スタンドアロン環境でのクライアント要求の認証

クライアントが認証されていない限り、グリッド・データおよびグリッドを制御する JMX 管理操作へのアクセスは、保護されないままです。 これは、SSL が使用可能になっている場合でも当てはまります。

• 各カタログ・サーバーで セキュリティー記述子 XML ファイルを参照します。

  スタンドアロン環境でカタログ・サーバーを始動する場合、 startXsServer または startOgServer コマンドの -clusterSecurityFile パラメーターを使用して、このファイルを指すことができます。

  セキュリティーを有効にするには、このファイルのセキュリティー・エレメントで securityEnabled=”true” が設定されている必要があります。 また、セキュリティー記述子 XML ファイルに、使用するオーセンティケーターの記述子が含まれている必要があります。 WebSphere® eXtreme Scale には、 LDAPAuthenticator、 KeyStoreLoginAuthenticator、および WSTokenAuthenticatorが含まれています。 WSTokenAuthenticator オーセンティケーターをスタンドアロン環境で使用することはできません。 このオーセンティケーターを使用できるのは、 eXtreme Scale クライアントとサーバーの両方が WebSphere Application Serverで実行されている場合のみです。 あるいは、API 資料で説明されているインターフェースに従って、カスタム・オーセンティケーターおよびログイン・モジュールを開発できます。

• -Djava.security.auth.login.config="path_name" JVM 引数を使用して、各カタログ・サーバーおよびコンテナー・サーバーで JAAS 構成ファイルを参照します。
  これらのファイルの作成およびこれらのファイルを使用するための eXtreme Scale サーバーの構成については、チュートリアル「 チュートリアル: Java SE セキュリティーの構成」を参照してください。 JAAS 構成ファイルは LoginModule を指定します。 KeyStoreLoginAuthenticator とともに KeyStoreLoginModule を使用できます。 SimpleLDAPLoginModule は LDAPAuthenticator とともに使用します。 eXtreme Scale コンテナーおよびカタログ・サーバーの eXtreme Scale カタログおよびコンテナー・サーバーでの LDAP 認証の使用可能化 、または eXtreme Scale コンテナーおよびカタログ・サーバーでの鍵ストア認証の使用可能化を参照してください。
• 認証に必要な資格情報を渡すようにクライアントを構成します。
  これは通常、クライアント・セキュリティー・プロパティー・ファイルに定義されているクライアント・セキュリティー構成をロードしているクライアントによって行われます。 eXtreme Scale クライアントでの LDAP 認証の使用可能化について詳しくは、 eXtreme Scale カタログ・サーバーおよびコンテナー・サーバーでの LDAP 認証の使用可能化を参照してください。 eXtreme Scale クライアントでの鍵ストア認証の使用可能化について詳しくは、 eXtreme Scale コンテナーおよびカタログ・サーバーでの鍵ストア認証の使用可能化を参照してください。
• オプション: NIST SP800-131a または FIPS 用にクライアントを構成します。

  FIPS または NIST SP800-131a に準拠するようにデータ・グリッドを構成できます。 SP800-131a 仕様では、より長い鍵とより強力な暗号化が要求されます。 NIST SP800-131a への準拠には、SP800-131a transition モード、SP800-131a strict モード、および off という 3 つのモードがあります。 transition (遷移) および strict (厳密) というモードにより、SP800-131a の厳密な適用 (strict モード) に移行することも、あるいは、必要であれば最初は transition モードを使用することもできます。

  • クライアントが FIPS 用に構成されたデータ・グリッドに接続するには、 java.security ファイルでクライアントの Java システム・プロパティーを構成し、 client.properties ファイルで有効な鍵ストアとトラストストアの値を指定する必要があります。

    クライアント・プロセスの開始時に -Dcom.ibm.jsse2.usefipsprovider=true 引数を指定します。 それより前の Java バージョンの場合は、 com.ibm.jsse2.JSSEFIPS=true 引数を使用します。

    注: IBM®によって提供される Java ランタイム環境がある場合は、 IBMJSSE2 値を使用してください。 値 IBMJSSE および IBMJSSEFIPSは推奨されません。 eXtremeIO (XIO) トランスポートで SSL セキュリティーを使用する場合は、 IBM の JRE を使用して eXtreme Scale サーバーを実行します。 ORB トランスポートによる SSL セキュリティーと、IBM から提供されたものではない JRE を使用する場合は、適切なコンテキスト・プロバイダー設定について、ご使用の JRE のベンダーの資料を参照してください。

    java.security ファイルおよび有効な鍵ストア・ファイルとトラストストア・ファイルについて詳しくは、 FIPS 140-2 を使用するための WebSphere eXtreme Scale の構成を参照してください。

  • クライアントが NIST SP800-131a用に構成されているデータ・グリッドに接続するには、 java.security ファイルでクライアントの Java システム・プロパティーを構成し、 client.properties ファイルで有効な鍵ストアとトラストストアの値を指定する必要があります。 クライアント・プロセスの開始時に -Dcom.ibm.jsse2.sp800-131 Java システム・プロパティーを指定します。 transition モードまたは strict モードを指定できます。以下に例を示します。
    • SP800-131a の transition モードの場合、サーバーの始動時に JVM 引数 -Dcom.ibm.jsse2.sp800-131=transition を指定します。
    • SP800-131a の strict モードの場合、サーバーの始動時に JVM 引数 -Dcom.ibm.jsse2.sp800-131=strict を指定します。
    java.security ファイル、および有効な鍵ストア・ファイルとトラストストア・ファイルについて詳しくは、 NIST SP800-131aを使用するための WebSphere eXtreme Scale の構成を参照してください。

  以下の例を使用して、client.properties ファイルで、FIPS および SP800-131a 用のクライアント Transport Layer Security 構成を設定します。

  transportType=SSL-Required
  alias=serverprivate
  contextProvider=IBMJSSE2
  protocol=TLSv1
  keyStoreType=JKS
  keyStore=../security/server.private
  keyStorePassword=serverpw
  trustStoreType=JKS
  trustStore=../security/clientserver.public
  trustStorePassword=public