セキュリティー記述子 XML ファイル

セキュリティー記述子 XML ファイルを使用して、セキュリティーを使用可能にして eXtreme Scale デプロイメント・トポロジーを構成します。 このファイルの中のエレメントを使用して、セキュリティーのさまざまな側面を構成できます。

securityConfig エレメント

securityConfig エレメントは、ObjectGrid セキュリティー XML ファイルの最上位エレメントです。 このエレメントは、ファイルの名前空間とスキーマ・ロケーションをセットアップします。 スキーマは objectGridSecurity.xsd ファイルで定義されます。
  • 出現回数: 1 回
  • 子エレメント: security

security エレメント

security エレメントは、ObjectGrid セキュリティーの定義に使用します。
  • 出現回数: 1 回
  • 子エレメント: authenticator、adminAuthorization、および systemCredentialGenerator
属性
securityEnabled
true に設定されているとき、グリッドのセキュリティーを使用可能にします。 デフォルト値は false です。 値を false に設定すると、グリッド全体のセキュリティーが使用不可になります。 詳しくは、 データ・グリッド・セキュリティーを参照してください。 (オプション)
singleSignOnEnabled
値が true に設定されている場合は、クライアントがいずれか 1 つのサーバーに認証されると、その後、クライアントは任意のサーバーに接続できるようになります。 そうでない場合は、クライアントは接続のたびに各サーバーに対して認証を行う必要があります。 デフォルト値は false です。 (オプション)
loginSessionExpirationTime
ログイン・セッションが期限切れになるまでの時間を秒数で指定します。 ログイン・セッションの有効期限が切れると、クライアントは再度認証する必要があります。 (オプション)
adminAuthorizationEnabled
管理許可を使用可能にします。 この値が true に設定されている場合は、すべての管理用タスクに許可が必要です。 使用される許可メカニズムは、adminAuthorizationMechanism 属性の値により指定されます。 デフォルト値は false です。 (オプション)
注: プロパティー adminAuthorizationEnabled および adminAuthorizationMechanism は、バージョン 8.6.1ではサポートされなくなりました。
adminAuthorizationMechanism
使用する許可メカニズムを示します。 WebSphere® eXtreme Scale は、Java™ Authentication and Authorization Service (JAAS) とカスタム許可の 2 つの許可メカニズムをサポートしています。 JAAS 許可メカニズムは、標準の JAAS ポリシー・ベースのアプローチを使用します。 許可メカニズムとして JAAS を指定するには、値に AUTHORIZATION_MECHANISM_JAAS を設定します。 カスタム許可メカニズムは、ユーザー・プラグイン AdminAuthorization 実装を使用します。 カスタム許可メカニズムを指定するには、値に AUTHORIZATION_MECHANISM_CUSTOM を設定します。 これら 2 つのメカニズムの使用方法について詳しくは、 アプリケーション・クライアントの許可を参照してください。 (オプション)

以下の security.xml ファイルは、 データ・グリッド・セキュリティーを使用可能にするためのサンプル構成です。

security.xml

<?xml version="1.0" encoding="UTF-8"?>
<securityConfig xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://ibm.com/ws/objectgrid/config/security ../objectGridSecurity.xsd"
	xmlns="http://ibm.com/ws/objectgrid/config/security">

    <security securityEnabled="true" singleSignOnEnabled="true" 
        loginSessionExpirationTime="20"
        adminAuthorizationEnabled="true"
        adminAuthorizationMechanism="AUTHORIZATION_MECHANISM_JAAS" >
	
        <authenticator className ="com.ibm.websphere.objectgrid.security.plugins.
						builtins.WSTokenAuthenticator">
        </authenticator>
        
        <systemCredentialGenerator className ="com.ibm.websphere.objectgrid.security.
						plugins.builtins.WSTokenCredentialGenerator">
            <property name="properties" type="java.lang.String" value="runAs"
								description="Using runAs subject" />
        </systemCredentialGenerator>

