認証および許可のサポート

このトピックでは、ユーザーを認証および許可するための IBM Support Assistant のデフォルト構成について、および構成を変更する方法について説明します。

デフォルト構成

IBM Support Assistant は、管理コンソールへのアクセスの認証および許可をサポートするため、基本ユーザー・レジストリーと共に構成されます。これによって、許可されていないユーザーが「ツール管理」ページおよび「アプリケーション設定」ページにアクセスするのが防止されます。デフォルト構成は、1 つのユーザー ID のみにアクセスを許可します。管理コンソールのいずれかのビューにアクセスしようとすると、資格情報を入力するようプロンプトが出されます。デフォルトの管理ユーザー ID およびパスワードは次のとおりです。

ユーザー ID: admin
パスワード: admin

注: デフォルトのパスワードを変更することを強くお勧めします。変更手順の概要は以下のとおりです。

パスワードの変更

admin ユーザー ID のデフォルトのパスワードを変更する手順の概要は次のとおりです。

コマンド・プロンプトを開き、<isa_install>/wlp/usr/servers/isa ディレクトリーに移動します。
テキスト・エディターで server.xml ファイルを開きます。

basicRegistry セクションを見つけます。

<basicRegistry id="basic" realm="ISABasicRealm">
     <user name="admin" password="admin" />
     <group name="adminGroup">
         <member name="admin" />
     </group>
</basicRegistry>

password 属性の値を、任意のパスワードに変更します。オプションで、<isa_install>/wlp/bin/securityUtility コマンドを使用してパスワード値をエンコードできます。
```
securityUtility encode
```
securityUtility コマンドは、エンコードしたいテキストを入力するようプロンプトを出します。{xor}xxxxx エンコード値が表示されたら、server.xml 構成ファイルに password として、生成されたテキストをコピーして貼り付けます。
server.xml ファイルを保存します。
IBM Support Assistant サーバーを再始動します。

注: <user ...> エレメントの name 属性を変更することによって、admin ユーザー ID を変更することもできます。新しいユーザー名に一致するように、<group ...> エレメントの内側にある <member ...> エレメントの name 属性も変更する必要があります。

EAR デプロイメントの認証/許可の構成

IBM Support Assistant をエンタープライズ・アプリケーションとして既存の WebSphere Application Server にデプロイする場合、ユーザー/グループへのセキュリティー・ロールのマッピングを編集する必要があります。ユーザー/グループへのセキュリティー・ロールのマッピングを構成する方法について詳しくは、WebSphere Application Server 管理資料を参照してください。

表 1: EAR デプロイメントのためのユーザー/グループへのロールのマッピング
ロール名	説明
admin-role	admin-role ロールは、管理コンソールへのアクセスを制限します。任意のユーザーが IBM Support Assistant にアプリケーション・レベルの変更を加えることを防止するため、このロールを特定の 1 人のユーザーまたは 1 つのユーザー・グループにマップすることが推奨されています。
user-role	user-role ロールは、本アプリケーションへのアクセスを制限します。Beta 3 リリースでは、すべてのユーザーが IBM Support Assistant アプリケーションおよび問題判別ツールにアクセスできるよう、このロールを特別なサブジェクトである「全員」にマップすることが推奨されています。
unsecured	unsecured ロールは、全ユーザーがアクセスできる必要のあるリソースへのアクセス権限を管理するために使用されます。このロールを特別なサブジェクトである「全員」にマップしてください。