Manager for WebLogic Server が実行中の場合、BEA

WebLogic Server がヒープ・スペースを使い尽くす可能性があります。

解決方法: startWebLogic スクリプトで、Java 仮想マシン (JVM) の最大ヒープ・サイズ・オプションを増やします。例:

%JAVA_HOME%¥bin¥java -ms64m -mx128m -xms200m -xx:MaxPermSize=128m

アプリケーション・アーキテクチャー、ホスト・システムで実行されるプロセスの中でメモリー消費の激しいプロセスの数、および BEA WebLogic Server のバージョンを基にして、BEA 製品資料で推奨ヒープ・サイズを調べてください。環境に適合するヒープ・サイズを判別するために、アプリケーションの負荷テストを行う必要があります。

制限1. Tivoli Access Manager for WebLogic は、再帰的なグループ・メンバーシップ

(グループの中にグループがあること) はサポートしません。

2. Tivoli Access Manager for WebLogic は複数の Tivoli Access Manager ドメインをサポートしますが、各ドメインの sec_master ユーザーは必ず sec_master にします。つまり、Tivoli Access Manager ドメインごとにこのユーザー名を変更するオプションは現在用意されていません。

3. BEA WebLogic Server 8.1 では、グループ名に対して「-」という文字がサポートされていないため、グループ名として any-other の代わりに anyother を使用します。

4. Tivoli Access Manager for WebLogic を Active Directory に対して構成するときは、AdminGroupProp=Administrators 設定を他の値に変更する必要があります。Active Directory にはすでに administrators グループが存在するため、設定を変更しないと構成が失敗します。設定の変更は、Tivoli Access Manager for

WebLogic の構成や Tivoli Access Manager for WebLogic レルムの作成前に実行してください。

5. Tivoli Access Manager for WebLogic コンソールを使用して役割およびポリシーを作成するとき、時間制限はサポートされません。ポリシーのみの役割にユーザーやグループを追加することはできません。役割とポリシーの間に使用できるのは「OR」のみです。「AND」はサポートされていません。

6. Tivoli Access Manager は、デフォルトでユーザー信任状を 2 時間キャッシュに入れます。この時間の値は、PdPerm.properties 内の appsvr-credcache-life

プロパティーを更新することによって構成できます。

7. WebSEAL または Tivoli Access Manager Plug-in for Web Servers からWebLogic Server コンソール拡張へのシングル・サインオンはサポートされていません。ただし、インターネットからアクセスするユーザーは WebLogic Server

Console を通常は使用できないため、このことは大きな問題ではありません。


既知の問題および対応策1. Active Directory ユーザー・レジストリーを使用してインストールした場合、証明書アプリケーションをデプロイするときに問題が発生することがあります。この問題は、Administrator グループおよびシステム・ユーザーについてハードコーディングされた役割マッピングによるものです。 Active Directory ではAdministrator グループとシステム・ユーザーは事前定義されていて、除去することはできません。エラーを除去し、証明書アプリケーションに正しいセキュリティーを確実に設定するには、certificate.war Web アプリケーションのデプロイメント記述子を編集し、マッピングを除去し、実際の Administrator グループおよびシステム・ユーザーに対応するマッピングを追加します。

2. BEA WebLogic Server バージョン 8.1 には、Tivoli Access Manager for

WebLogic がコンソールからポリシーの更新を行うことができないという問題があります。この問題に関する BEA WebLogic Server 変更要求 (CR) 番号は、CR125113 です。コンソールを使用したポリシー更新は、この問題が BEA

WebLogic Server 8.1 サービス・パックで修正されるまでサポートされません。


第 6 章除去の説明

本章では、IBM Tivoli Access Manager for WebLogic Server を除去する方法について説明します。

以下のいずれかの節にある指示を完了します。

v 『Solaris からの除去』

v 44ページの『Windows からの除去』

v 44ページの『AIX からの除去』

v 45ページの『HP-UX からの除去』

Solaris からの除去Tivoli Access Manager for WebLogic を除去する前に、Tivoli Access Manager レルムが削除されていることと、Tivoli Access Manager for WebLogic が構成解除されていることを確認してください。これらのタスクの実行について詳しくは、 39ページの『Tivoli Access Manager レルムの削除』および 40ページの『Tivoli Access

Manager for WebLogic の構成解除』を参照してください。

Solaris 上の Tivoli Access Manager for WebLogic を除去するには、pkgrm を使用します。次の指示を完了してください。


2. Tivoli Access Manager for WebLogic を除去するには、次のコマンドを入力します。

# pkgrm PDWLS

選択されたパッケージの除去の確認を求めるプロンプトが出されます。文字 Yを入力します。

3. 除去処理中に、スーパーユーザー許可を使用してスクリプトが実行されること通知する警告が表示されます。文字 Y を入力します。

各ファイルが除去されるに従い、状況メッセージがリストされます。 postremove スクリプトが実行された後、ソフトウェア・パッケージの除去が成功したことを状況メッセージが示します。pkgrm ユーティリティーは終了します。

Tivoli Access Manager for WebLogic パッケージの除去が完了しました。

IBM Tivoli Access Manager Base 前提条件 (Tivoli Access Manager Base Runtime

Environment、Tivoli Access Manager Base Java Runtime Environment、およびオプションの Tivoli Access Manager アプリケーション開発キット) を除去する場合は、「IBM Tivoli Access Manager Base インストール・ガイド」の説明に従ってください。


Windows からの除去Tivoli Access Manager for WebLogic を除去する前に、Tivoli Access Manager レルムが削除されていることと、Tivoli Access Manager for WebLogic が構成解除されていることを確認してください。これらのタスクの実行について詳しくは、 39ページの『Tivoli Access Manager レルムの削除』および 40ページの『Tivoli Access


Windows の「アプリケーションの追加と削除」アイコン・インターフェースを使用して、Tivoli Access Manager for WebLogic ファイルを除去します。次の指示を完了してください。

1. アドミニストレーター特権を持つ Windows ユーザーとしてログインします。

2. 「アプリケーションの追加と削除」アイコンをダブルクリックします。

3. 「Access Manager for WebLogic Application Server」を選択します。

4. 「変更/削除」をクリックします。

Tivoli Access Manager for WebLogic ファイルが除去されます。

「保守完了 (Maintenance Complete)」ダイアログ・ボックスが表示されるされます。

5. 「OK」をクリックします。

Tivoli Access Manager for WebLogic の除去が完了しました。



AIX からの除去Tivoli Access Manager for WebLogic を除去する前に、Tivoli Access Manager レルムが削除されていることと、Tivoli Access Manager for WebLogic が構成解除されていることを確認してください。これらのタスクの実行について詳しくは、 39ページの『Tivoli Access Manager レルムの削除』および 40ページの『Tivoli Access


AIX パッケージ用の Tivoli Access Manager for WebLogic を除去するには、installp ユーティリティーを使用します。




HP-UX からの除去Tivoli Access Manager for WebLogic を除去する前に、Tivoli Access Manager レルムが削除されていることと、Tivoli Access Manager for WebLogic が構成解除されていることを確認してください。これらのタスクの実行について詳しくは、 39ページの『Tivoli Access Manager レルムの削除』および 40ページの『Tivoli Access


swremove を使用して、Tivoli Access Manager for WebLogic ファイルを除去します。次の指示を完了してください。


2. Tivoli Access Manager for WebLogic を除去するには、次のコマンドを入力します。

# swremove PDWLS

一連の状況メッセージが表示されます。分析段階が正常に完了したことを示す状況メッセージが表示されます。 swremove ユーティリティーが、Tivoli Access

Manager for WebLogic ファイルをハード・ディスクから除去します。

除去が完了すると、swremove ユーティリティーは終了します。

これで HP-UX 上の Tivoli Access Manager for WebLogic の除去が完了しました。



第 6 章除去の説明 45

付録 A. プロパティー・ファイルのリファレンス

Tivoli Access Manager for WebLogic の構成中およびレルムの作成中に入力されたデータは、プロパティー・ファイルに保管されます。このプロパティー・ファイルは、Tivoli Access Manager for WebLogic の動作の変更に使用できます。

プロパティー・ファイルは java_home/amwls/wls_domain_name/wls_realm_name/ に存在します。 wls_domain_name は、構成される BEA WebLogic Server ドメインの名前です。 wls_realm_name は、そのドメイン内で構成される BEA WebLogic