    </security>
</securityConfig>

authenticator エレメント

データ・グリッド内の eXtreme Scale サーバーに対してクライアントを認証します。 className 属性によって指定されるクラスは、com.ibm.websphere.objectgrid.security.plugins.Authenticator インターフェースを実装している必要があります。 オーセンティケーターはプロパティーを使用し、className 属性によって指定されるクラスのメソッドを呼び出すことができます。 プロパティーの使用について詳しくは、property エレメントを参照してください。

前記の security.xml ファイルの例では、com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenAuthenticator クラスがオーセンティケーターとして指定されています。 このクラスは com.ibm.websphere.objectgrid.security.plugins.Authenticator インターフェースを実装します。

  • 出現回数: 0 回または 1 回
  • 子エレメント: property
属性
className
com.ibm.websphere.objectgrid.security.plugins.Authenticator インターフェースを実装するクラスを指定します。 このクラスを使用して、 eXtreme Scale グリッド内のサーバーに対してクライアントを認証します。 (必須)

adminAuthorization エレメント

adminAuthorization エレメントは、データ・グリッドへの管理アクセスをセットアップする場合に使用します。
  • 出現回数: 0 回または 1 回
  • 子エレメント: property
属性
className
com.ibm.websphere.objectgrid.security.plugins.AdminAuthorization インターフェースを実装するクラスを指定します。 (必須)

systemCredentialGenerator エレメント

systemCredentialGenerator エレメントを使用すると、システム資格情報生成プログラムがセットアップされます。 このエレメントは、動的環境にのみ適用されます。 動的構成モデルでは、動的コンテナー・サーバーは eXtreme Scale クライアントとしてカタログ・サーバーに接続し、カタログ・サーバーはクライアントとしても eXtreme Scale コンテナー・サーバーに接続できます。 このシステム資格情報生成プログラムは、システム資格情報のファクトリーを表すために使用します。
  • 出現回数: 0 回または 1 回
  • 子エレメント: property
属性
className
com.ibm.websphere.objectgrid.security.plugins.CredentialGenerator インターフェースを実装するクラスを指定します。 (必須)

systemCredentialGenerator クラスの使用方法の例については、前の security.xml ファイルを参照してください。 この例では、システム資格情報生成プログラムは、スレッドから RunAs Subject オブジェクトを取得する com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredentialGenerator クラスです。

property エレメント

authenticator クラスおよび adminAuthorization クラスにおいて set メソッドを呼び出します。 プロパティーの名前は、authenticator エレメントまたは adminAuthorization エレメントの className 属性の set メソッドに対応しています。
  • 出現回数: 0 回以上
  • 子エレメント: property
属性
name
プロパティーの名前を指定します。 この属性に割り当てられる値は、このプロパティーを含む Bean の className 属性で指定されたクラスの set メソッドと対応している必要があります。 例えば、Bean の className 属性が com.ibm.MyPlugin に設定され、指定されているプロパティーの名前が size である場合、com.ibm.MyPlugin クラスには setSize メソッドが必要です。 (必須)
type
プロパティーのタイプを指定します。 パラメーターのタイプは、name 属性により識別される set メソッドに渡されます。 有効な値は、Java プリミティブ、それに対応する java.lang のクラス、および java.lang.String です。 name 属性と type 属性は、Bean の className 属性のメソッド・シグニチャーに対応していなければなりません。 例えば、名前が size であり、タイプが int である場合は、Bean の className 属性で指定されたクラスに setSize(int) メソッドが存在している必要があります。 (必須)
value
プロパティーの値を指定します。 この値は type 属性によって指定されたタイプに変換され、 次に name 属性と type 属性で識別された set メソッドへの呼び出しでパラメーターとして使用されます。 この属性の値は、どんな方法でも妥当性検査されません。 プラグイン・インプリメンターは、渡された値が有効であることを検証しなければなりません。 (必須)
description
プロパティーの説明を入力します。 (オプション)

詳しくは、 objectGridSecurity.xsd ファイル を参照してください。