スタンドアロン環境でのクライアント要求の認証
クライアントが認証されていない限り、グリッド・データおよびグリッドを制御する JMX 管理操作へのアクセスは、保護されないままです。 これは、SSL が使用可能になっている場合でも当てはまります。
このタスクについて
credentialAuthentication
が Required
または Supported
に設定されている場合は、以下のステップで説明されているように、追加の構成が必要です。 これらのステップは、 Java SE セキュリティー・チュートリアル-ステップ 3で説明されている構成ファイルの変更例を使用して、さらに詳しく説明されています。
手順
- 各カタログ・サーバーで セキュリティー記述子 XML ファイルを参照します。
スタンドアロン環境でカタログ・サーバーを始動する場合、 startXsServer または startOgServer コマンドの
-clusterSecurityFile
パラメーターを使用して、このファイルを指すことができます。セキュリティーを有効にするには、このファイルのセキュリティー・エレメントで
securityEnabled=”true”
が設定されている必要があります。 また、セキュリティー記述子 XML ファイルに、使用するオーセンティケーターの記述子が含まれている必要があります。 WebSphere® eXtreme Scale には、LDAPAuthenticator
、KeyStoreLoginAuthenticator
、およびWSTokenAuthenticator
が含まれています。WSTokenAuthenticator
オーセンティケーターをスタンドアロン環境で使用することはできません。 このオーセンティケーターを使用できるのは、 eXtreme Scale クライアントとサーバーの両方が WebSphere Application Serverで実行されている場合のみです。 あるいは、API 資料で説明されているインターフェースに従って、カスタム・オーセンティケーターおよびログイン・モジュールを開発できます。 -
-Djava.security.auth.login.config="path_name"
JVM 引数を使用して、各カタログ・サーバーおよびコンテナー・サーバーで JAAS 構成ファイルを参照します。これらのファイルの作成およびこれらのファイルを使用するための eXtreme Scale サーバーの構成については、チュートリアル「 チュートリアル: Java SE セキュリティーの構成」を参照してください。 JAAS 構成ファイルは LoginModule を指定します。 KeyStoreLoginAuthenticator とともに KeyStoreLoginModule を使用できます。 SimpleLDAPLoginModule は LDAPAuthenticator とともに使用します。 eXtreme Scale コンテナーおよびカタログ・サーバーの eXtreme Scale カタログおよびコンテナー・サーバーでの LDAP 認証の使用可能化 、または eXtreme Scale コンテナーおよびカタログ・サーバーでの鍵ストア認証の使用可能化を参照してください。 - 認証に必要な資格情報を渡すようにクライアントを構成します。これは通常、クライアント・セキュリティー・プロパティー・ファイルに定義されているクライアント・セキュリティー構成をロードしているクライアントによって行われます。 eXtreme Scale クライアントでの LDAP 認証の使用可能化について詳しくは、 eXtreme Scale カタログ・サーバーおよびコンテナー・サーバーでの LDAP 認証の使用可能化を参照してください。 eXtreme Scale クライアントでの鍵ストア認証の使用可能化について詳しくは、 eXtreme Scale コンテナーおよびカタログ・サーバーでの鍵ストア認証の使用可能化を参照してください。
- オプション: NIST SP800-131a または FIPS 用にクライアントを構成します。
FIPS または NIST SP800-131a に準拠するようにデータ・グリッドを構成できます。 SP800-131a 仕様では、より長い鍵とより強力な暗号化が要求されます。 NIST SP800-131a への準拠には、SP800-131a transition モード、SP800-131a strict モード、および off という 3 つのモードがあります。 transition (遷移) および strict (厳密) というモードにより、SP800-131a の厳密な適用 (strict モード) に移行することも、あるいは、必要であれば最初は transition モードを使用することもできます。
- クライアントが FIPS 用に構成されたデータ・グリッドに接続するには、 java.security ファイルでクライアントの Java システム・プロパティーを構成し、 client.properties ファイルで有効な鍵ストアとトラストストアの値を指定する必要があります。
クライアント・プロセスの開始時に
-Dcom.ibm.jsse2.usefipsprovider=true
引数を指定します。 それより前の Java バージョンの場合は、com.ibm.jsse2.JSSEFIPS=true
引数を使用します。注: IBM®によって提供される Java ランタイム環境がある場合は、 IBMJSSE2 値を使用してください。 値 IBMJSSE および IBMJSSEFIPSは推奨されません。 eXtremeIO (XIO) トランスポートで SSL セキュリティーを使用する場合は、 IBM の JRE を使用して eXtreme Scale サーバーを実行します。 ORB トランスポートによる SSL セキュリティーと、IBM から提供されたものではない JRE を使用する場合は、適切なコンテキスト・プロバイダー設定について、ご使用の JRE のベンダーの資料を参照してください。java.security ファイルおよび有効な鍵ストア・ファイルとトラストストア・ファイルについて詳しくは、 FIPS 140-2 を使用するための WebSphere eXtreme Scale の構成を参照してください。
- クライアントが NIST SP800-131a用に構成されているデータ・グリッドに接続するには、 java.security ファイルでクライアントの Java システム・プロパティーを構成し、 client.properties ファイルで有効な鍵ストアとトラストストアの値を指定する必要があります。 クライアント・プロセスの開始時に
-Dcom.ibm.jsse2.sp800-131
Java システム・プロパティーを指定します。 transition モードまたは strict モードを指定できます。以下に例を示します。- SP800-131a の transition モードの場合、サーバーの始動時に JVM
引数
-Dcom.ibm.jsse2.sp800-131=transition
を指定します。 - SP800-131a の strict モードの場合、サーバーの始動時に JVM
引数
-Dcom.ibm.jsse2.sp800-131=strict
を指定します。
- SP800-131a の transition モードの場合、サーバーの始動時に JVM
引数
以下の例を使用して、client.properties ファイルで、FIPS および SP800-131a 用のクライアント Transport Layer Security 構成を設定します。transportType=SSL-Required alias=serverprivate contextProvider=IBMJSSE2 protocol=TLSv1 keyStoreType=JKS keyStore=../security/server.private keyStorePassword=serverpw trustStoreType=JKS trustStore=../security/clientserver.public trustStorePassword=public
- クライアントが FIPS 用に構成されたデータ・グリッドに接続するには、 java.security ファイルでクライアントの Java システム・プロパティーを構成し、 client.properties ファイルで有効な鍵ストアとトラストストアの値を指定する必要があります。