Server レルムの名前です。

以下の 3 つのプロパティー・ファイルがあります。

v amsspi.properties

BEA WebLogic Server に特定の SSPI の局面に関する構成プロパティーを含みます。

v rbpf.properties

Tivoli Access Manager for WebLogic の構成プロパティーを含みます。たとえば、キャッシュの設定、役割プロパティー、Tivoli Access Manager 保護オブジェクト・スペースのコンテナー名などです。

v amwlsjlog.properties

このファイル内のパラメーターは、実行されるトレース/メッセージングの量を含む、Tivoli Access Manager for WebLogic のロギングおよびトレースを制御します。トレースを活動化すると Tivoli Access Manager for WebLogic のパフォーマンスに影響する可能性があります。問題の原因を判別しようとする場合にのみ、トレースを活動化することをお勧めします。

下の節では、プロパティー・ファイルごとのパラメーターについて説明します。

マーカー *** は、Tivoli Access Manager for WebLogic の構成時に入力されないプロパティーを示します。このようなプロパティーは、構成時にデフォルト値に設定されます。この値をデフォルト以外の値として設定する場合は、レルムを構成および作成する前に、対応する .in ファイル内のプロパティー値を変更する必要があります。 config および create_realm アクションは、.in ファイル内の値を使用して ACL と Tivoli Access Manager 保護オブジェクトを作成するため、それらを構成後またはレルム作成後に変更することはできません。下の節内の *** でマークされていないプロパティーは、構成後でも容易に変更できます。

.in ファイルは、/pdwls_install_dir/etc にあります。

amsspi.properties本節では、amsspi.properties ファイル内にあるプロパティーをリストし、それについて説明します。

com.tivoli.amwls.sspi.config.DeployerGroupProp***デフォルト値は Deployers です。デフォルトでは、BEA WebLogic Server


に 4 つの管理グループがあります。ユーザーは、このプロパティーを使用して、Deployers 管理グループの名前を Deployers 以外の名前に変更できます。

com.tivoli.amwls.sspi.config.MonitorGroupProp***デフォルト値は Monitors です。デフォルトでは、BEA WebLogic Server に4 つの管理グループがあります。ユーザーは、このプロパティーを使用して、Monitors 管理グループの名前を Monitors 以外の名前に変更できます。

com.tivoli.amwls.sspi.config.OperatorGroupProp***デフォルト値は Operators です。デフォルトでは、BEA WebLogic Server

に 4 つの管理グループがあります。ユーザーは、これを使用して、Operators 管理グループの名前を Operators 以外の名前に変更できます。

com.tivoli.amwls.sspi.config.AdminGroupProp***デフォルト値は Administrators です。デフォルトでは、BEA WebLogic

Server に 4 つの管理グループがあります。ユーザーは、これを使用して、Administrator 管理グループの名前を Administrators 以外の名前に変更できます。このプロパティーは、Active Directory を使用するシステムにとって重要です。 Windows には、すでに Administrators という管理グループが存在するため、このプロパティーを更新する必要があります。

com.tivoli.amwls.sspi.Authentication.GroupRegistryDeleteデフォルト値は true です。このプロパティーは、Tivoli Access Manager

グループが削除されたときに、下にあるディレクトリー内のグループを削除するかどうかを決定します。これは、pdadmin を使用してグループを削除するときに -registry フラグをオン/オフする場合と同じです。

com.tivoli.amwls.sspi.Authentication.UserRegistryDeleteデフォルト値は true です。これは、Tivoli Access Manager ユーザーが削除されたときに、下にあるディレクトリー内のユーザーを削除するかどうかを決定します。これは、pdadmin を使用してユーザーを削除するときに-registry フラグをオン/オフする場合と同じです。

com.tivoli.amwls.sspi.Authentication.ssoEnabledデフォルトは false です。これは、WebSEAL または Tivoli Access Manager

Plug-in for Web Servers から BEA WebLogic Server へのシングル・サインオンを使用可能または使用不可にします。

com.tivoli.amwls.sspi.Authentication.ssoTrustIdWebSEAL または Tivoli Access Manager Plug-in for Web Servers とのトラスト・アソシエーションを確立して、シングル・サインオンを実行するために使用されるユーザー。

com.tivoli.amwls.sspi.Authentication.ssoPasswdExpiryデフォルトは 120 (分) です。このプロパティーは、SSO トラスト ID の認証がキャッシュに入れられる時間を分単位で指定します。この時間が経過すると、SSO ユーザーは次の SSO の試行で Tivoli Access Manager に対して認証されます。

com.tivoli.amwls.sspi.RoleMapper.EnableWebProgRolecheckデフォルト値は true です。このプロパティーは、Web プログラマチック役割検査を使用可能または使用不可にします。これにより、管理者は Web アプリケーションのプログラマチック・セキュリティーをオフにできます。


com.tivoli.amwls.sspi.RoleMapper.EnableEjbProgRolecheckデフォルト値は true です。このプロパティーは、EJB プログラマチック役割検査を使用可能または使用不可にします。これにより、管理者は EJB のプログラマチック・セキュリティーをオフにできます。

com.tivoli.amwls.sspi.Authentication.GroupDNPrefixLDAP の場合、デフォルト値は cn= です。このプロパティーにより、管理者は、コンソール拡張からグループを作成するときにプレフィックスを変更できます。

com.tivoli.amwls.sspi.Authentication.UserDNPrefixLDAP の場合、デフォルト値は cn= です。このプロパティーにより、管理者は、コンソール拡張からユーザーを作成するときにプレフィックスを変更できます。

rbpf.properties本節では、rbpf.properties ファイル内にあるプロパティーをリストし、それについて説明します。

com.tivoli.pd.as.rbpf.ProductNameデフォルト値は PDWLS です。このプロパティーは、Tivoli Access Manager

オブジェクトと ACL の作成時にコメントと説明内で使用されます。

com.tivoli.pd.as.rbpf.RoleContainerName***デフォルト値は Roles です。構成後、このプロパティーはRoles/$WLS_Domain_Name/$WLS_Realm_Name に変更されます。WLS_Domain_Name は、構成された BEA WebLogic Server ドメインの名前です。 WLS_Realm_Name は、構成された BEA WebLogic Server レルムの名前です。

com.tivoli.pd.as.rbpf.ResourceContainerName***デフォルトは Resources です。構成後、このプロパティーはResources/$WLS_Domain_Name/$WLS_Realm_Name に変更されます。WLS_Domain_Name は、構成された BEA WebLogic Server ドメインの名前です。 WLS_Realm_Name は、構成された BEA WebLogic Server レルムの名前です。

com.tivoli.pd.as.rbpf.PosRoot***デフォルトは WebAppServer です。このプロパティーは、Tivoli Access

Manager for WebLogic にあるすべての役割とリソース用のオブジェクト・スペースの絶対ルートです。

com.tivoli.pd.as.rbpf.ProductId***デフォルトは WLS です。このプロパティーは、PosRoot 値と結合されて、すべての役割とリソースに関してオブジェクト・スペースのルートを形成します。

com.tivoli.pd.as.rbpf.AMActionGroup***デフォルトは WebAppServer です。このプロパティーは、アクション・グループのデフォルト名です。これは、Tivoli Access Manager for WebLogic アクセス決定によって検査されるアクションの保管に使用されます。

付録 A. プロパティー・ファイルのリファレンス 49

com.tivoli.pd.as.rbpf.AMAction***デフォルトは、起動を表す i です。このアクションは、Tivoli Access

Manager for WebLogic がアクセス決定を行うときに検査され、AMActionGroup に追加されます。

com.tivoli.pd.as.cache.EnableDynamicRoleCachingデフォルトは true です。このプロパティーは、動的役割キャッシュを使用可能または使用不能にします。動的役割キャッシュは、通常のすべての役割(つまり、管理役割以外の役割) をキャッシュに入れるために使用されます。これは、肯定および否定の役割メンバーシップをキャッシュに入れます。

com.tivoli.pd.as.cache.DynamicRoleCacheデフォルトは com.tivoli.pd.as.cache.DynamicRoleCacheImpl です。このプロパティーは、動的役割キャッシュの実行に使用されるクラスです。必要に応じて、独自の動的役割キャッシュをインプリメントすることができます。これは、com.tivoli.pd.as.cache.IDynamicRoleCache インターフェースをインプリメントすることによって実行できます。

com.tivoli.pd.as.cache.DynamicRoleCache.NumBucketsデフォルトは 20 です。このプロパティーは、動的役割キャッシュ・エントリーの保管に使用される基礎のハッシュ・テーブル内で使用すべきバケット数を指定します。

com.tivoli.pd.as.cache.DynamicRoleCache.MaxUsersデフォルトは 100000 です。このプロパティーは、キャッシュにあるすべてのバケットの合計エントリー数です。この数値を NumBuckets で除算すれば、各バケットの最大サイズが決定されます。

com.tivoli.pd.as.cache.DynamicRoleCache.RoleLifetimeデフォルトは 20 です。このプロパティーは、肯定および否定の動的役割キャッシュ決定がキャッシュに残る時間を秒単位で指定します。

com.tivoli.pd.as.cache.DynamicRoleCache.PrincipalLifeTimeデフォルトは 10 です。このプロパティーは、プリンシパル信任状が Tivoli

Access Manager for WebLogic キャッシュ内に保管される時間を分単位で指定します。 PdPerm.properties の値 appsvr-credcache-life によって、信任状が PDJRTE 内にキャッシュされる時間が決定されることに注意してください。 Tivoli Access Manager for WebLogic は PDJRTE からのすべての信任状を取得するため、この値は、appsvr-credcache-life より低い場合に、キャッシュされた信任状を Tivoli Access Manager for WebLogic が PDJRTE

から検索するときにオーバーライドされます。

com.tivoli.pd.as.cache.EnableStaticRoleCachingデフォルトは true です。このプロパティーは、静的役割キャッシュを使用可能または使用不能にします。静的役割キャッシュは、管理役割の肯定および否定の役割メンバーシップをキャッシュに入れるために使用されます。このキャッシュは、エントリーの有効期限が切れないこと以外は動的役割キャッシュと同じです。これにより、管理役割へのメンバーシップが変更されることはないため、管理役割のパフォーマンスが向上します。

com.tivoli.pd.as.cache.StaticRoleCacheデフォルトは com.tivoli.pd.as.cache.StaticRoleCacheImpl です。これは、静的役割キャッシュの実行に使用されるクラスです。必要に応じて、独自の静的


役割キャッシュをインプリメントすることができます。これは、com.tivoli.pd.as.cache.IStaticRoleCache インターフェースをインプリメントすることによって実行できます。

com.tivoli.pd.as.cache.StaticRoleCache.Rolesデフォルトは Admin, Operator, Monitor, Deployer です。このプロパティーは、コンマ区切りの管理役割のリストを保持します。このリスト内の役割のメンバーシップは、動的役割キャッシュではなく静的役割キャッシュに追加されます。他のすべての役割メンバーシップは動的役割キャッシュに入れられます。

com.tivoli.pd.as.cache.EnableObjectCachingデフォルトは true です。このプロパティーは、オブジェクト・キャッシュを使用可能または使用不可します。オブジェクト・キャッシュは、拡張属性を含むすべての Tivoli Access Manager オブジェクトをキャッシュに入れるために使用されます。これにより、どの役割にどの BEA WebLogic Server

リソースへのアクセス権を付与するのかについてのキャッシュが可能になります。そのため、リソース要求ごとに Tivoli Access Manager Authorization

server を照会する必要がなくなります。

com.tivoli.pd.as.cache.ObjectCacheデフォルトは com.tivoli.pd.as.cache.ObjectCacheImpl です。このプロパティーは、オブジェクト・キャッシュの実行に使用されるクラスです。必要に応じて、独自のオブジェクト・キャッシュをインプリメントすることができます。これは、com.tivoli.pd.as.cache.IObjectCache インターフェースをインプリメントすることによって実行できます。

com.tivoli.pd.as.cache.ObjectCache.NumBucketsデフォルトは 20 です。このプロパティーは、基礎のハッシュ・テーブルにオブジェクト・キャッシュ・エントリーを保管するために使用されるバケット数を指定します。

com.tivoli.pd.as.cache.ObjectCache.MaxResourcesデフォルトは 10000 です。このプロパティーは、キャッシュにあるすべてのバケットの合計エントリー数を指定します。この数値を NumBuckets で除算すれば、各バケットの最大サイズが決定されます。

com.tivoli.pd.as.cache.ObjectCache.ResourceLifeTimeデフォルトは 20 です。このプロパティーは、オブジェクトがオブジェクト・キャッシュ内に保持される時間を分単位で指定します。

com.tivoli.pd.as.rbpf.UncheckedRolesデフォルトは Unchecked, AmasUnckeched, Anonymous です。このプロパティーは、J2EE Unchecked 役割のコンマ区切りのリストを指定します。リストされた役割のいずれかに、BEA WebLogic Server リソースへのアクセス権が付与されると、付加されている通常の役割に関係なく、すべてのユーザーにそのリソースへのアクセス権が付与されます。ユーザーとグループをこれらの役割に追加することはできません。これらの役割は、特定のリソースに対してすべてのユーザーにアクセス権を付与する効果的な方法を表します(Unauthenticated を含む)。 Tivoli Access Manager for WebLogic 構成がこのUnchecked 役割を複数の基本 BEA WebLogic Server リソースに追加する場


合は、Anonymous 役割を必ずこのリスト内に残してください。このプロパティーは、構成前に設定する必要はありませんが、一度設定したら変更すべきではありません。

com.tivoli.pd.as.rbpf.ExcludedRolesデフォルトは Excluded, AmasExcluded です。このプロパティーは、J2EE

Excluded 役割のコンマ区切りのリストを指定します。そのため、役割のいずれかがリソースに付加されると、付加されている通常の役割に関係なく、ユーザーにそのリソースへのアクセス権が付与されません。これらの J2EE

Excluded 役割は、特定のリソースに対するすべてのユーザーのアクセスを拒否する効果的な方法を表します。このプロパティーは、構成前に設定する必要はありませんが、一度設定したら変更すべきではありません。

com.tivoli.pd.as.rbpf.GrantUnprotectedAccessデフォルトは true です。このプロパティーは、保護されていない要求リソース (つまり付与された役割を持たないオブジェクト) へのアクセスを許可するのか拒否するのかを指定します。

com.tivoli.pd.as.rbpf.CopyParentRole***デフォルトは false です。このプロパティーにより、管理者は、より特定のレベルの役割 (たとえば、アプリケーション・レベルの役割) を作成するときに、より高いレベルで定義された役割メンバー (たとえば、グローバル役割) をコピーすべきかどうかを指定できます。 Tivoli Access Manager では、　グローバル・レベルで付加された ACL のすべてのメンバーを、アプリケーション・レベルのオブジェクトに付加された ACL にコピーすることもできます。このプロパティーによって、管理者は、新規役割の作成時に継承の概念を役割メンバーに適用することができます。通常、これはPropogateChileRole と同じ値に設定します。

com.tivoli.pd.as.rbpf.PropagateChildRole***デフォルトは false です。このプロパティーにより、管理者は、より高いレベルで定義された役割メンバーシップ (たとえば、グローバル役割) の変更を子役割 (たとえば、アプリケーション・レベルの役割) にも適用するのかどうかを指定できます。つまり、userA をグローバル役割 RoleA に追加すると、アプリケーション・レベルでも userA が RoleA に追加されます。これにより、CopyParentRole が強化され、役割メンバーシップの更新時に役割メンバーの継承が適用されます。通常、このプロパティーはCopyParentRole と同じ値に設定します。

com.tivoli.pd.as.rbpf.UseEntitlementsデフォルトは false です。このプロパティーは、どのリソースに対するアクセス権がどの役割に付与されるのかという情報を収集するために Tivoli

Access Manager Authorization server の資格サービスを使用するのかどうかを示します。このデフォルトは false です。そのため、最小数の Tivoli

Access Manager サービスをセットアップして、Tivoli Access Manager for

WebLogic を実行することができます。ただし、このプロパティーは、Tivoli

Access Manager Policy Server に対して Single Point of Failure があるため、テスト環境でのみ false に設定してください。資格サービスも、内部オブジェクト・キャッシュに基づいて、はるかに高いレベルで実行されます。そのため、実稼働環境では、この値は必ず true に設定してください。


com.tivoli.pd.as.rbpf.EntitlementsUserデフォルトは Tivoli Access Manager for WebLogic remote-acl-user です。このプロパティーは、資格サービスを使用して、オブジェクト検索の実行に使用されるユーザーを保持します。資格サービスは、Tivoli Access Manager

保護オブジェクト・スペースからオブジェクトを要求するユーザーに、サーバー管理汎用「s」許可が付与されていることを保証します。 config では、remote-acl-user は iv-admin グループに追加され、この許可を付与されます。オブジェクトを要求するユーザーは、このユーザーを変更することにより更新できます。ただし、Tivoli Access Manager 保護オブジェクト・スペース内のリソース・コンテナーに、この新規ユーザーが「s」許可を付与されていることを確認する必要があります。

com.tivoli.pd.as.rbpf.IgnorePasswordPolicyOnUserCreateデフォルトは false です。このプロパティーにより、管理者は、BEA

WebLogic Server コンソールを介して新規 Tivoli Access Manager ユーザーを作成するときにパスワード・ポリシーを無視できます。

com.tivoli.pd.as.rbpf.DeleteBaseRoleRecursiveデフォルトは true です。このプロパティーは、親役割を削除するときにすべての子役割を削除するかどうかを指示します。

amwlsjlog.propertiesamwlsjlog.properties ファイルは標準の JLog プロパティー・ファイルです。このファイルは、PDJRTE と同様に Tivoli Access Manager for WebLogic でのメッセージングとトレースを制御するために使用されます。

本節では、amwlsjlog.properties ファイルに含まれるすべてのプロパティーをリストするわけではありません。その多くがここでの目的とは無関係であるためです。ただし、メッセージングおよびトレースを使用可能または使用不能にするのは、このファイルから行います。

amwlsjlog.properties ファイル内のエントリーは階層になっています。複数のコンポーネントのロギングを同時にオンにしたり、単一のコンポーネントのロギングをオンにしたりすることができます。

ロギングをオンにするには、ロギングを使用可能にしたいコンポーネントにisLogging プロパティーを追加します。下に、Tivoli Access Manager for WebLogic

がサポートするトレースおよびメッセージングのコンポーネントをすべてリストします。下にリストされたプロパティーの 1 つまたはすべてについて、トレース/メッセージングを使用可能にできます。その後に、各コンポーネントの内容について簡潔に説明します。

コンポーネント説明

トレース

AmasRBPFTraceLogger Tivoli Access Manager for WebLogic の内部操作のトレース。

AmasCacheTraceLogger すべての Tivoli Access Manager for

WebLogic キャッシュのトレース。


コンポーネント説明

AMSSPICfgTraceLogger Tivoli Access Manager for WebLogic のconfig 操作 (役割の作成など) のトレース。

AMSSPIAuthzTraceLogger Tivoli Access Manager for WebLogic の許可プロバイダーのトレース。

AMSSPIAuthnTraceLogger Tivoli Access Manager for WebLogic の認証プロバイダーのトレース。

AMSSPIRoleMapperTraceLogger Tivoli Access Manager for WebLogic の役割マッピング・プロバイダーのトレース。

AMSSPIResourceManagerTraceロガー

Tivoli Access Manager for WebLogic 内のリソース・マネージャーのトレース。

メッセージング

AmasCacheMessageLogger Tivoli Access Manager for WebLogic の内部操作のメッセージング。

AmasRBPFMessageLogger すべての Tivoli Access Manager for

WebLogic キャッシュのメッセージング。

AMSSPICfgMessageLogger Tivoli Access Manager for WebLogic のconfig 操作 (役割の作成など) のメッセージング。

AMSSPIAuthzMessageLogger Tivoli Access Manager for WebLogic の許可プロバイダーのメッセージング。

AMSSPIAuthnMessageLogger Tivoli Access Manager for WebLogic の認証プロバイダーのメッセージング。

AMSSPIRoleMapperMessageロガー

Tivoli Access Manager for WebLogic の役割マッピング・プロバイダーのメッセージング。

AMSSPIResourceManagerMessageLogger

Tivoli Access Manager for WebLogic 内のリソース・マネージャーのメッセージング。

前述の各コンポーネントは、baseGroup traceLogger および baseGroupmessageLogger を拡張します。そのため、プロパティー・ファイル内では、プロパティーは次の例のように表示されます。

baseGroup.AMSSPIAuthnMessageLogger.isLogging=true

前述の例では、Tivoli Access Manager for WebLogic の認証プロバイダー・セクションのメッセージングが使用可能にされます。許可プロバイダーを除くすべてのコンポーネントのトレースを使用可能にする場合は、以下の行を追加してください。

baseGroup.TraceLogger.isLogging=truebaseGroup.AMSSPIAuthzMessageLogger.isLogging=false

つまり、他のすべてのトレース・コンポーネントは、基本ロガーから true 値を継承します。これに対し、許可ロガーは true 値を false 値でオーバーライドします。


付録 B. コマンドのクイック・リファレンス


AMWLSConfigure -action configTivoli Access Manager for WebLogic Server を構成します。

構文AMWLSConfigure -action config -domain_admin domain_admin

-domain_admin_pwd domain_admin_password -remote_acl_user remote_acl_user

-sec_master_pwd sec_master_pwd -pdmgrd_host pdmgrd_host -pdacld_hostpdacld_host [-deploy_extension {true|false}] [-wls_server_url wls_server_url][-am_domain am_domain] [-pdmgrd_port pdmgrd_port] [-pdacld_portpdacld_port] [-amwls_home amwls_home] [-verbose {true|false}]

パラメーター-am_domain am_domain

Tivoli Access Manager ドメインの名前を指定します。デフォルトのドメインは、Default です。

-amwls_home amwls_home

Tivoli Access Manager for WebLogic Server のインストール・ディレクトリーへのパスを指定します。

-deploy_extension {true|false}true に設定されている場合、Tivoli Access Manager Web Logic Server バージョン 5.1 コンソール拡張をデプロイします。デフォルト値は true です。

-domain_admin domain_admin

WebLogic ドメイン・アドミニストレーターを指定します。

-domain_admin_pwd domain_admin_password

WebLogic ドメイン・アドミニストレーター・パスワードを指定します。

-pdacld_host pdacld_host

Tivoli Access Manager Authorization server のホスト名を指定します。

-pdacld_port pdacld_port

Tivoli Access Manager Authorization server のポート番号を指定します。デフォルト・ポート番号は 7136 です。

-pdmgrd_host pdmgrd_host

Tivoli Access Manager Policy Server のホスト名を指定します。

-pdmgrd_port pdmgrd_port

Tivoli Access Manager Policy Server のポート番号を指定します。デフォルト・ポート番号は 7135 です。

-remote_acl_user remote_acl_user

Authorization server 用に作成された Tivoli Access Manager プリンシパルを指定します。

-sec_master_pwd sec_master_pwd

Tivoli Access Manager 管理ユーザー・パスワード (通常は sec_master) を指定します。


-verbose {true|false}true に設定されている場合、詳細出力を使用可能にします。デフォルト値はfalse です。

-wls_server_url wls_server_url

ローカルの WebLogic Server の URL を指定します。デフォルトはt3://localhost:7001 です。

可用性このコマンドは、以下のデフォルト・インストール・ディレクトリーに置かれています。

v UNIX システム:

/opt/pdwls/sbin/

v Windows システムの場合:

C:¥Program Files¥Tivoli¥pdwls¥sbin¥

デフォルト以外のインストール・ディレクトリーが選択された場合、このユーティリティーはインストール・ディレクトリーの下の sbin ディレクトリー (たとえば、install_dir¥sbin¥) にあります。

戻りコード以下の終了状況コードが戻されます。

0 コマンドが正常に完了しました。

1 コマンドが失敗しました。

コマンドが失敗すると、エラー・メッセージが表示されます。問題について詳しくは、「IBM Tivoli Access Manager for e-business エラー・メッセージ・リファレンス」を参照してください。

付録 B. コマンドのクイック・リファレンス 57

AMWLSConfigure -action unconfigTivoli Access Manager for WebLogic Server を構成解除します。

構文AMWLSConfigure -action unconfig -domain_admin_pwd domain_admin_pwd

-sec_master_pwd sec_master_pwd [-verbose {true|false}]

パラメーター-domain_admin_pwd domain_admin_pwd

Tivoli Access Manager for WebLogic Server ドメイン・アドミニストレーター・パスワードを指定します。

-sec_master_pwd sec_master_pwd

Tivoli Access Manager 管理ユーザー・パスワード (通常は sec_master) を指定します。




/opt/pdwls/sbin/









AMWLSConfigure -action create_realmWebLogic Server にセキュリティー・レルムを作成します。

構文AMWLSConfigure -action create_realm -realm_name realm_name

-domain_admin_pwd domain_admin_pwd -user_dn_suffix user_dn_suffix

-group_dn_suffix group_dn_suffix -admin_group admin_group [-user_dn_prefixuser_dn_prefix] [-group_dn_prefix group_dn_prefix] [-sso_enabled {true|false}][-sso_user sso_user] [-sso_pwd sso_pwd] [-verbose {true|false}]

パラメーター-admin_group admin_group

内部構成用に使用する Tivoli Access Manager グループを指定します。

-domain_admin_pwd domain_admin_pwd


-group_dn_prefix group_dn_prefix

グループの作成時に使用する識別名 (DN) プレフィックスを指定します。

-group_dn_suffix group_dn_suffix

グループの作成時に使用する識別名 (DN) サフィックスを指定します。

-realm_name realm_name

作成される WLS レルムの名前を指定します。

-sso_enabled {true|false}true に設定されている場合、シングル・サインオン・サポートを使用可能にします。デフォルト値は false です。

-sso_pwd sso_pwd

シングル・サインオン・ユーザー (sso_user) のパスワードを指定します。

-sso_user sso_user

Tivoli Access Manager とのシングル・サインオン・トラスト・アソシエーションを作成するユーザーを指定します。

-user_dn_prefix user_dn_prefix

ユーザーの作成時に使用する識別名 (DN) プレフィックスを指定します。

-user_dn_suffix user_dn_suffix

ユーザーの作成時に使用する識別名 (DN) サフィックスを指定します。




/opt/pdwls/sbin/


AMWLSConfigure -action delete_realmWebLogic Server からセキュリティー・レルムを削除します。

構文AMWLSConfigure -action delete_realm -domain_admin_pwddomain_admin_pwd [-registry_clean {true|false}] [-verbose {true|false}]

パラメーター-domain_admin_pwd domain_admin_pwd


-registry_clean {true|false}構成時に作成されたユーザーとグループを除去します。デフォルト値は falseです。




/opt/pdwls/sbin/









付録 C. 特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本 IBM

の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。

IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

〒106-0032

東京都港区六本木 3-2-31

IBM World Trade Asia Corporation

Licensing

以下の保証は、国または地域の法律に沿わない場合は、適用されません。 IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム（本プログラムを含む）との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。


IBM Corporation

2Z4A/101

11400 Burnet Road

Austin, TX 78758

USA

本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、 IBM より提供されます。

この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があります。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。 IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。

本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。より具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品などの名前が含まれている場合があります。これらの名称はすべて架空のものであり、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎません。

この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示されない場合があります。

商標以下は、IBM Corporation の商標です。

AIX

DB2

IBM

IBM ロゴSecureWay

Tivoli

Tivoli ロゴ


Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation

の米国およびその他の国における商標です。

Java およびすべての Java 関連の商標およびロゴは、Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。

UNIX は、The Open Group の米国およびその他の国における登録商標です。

他の会社名、製品名およびサービス名などはそれぞれ各社の商標または登録商標です。

付録 C. 特記事項 65

用語集

［ア行］アクション (action). アクセス・コントロール・リスト (ACL) 許可属性。アクセス・コントロール・リスト(ACL) も参照。

アクセス許可 (access permission). そのオブジェクト全体に適用されるアクセス権。

アクセス制御 (access control). コンピューター・セキュリティーで、許可ユーザーが許可された方法でのみコンピューター・システムのリソースにアクセスできるようにするプロセス。

アクセス・コントロール・リスト (access control list)(ACL). コンピューター・セキュリティーにおいて、オブジェクトへ関連付けられているリスト。そのオブジェクトにアクセスできるすべてのサブジェクトと、そのアクセス権限を識別する。たとえば、ファイルに関連付けられているアクセス・コントロール・リストは、ファイルにアクセスできるユーザーを識別し、さらに、そのファイルへのユーザーのアクセス権限を識別する。

暗号 (cipher). 鍵を使用してプレーン・データに変換(暗号化解除) されるまで判読できない、暗号化されたデータ。

暗号化 (encryption). コンピューター・セキュリティーにおいて、データを理解不能な形式に変換して、オリジナルのデータを入手できないようにするか、または暗号化解除プロセスを使用しなければ入手できないようにするプロセス。

インターネット・プロトコル (IP) (Internet protocol(IP)). インターネット・プロトコル・スイートで、データをネットワークまたは相互接続ネットワーク内で経路指定して、高位プロトコル層と物理ネットワークとの間の仲介として機能する、コネクションレス・プロトコル。

インターネット・プロトコル・スイート (Internet suiteof protocols). インターネット上で使用するために開発され、Internet Engineering Task Force (IETF) からRequests for Comment (RFC) として公開されている一連のプロトコル。

応答ファイル (response file). プログラムからの質問に対する応答セットを事前定義したファイル。それらの値を一度に 1 つずつ答える代わりに使用される。

［カ行］外部許可サービス (external authorization service).Tivoli Access Manager の許可決定チェーンの一部として、アプリケーションまたは環境固有の許可決定を行うために使用できる Authorization API ランタイム・プラグイン。お客様は許可 ADK を使用して、これらのサービスを開発できる。

鍵 (key). コンピューター・セキュリティーにおいて、データを暗号化または暗号化解除するために、暗号アルゴリズムで使用する一連のシンボル。秘密鍵 (private

key) および公開鍵 (public key) を参照。

鍵格納ファイル (key ring). コンピューター・セキュリティーにおいて、公開鍵、秘密鍵、トラステッド・ルート、および証明書が入ったファイル。

鍵データベース・ファイル (key database file). 鍵格納ファイル (key ring) を参照。

鍵ファイル (key file). 鍵格納ファイル (key ring) を参照。

鍵ペア (key pair). コンピューター・セキュリティーにおいて、公開鍵および秘密鍵。鍵ペアを暗号化に使用する場合、送信側は公開鍵を使用してメッセージを暗号化し、受信側は秘密鍵を使用してそのメッセージを暗号化解除する。鍵ペアを署名に使用する場合、署名者は秘密鍵を使用してメッセージの表現を暗号化し、受信側は公開鍵を使用してそのメッセージの表現を暗号化解除して、署名を検証する。

仮想ホスト機能 (virtual hosting). 1 台の Web サーバーがインターネットに対して複数のホストとして現れる機能。

管理サーバー (management server). 廃止された用語。ポリシー・サーバー (policy server) を参照。

管理サービス (administration service). Tivoli Access

Manager リソース・マネージャー・アプリケーションで管理要求を実行するために使用できる Authorization API

ランタイム・プラグイン。管理サービスは pdadmin コマンドからのリモート要求に応答して、保護オブジェクト・ツリーにある特定ノードの下のオブジェクトをリストするなどのタスクを実行する。お客様は許可 ADK を使用して、これらのサービスを開発できる。


管理ドメイン (management domain). Tivoli Access

Manager が認証、許可、およびアクセス制御に関するセキュリティー・ポリシーを実施するデフォルト・ドメイン。このドメインは policy server が構成されるときに作成される。ドメイン (domain) も参照。

規則 (rule). イベント・サーバーがイベント間の関係(イベント相関) を認識し、それぞれに自動応答を実行するイベント・サーバー使用可能にする 1 つ以上の論理ステートメント。

基本認証 (basic authentication). 有効なユーザー名とパスワードを入力しなければ、保護されたオンライン・リソースへのアクセスを認可されないようにする認証方式。

許可 (authorization). (1) コンピューター・セキュリティーにおいて、ユーザーに付与された、コンピューター・システムと通信する権限、またはコンピューター・システムを利用する権利。 (2) ユーザーにオブジェクト、リソース、または機能に対する完全または制限付きアクセスを認可するプロセス。

許可 (permission). ファイルやディレクトリーのような、保護オブジェクトにアクセスできる機能。オブジェクトに対する許可の数と意味は、アクセス・コントロール・リストに (ACL) よって定義される。アクセス・コントロール・リスト (ACL) も参照。

許可規則 (authorization rule). 規則 (rule) を参照。

許可サービス・プラグイン (authorization serviceplug-in). 動的にロード可能なライブラリー (DLL または共用) の 1 つで、Authorization API 内でサービス・インターフェースを拡張する操作を実行するために、初期設定時に Tivoli Access Manager Authorization API ランタイム・クライアントによってロードすることができる。現在使用可能なサービス・インターフェースには、管理、外部許可、信任状変更、資格、および PAC 操作の各インターフェースがある。お客様は許可 ADK を使用して、これらのサービスを開発できる。

グローバル・サインオン (GSO) (global signon(GSO)). ユーザーがバックエンド Web アプリケーション・サーバーに代替のユーザー名とパスワードを提供できるようにする、柔軟なシングル・サインオン・ソリューション。グローバル・サインオンは、ユーザーに、許可されたコンピューター・リソースへのアクセス権を1 回のログインで付与する。 GSO は複数のシステムおよびアプリケーションからなる異機種混合の分散コンピューティング環境を持つ大規模エンタープライズ向けに設計されており、ユーザーは複数のユーザー名とパスワードを管理する必要がない。シングル・サインオン(single signon) も参照。

クロスドメイン認証サービス (CDAS) (cross domainauthentication service (CDAS)). 共用ライブラリー・メカニズムを提供する WebSEAL サービス。これにより、デフォルトの WebSEAL 認証メカニズムを、WebSEAL に Tivoli Access Manager ID を戻すカスタム・プロセスで代用できる。 WebSEAL も参照。

クロスドメイン・マッピング・フレームワーク (CDMF)(cross domain mapping framework (CDMF)).WebSEAL e-Community SSO 機能が使用されたときに、開発者がユーザー ID のマッピングとユーザー属性の処理をカスタマイズできるようにするプログラミング・インターフェース。

公開鍵 (public key). コンピューター・セキュリティーにおいて、誰でも使用できる鍵。秘密鍵 (private key)

と対比。

構成 (configuration). (1) 情報処理システムのハードウェアとソフトウェアが編成され、相互接続される方法。 (2) システム、サブシステム、またはネットワークを構成するマシン、デバイス、およびプログラム。

コモン・ゲートウェイ・インターフェース (CGI)(common gateway interface (CGI)). HTTP 要求を介して Web サーバーとアプリケーション・プログラムとの間で情報を受け渡すスクリプトを定義するためのインターネット標準。CGI スクリプトは、Perl などのスクリプト記述言語で書かれた CGI プログラム。

コンテナー・オブジェクト (container object). オブジェクト・スペースを個別の機能領域に編成する構造上の指定。

［サ行］サービス (service). サーバーによって実行される作業。サービスは、データを (ファイル・サーバー、HTTP

サーバー、E メール・サーバー、および finger サーバーを使用して) 送信または保管する単純な要求の場合もあれば、プリント・サーバーやプロセス・サーバーなどのより複雑な作業の場合もある。

サイレント・インストール (silent installation). コンソールにメッセージを送らない代わりに、メッセージとエラーをログ・ファイルに保管するインストール。また、サイレント・インストールでは、データ入力に応答ファイルを使用できる。応答ファイル (response file) も参照。

サフィックス (suffix). ローカル側に保持されているディレクトリー階層の最上位エントリーを識別する識別名。 Lightweight Directory Access Protocol (LDAP) では相対命名方式が使用されるため、このサフィックスは、


そのディレクトリー階層内にあるその他すべてのエントリーに適用される。 1 つのディレクトリー・サーバーが複数のサフィックスを持ち、それぞれがローカルに保持されているディレクトリー階層を識別する場合もある。

資格 (entitlement). 外部化されたセキュリティー・ポリシー情報が入ったデータ構造。資格には、特定のアプリケーションにだけ分かる方法でフォーマットされたポリシー・データまたは機能が入っている。

資格サービス (entitlement service). プリンシパルの外部ソースまたは一連の条件から資格を戻すために使用できる Authorization API ランタイム・プラグイン。通常、資格はアプリケーション固有のデータであり、何らかの方法でリソース・マネージャー・アプリケーションによって処理されるか、プリンシパルの信任状へ追加され、その後の許可プロセスで使用される。お客様は許可 ADK を使用して、これらのサービスを開発できる。

識別名 (DN) (distinguished name (DN)). ディレクトリー内のエントリーを一意に識別する名前。識別名は、属性:値というペアで構成され、コンマで区切られる。

自己登録 (self-registration). ユーザーが管理者の介入なしに、必要なデータを入力して Tivoli Access Manager

の登録ユーザーになるプロセス。

ジャンクション (junction). フロントエンド WebSEAL

サーバーとバックエンド Web アプリケーション・サーバーとの間の HTTP または HTTPS 接続。 WebSEAL

はジャンクションを使用してバックエンド・サーバーに代わって保護サービスを提供する。

証明書 (certificate). コンピューター・セキュリティーにおいて、公開鍵を証明書の所有者の身元に結合して、証明書の所有者を認証可能にするディジタル文書。証明書は認証局から発行される。

シングル・サインオン (SSO) (Single Signon(SSO)). 各アプリケーションに別々にログオンせずに、一度ログオンするだけで、複数のアプリケーションにアクセスすることができるユーザー機能。グローバル・サインオン (global signon) も参照。

信任状 (credentials). ユーザー、すべてのグループ・アソシエーション、および他のセキュリティー関連の一致属性を記述する、認証の際に獲得される詳細情報。信任状を使用して、許可、監査、代行などの多くのサービスを実行できる。

信任状変更サービス (credentials modificationservice). Tivoli Access Manager 信任状を変更するために使用できる Authorization API ランタイム・プラグ

イン。ユーザーによって外部で開発された信任状変更サービスは、信任状属性リストへの追加や削除を行うだけに制限され、変更可能と見なされている属性だけを操作できる。

スキーマ (schema). データベースの構造を完全に記述する、データ定義言語で表現されたステートメントの集合。リレーショナル・データベースでは、スキーマがテーブル、各テーブル内のフィールド、およびフィールドとテーブルとの間の関係を定義する。

スケーラビリティー (scalability). リソースにアクセスするユーザー数の増加に対するネットワーク・システムの対応能力。

ステップアップ認証 (step-up authentication). 事前に構成された認証レベル階層に基づき、リソースに設定されたポリシーに従って特定のレベルの認証を実行する保護オブジェクト・ポリシー (POP)。ステップアップ認証 POP では、ユーザーは複数レベルの認証を使用せずに任意のリソースにアクセスできるが、リソースを保護しているポリシーによって必要とされるレベルか、それ以上のレベルで認証を行う必要がある。

セキュリティー管理 (security management). ビジネスを成功させる上で重要なアプリケーションやデータへのアクセスを制御する組織の能力を対象にした、管理規律。

接続 (connection). (1) データ通信で、情報を伝達するために機能単位の間で確立される関連付け。 (2)

TCP/IP で、2 つのプロトコル・アプリケーション間で信頼性のあるデータ・ストリーム送達サービスを提供するパス。インターネットでは、あるシステム上の TCP

アプリケーションから別のシステム上の TCP アプリケーションに接続が拡張される。 (3) システム通信で、2

つのシステム間またはシステムとデバイスとの間でデータを渡すための回線。

属性リスト (attribute list). 権限を決定するための拡張情報が入ったリンク・リスト。属性リストは、一連のname = value のペアで構成される。

［タ行］多重プロキシー・エージェント (MPA) (multiplexingproxy agent (MPA)). 複数のクライアント・アクセスに対応できるゲートウェイ。これらのゲートウェイは、クライアントが Wireless Access Protocol (WAP) を使用してセキュア・ドメインにアクセスする場合には、WAP

ゲートウェイと呼ばれることもある。ゲートウェイは、

用語集 69

起点サーバーへの単一の認証済みチャネルを確立し、そのチャネルを通じたすべてのクライアント要求と応答のトンネルになる。

デーモン (daemon). 継続的または定期的に、ネットワーク制御のようなシステム全体の機能を処理するために不在で実行されるプログラム。自動的に起動されてタスクを実行するデーモンと、定期的に実行されるデーモンがある。

ディジタル・シグニチャー (digital signature).e-commerce では、データ単位に付加されたデータ、またはデータ単位で暗号に変換されたデータ。データ単位の受信側はこれを使用して、そのデータ単位のソースや保全性を検証したり、偽造の可能性を検知したりできる。

ディレクトリー・スキーマ (directory schema). ディレクトリーに表示できる有効な属性タイプとオブジェクト・クラス。これらの属性タイプとオブジェクト・クラスは、属性値の構文と、どの属性が存在する必要があるか、およびどの属性がディレクトリーについて存在できるかを定義する。

トークン (token). (1) ローカル・エリア・ネットワークで、伝送メディアを一時的に制御しているステーションを識別するために、1 つのデータ・ステーションから別のデータ・ステーションに継続的に渡される権限のシンボル。各データ・ステーションには、トークンを取得してメディアを制御するために使用する機会がある。トークンは、伝送する許可を知らせる特定のメッセージすなわちビット・パターンである。 (2) ローカル・エリア・ネットワーク (LAN) において、伝送メディア経由で 1 つのデバイスから別のデバイスに渡されるビットのシーケンス。トークンは、データが付加されると、フレームになる。

特権属性証明書 (privilege attribute certificate). プリンシパルの認証と許可属性、およびプリンシパルの能力が記載されているディジタル文書。

特権属性証明書サービス (privilege attributecertificate service). 所定のフォーマットの PAC をTivoli Access Manager 信任状に、またはその逆に変換する Authorization API ランタイム・クライアント・プラグイン。これらのサービスを使用して、Tivoli Access

Manager 信任状を他のセキュア・ドメイン・メンバーへの伝送用にパッケージしたりマーシャルしたりすることもできる。お客様は許可 ADK を使用して、これらのサービスを開発できる。特権属性証明書 (privilege attribute

certificate) も参照。

ドメイン (domain). (1) 共通のサービスを共有するユーザー、システムおよびリソースの論理的なグループ

で、通常は共通の目的で機能する。 (2) コンピューター・ネットワークで、データ処理リソースが共通制御される部分。ドメイン名 (domain name) も参照。

ドメイン名 (domain name). インターネット・プロトコル・スイートにおける、ホスト・システムの名前。ドメイン名は、区切り文字で区切られた一連のサブネームで構成される。たとえば、ホスト・システムの完全修飾ドメイン名 (FQDN) が as400.rchland.vnet.ibm.com の場合、as400.rchland.vnet.ibm.com、vnet.ibm.com、ibm.com

はそれぞれドメイン名。

トラステッド・ルート (trusted root). Secure Sockets

Layer (SSL) において、公開鍵とそれに関連付けられた認証局 (CA) の識別名。

［ナ行］認証 (authentication). (1) コンピューター・セキュリティーにおける、ユーザーの ID の確認、またはオブジェクトにアクセスするユーザーの適格性の確認。 (2) コンピューター・セキュリティーにおける、メッセージが変更または破壊されていないことの確認。 (3) コンピューター・セキュリティーにおいて、情報システムまたは保護リソースのユーザーを確認するプロセス。マルチファクター認証 (multi-factor authentication)、ネットワーク型認証 (network-based authentication)、およびステップアップ認証 (step-up authentication) も参照。

認証局 (CA) (certificate authority (CA)). 証明書を発行する組織。認証局は、証明書の所有者の身元とその所有者が使用を許可されているサービスとの認証、新規の証明書の発行、既存の証明書の更新、および使用が許可されなくなったユーザーに属する証明書の取り消しを行う。

ネットワーク型認証 (network-basedauthentication). ユーザーのインターネット・プロトコル (IP) アドレスに基づいて、オブジェクトへのアクセスを制御する保護オブジェクト・ポリシー (POP)。保護オブジェクト・ポリシー (protected object policy) も参照。

［ハ行］バインド (bind). ID をプログラム内の他のオブジェクトに関連付けること。たとえば、ID を値、アドレス、または他の ID に関連付けたり、形式的なパラメーターと実パラメーターとを関連付けること。

ビジネス資格 (business entitlement). ユーザー信任状の補足属性で、リソースに対する許可要求で使用できるきめの細かい条件を記述する。


秘密鍵 (private key). コンピューター・セキュリティーにおいて、所有者だけが知っている鍵。公開鍵 (public

key) と対比。

ファイル転送プロトコル (FTP) (File TransferProtocol (FTP)). インターネット・プロトコル・スイートにおいて、伝送制御プロトコル (TCP) およびTelnet サービスを使用してマシンまたはホスト相互間でバルク・データ・ファイルを転送するためのアプリケーション層プロトコル。

ブレード (blade). アプリケーション固有のサービスとコンポーネントを提供するコンポーネント。

プロセス間通信 (IPC) (interprocess communication(IPC)). (1) プログラムがデータを互いに通信し、そのアクティビティーを同期化するプロセス。セマフォー、シグナル、および内部メッセージ・キューはプロセス間通信の共通メソッド。 (2) 同じコンピューター内、またはネットワークを介して、プロセスが相互に通信できるようにするオペレーティング・システムのメカニズム。

ポータル (portal). リンク、コンテンツ、またはサービスなど、特定のユーザーが使用できる Web リソースのカスタマイズされたリストを、そのユーザーのアクセス許可に基づいて動的に生成する統合 Web サイト。

ポーリング (polling). データベースが、決められた間隔で、データを転送する必要があるかどうかを判別するために問い合わせるプロセス。

保護オブジェクト (protected object). ACL およびPOP の適用とユーザー・アクセスの許可に使用される実際のシステム・リソースの論理表記。保護オブジェクト・ポリシー (protected object policy) および保護オブジェクト・スペース (protected object space) も参照。

保護オブジェクト・スペース (protected objectspace). ACL および POP の適用とユーザー・アクセスの許可に使用される実際のシステム・リソースの仮想オブジェクト表記。保護オブジェクト (protected object)

および保護オブジェクト・ポリシー (protected object

policy) も参照。

保護オブジェクト・ポリシー (POP) (protected objectpolicy (POP)). 保護オブジェクトにアクセスするための ACL ポリシーによって許可される操作に追加の条件を課すセキュリティー・ポリシーのタイプ。POP 条件を適用するのはリソース・マネージャーの役割。アクセス・コントロール・リスト (access control list)、保護オブジェクト (protected object)、および保護オブジェクト・スペース (protected object space) も参照。

保護品質 (quality of protection). 認証、保全性、およびプライバシー条件の組み合わせによって決定される、データ・セキュリティーのレベル。

ホスト (host). ネットワーク (インターネットまたはSNA ネットワークなど) に接続され、そのネットワークへのアクセス・ポイントを提供するコンピューター。環境によっては、ホストはネットワークを中央制御することもある。ホストは、クライアントまたはサーバーとして機能し、さらにクライアントとサーバーの機能を同時に果たすことができる。

ポリシー (policy). 管理対象リソースに適用される規則の集合。

ポリシー・サーバー (policy server). セキュア・ドメイン内の他のサーバーに関するロケーション情報を保守する Tivoli Access Manager サーバー。

［マ行］マイグレーション (migration). プログラムの新しいリリースやバージョンをインストールして、以前のバージョンやリリースを置き換えること。

マルチファクター認証 (multi-factor authentication).ユーザーが複数のレベルの認証を使用して認証を行うことを強制する保護オブジェクト・ポリシー (POP)。たとえば、保護リソースのアクセス制御では、ユーザーの認証に、ユーザー名 / パスワードおよびユーザー名 /

トークン・パスコードの両方が必要な場合がある。保護オブジェクト・ポリシー (protected object policy) も参照。

メタデータ (metadata). 保管されたデータの特性を記述したデータ。

［ヤ行］役割の活動化 (role activation). 役割にアクセス許可を適用するプロセス。

役割の割り当て (role assignment). ユーザーに役割を割り当てるプロセス。たとえば、役割に定義されたオブジェクトへの適切なアクセス許可をユーザーに持たせるなど。

ユーザー (user). 他者が提供するサービスを使用する、個人、組織、プロセス、デバイス、プログラム、プロトコル、またはシステム。

ユーザー・レジストリー (user registry). レジストリー (registry) を参照。

用語集 71

［ラ行］ランタイム (run time). コンピューター・プログラムが実行されている期間。ランタイム環境は、実行環境。

リソース・オブジェクト (resource object). サービス、ファイル、プログラムなど、実際のネットワーク・リソースを表したもの。

ルーティング・ファイル (routing file). メッセージの構成を制御するコマンドが入った ASCII ファイル。

レジストリー (registry). ユーザー、システム、およびソフトウェアのアクセスおよび構成情報を持つデータ・ストア。

レプリカ (replica). 別のサーバーのディレクトリー(単数または複数) のコピーを含んでいるサーバー。レプリカは、サーバーをバックアップし、パフォーマンスと応答時間を向上させ、データ保全性を確保する。

A

ACL. アクセス・コントロール・リスト (access control

list) を参照。

B

BA. 基本認証 (basic authentication) を参照。

C

CA. 認証局 (certificate authority) を参照。

CDAS. クロスドメイン認証サービス (Cross Domain

Authentication Service) を参照。

CDMF. クロスドメイン・マッピング・フレームワーク(Cross Domain Mapping Framework) を参照。

CGI. コモン・ゲートウェイ・インターフェース(common gateway interface) を参照。

Cookie. サーバーがクライアント・マシン上に保管し、以降のセッションのときにアクセスする情報。Cookies を使用すると、サーバーはクライアントに関する特定の情報を覚えておくことができる。

D

DN. 識別名 (distinguished name) を参照。

E

EAS. 外部許可サービス (External Authorization

Service) を参照。

G

GSO. グローバル・サインオン (global signon) を参照。

H

HTTP. Hypertext Transfer Protocol (HTTP) を参照。

Hypertext Transfer Protocol (HTTP). インターネット・プロトコル・スイートで、ハイパーテキスト文書の転送と表示に使用されるプロトコル。

I

IP. インターネット・プロトコル (IP) (Internet

Protocol (IP))。

IPC. プロセス間通信 (Interprocess Communication) を参照。

L

LDAP. Lightweight Directory Access Protocol (LDAP)

を参照。

Lightweight Directory Access Protocol (LDAP) .(a) TCP/IP を使用して X.500 モデルをサポートするディレクトリーへのアクセスを提供し、(b) より複雑なX.500 Directory Access Protocol (DAP) のリソース要件に制約されない、オープン・プロトコル。 LDAP を使用するアプリケーション (ディレクトリー対応アプリケーションとして知られる) は、共通データ・ストアとして、また、人物やサービスに関する情報 (E メール・アドレス、公開鍵、サービス固有の構成パラメーターなど)

を検索するために、このディレクトリーを使用できる。LDAP は本来 RFC 1777 で仕様化されている。 LDAP

バージョン 3 は RFC 2251 で仕様化され、IETF は標準機能を追加する作業を続けている。 IETF が定義したLDAP の標準スキーマの一部は、RFC 2256 に含まれている。

Lightweight Third Party Authentication (LTPA). インターネット・ドメイン内にある一連の Web サーバー全体にシングル・サインオンできるようにする認証フレームワーク。


LTPA. Lightweight Third Party Authentication (LTPA)

を参照。

P

PAC. 特権属性証明書 (privilege attribute certificate) を参照。

POP. 保護オブジェクト・ポリシー (protected object

policy) を参照。

R

RSA 暗号化 (RSA encryption). 暗号化と認証のために使用される公開鍵暗号化用のシステム。 1977 年にRon Rivest、Adi Shamir、および Leonard Adleman によって発明された。このシステムのセキュリティーは、2

つの大きな素数の積を因数分解する際の難しさに依存している。

S

Secure Sockets Layer (SSL). 通信プライバシーを提供するセキュリティー・プロトコル。 SSL により、クライアント/サーバー・アプリケーションは盗聴、改ざん、およびメッセージ偽造を防止するように設計された方法で通信できる。 SSL は、Netscape Communications

Corp. と RSA Data Security, Inc. によって開発された。

SSL. Secure Sockets Layer (SSL) を参照。

SSO. シングル・サインオン (Single Signon) を参照。

U

Uniform Resource Identifier (URI). リソースの名前(ディレクトリー名とファイル名)、リソースのロケーション (そのディレクトリー名とファイル名が存在するコンピューター)、およびリソースへのアクセス方法(HTTP のようなプロトコル) を含む、インターネット上のコンテンツを識別するために使用される文字ストリング。URI の例は、Uniform Resource Locator、すなわち URL。

Uniform Resource Locator (URL). コンピューター上またはインターネットなどのネットワーク内の情報リソースを表す一連の文字。この文字ストリングには、(a) 情報リソースにアクセスするために使用されるプロトコルの省略名、および、(b) 情報リソースを見つけるためにプロトコルによって使用される情報が含まれる。たとえば、インターネットのコンテキストでは、これらは各種の情報リソースにアクセスするためのプロトコル

の省略名 (http、ftp、gopher、telnet、および news) であり、IBM ホーム・ページの URL はhttp://www.ibm.com。

URI. Uniform Resource Identifier (URI) を参照。

URL. Uniform Resource Locator (URL) を参照。

W

Web Portal Manager (WPM). セキュア・ドメイン内で Tivoli Access Manager Base および WebSEAL セキュリティー・ポリシーの管理に使用される Web ベースのグラフィカル・アプリケーション。 pdadmin コマンド行インターフェースに代わるものとして、この GUI

ではリモート管理者アクセスが可能であり、管理者は代行ユーザー・ドメインを作成し、それらのドメインに代行管理者を割り当てることができる。

WebSEAL. Tivoli Access Manager ブレードの 1 つ。WebSEAL は高性能のマルチスレッド Web サーバーであり、保護されたオブジェクト・スペースにセキュリティー・ポリシーを提供する。 WebSEAL は、シングル・サインオン・ソリューションを提供でき、バックエンド Web アプリケーション・サーバー・リソースをそのセキュリティー・ポリシーの中に取り込むことができる。

WPM. Web Portal Manager を参照。

用語集 73

索引日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。

［ア行］インストール 15

AIX での 15

HP-UX での 16

Solaris での 17

Windows での 17

［カ行］関連資料 ix

基本認証構成済みユーザー 6

許可宣言 35

プログラマチック 35

言語パック英語以外 21

構成済みユーザー 6, 37

［サ行］作成

WebSEAL junction

pdadmin の使用 29

サポートされているプラットフォーム 9

使用上のヒント 37

除去の説明AIX 44

HP-UX 45

Solaris 43

Windows 44

シングル・サインオン 10

デモンストレーション・アプリケーションを使用するテスト37

制限グループの中のグループ 41

J2EE リソースの管理 41

java.security.ACL interface 41

宣言許可 35

前提条件ソフトウェア 10

［タ行］ディスク要件 9

デモンストレーション・アプリケーション 35

トラブルシューティング認証 40

メモリー不足の問題 41

［ナ行］認証外部ユーザーの 6

Access Manager 5

WebSEAL なしの 7

WebSEAL の使用 6

［ハ行］プログラマチック許可 35

ポリシーログオン 38

［マ行］メモリー要件 9

問題判別 40

［ヤ行］ユーティリティー

AMWLSConfigure -action config 56

AMWLSConfigure -action create_realm 59

AMWLSConfigure -action delete realm 61

AMWLSConfigure -action unconfig 58

［ラ行］ログオン・ポリシー 38

AAccess Manager

セキュリティー・モデル 1

Java Runtime Environment 11, 19

pdjrtecfg 19

Policy Server 10

WebSEAL 10

AIX

からの除去 44


AIX (続き)

でのインストール 15

AMWLSConfigure -action config 56

AMWLSConfigure -action create_realm 59

AMWLSConfigure -action delete realm 61

AMWLSConfigure -action unconfig 58

CCLASSPATH

言語パックを指定する startWebLogic 用の設定 21

startWebLogic 用の設定 21

HHP-UX

からの除去 45


Iinstallp 15

JJava

AIX 上のランタイム 11

junction

構成 28

Ppdadmin

WebSEAL junction の作成 29

pdjrtecfg

コマンド行 19

pkgadd 17

pkgrm 43

Policy Server 10

SSMIT 44

Solaris

からの除去 43


startWebLogic

コマンド・ロケーション 21

startWebLogic、CLASSPATH 用の設定 21

swinstall 16

swremove 45

TTivoli Access Manager for WebLogic の除去方法 43

WWebLogic Server

互換モード 9

サービス・パック 9

バージョン 7.0 サポート 9

Security Service Provider Interface 9

WebSEAL 2, 10

構成済みユーザー 6

シングル・サインオン 10, 28

認証 6

WebSEAL junction

構成 28

Windows

からの除去 44



��

Printed in Japan

SC88-9858-00

bea weblogic server 統合ガイドpublib.boulder.ibm.com/tividd/td/itame/sc32-1366-01/ja...tivoli...

Documents