第 3 章 構成手順
パート 4: セキュア・ドメインの結合
以下のステップを完了します。
1. WebSphere Application Server を停止します。
2. 以下の情報を集めます。
v Tivoli Access Manager for WebSphere アプリケーションのユーザー ID として 使用するユーザー・アカウントの名前。この後のコマンド例では、
pdpermadmin という ID を使用しています。選択するユーザー名がユーザー・
レジストリーに存在していてはなりません。
v sec_master アカウントのパスワード。
v ポリシー・サーバーのホストとなるコンピューターの完全修飾ドメイン名。
(たとえば、pdmgrserver.mysubnet.ibm.com)
v 許可サーバーのホストとなるコンピューターの完全修飾ドメイン名。 (たとえ ば、pdacldserver.mysubnet.ibm.com)
v WebSphere インストールのホーム・ディレクトリー。
3. WAS_HOME 環境変数を WebSphere Application Server インストール・ディレクト リーに設定するには、ディレクトリーを WebSphere_install_directory/bin に 移動して次のコマンドを実行します。
UNIX
setupCmdLine.sh Windows
setupCmdLine.bat
4. UNIX プラットフォームでは、PDWAS_HOME 環境変数を Tivoli Access Manager
for WebSphere のインストール・ディレクトリーに設定します。 Windows プラ
ットフォームでは、PDWAS_HOME がすでに環境に存在しています。
UNIX
PDWAS_HOME=/opt/amwas export PDWAS_HOME
5. ディレクトリーを以下のロケーションに変更します。
v (UNIX) /opt/amwas/sbin
v (Windows) C:¥Program Files¥Tivoli¥amwas¥sbin
6. pdwascfg ユーティリティーを実行します。直前のステップで集めた情報を使用
して、pdwascfg のコマンド行オプションを指定します。
注: 以下のコマンド例では、pdpermadmin という新規の Tivoli Access Manager ユーザー・アカウントを作成していることを想定しています。例:
-remote_acl_user pdpermadmin
前に組み立てたパラメーターをもとに、使用している WebSphere Application Server のバージョンに応じて、-action configWAS4 または configWAS5 パラ メーターのいずれかを使用して、次のコマンドを 1 行の切れ目のないコマンド 行として 入力します。
pdwascfg -action configWASversion_number -remote_acl_user pdpermadmin
-sec_master_pwd myPassWord
-pdmgrd_host fully_qualified_DN_of_the_policy_server_host -pdacld_host fully_qualified_DN_of_the_authorization_server_host -was_home c:¥WebSphere¥AppServer
注: 上のコマンドの -was_home オプション値は、例示用としてのみ示されて います。この値は、実行している WebSphere Application Server のバージョ ンと使用しているプラットフォームによって変わります。たとえば、この値 は次のとおりです。
Windows
WebSphere Application Server バージョン 4.0.6:
c:¥WebSphere¥AppServer
WebSphere Application Server バージョン 5.0.2:
"c:¥Program Files¥WebSphere¥AppServer"
Solaris、Linux、HP-UX
/opt/WebSphere/AppServer AIX /usr/WebSphere/AppServer
pdwascfg ユーティリティーは、Tivoli Access Manager for WebSphere を許可ベ ンダーとして使用するように WebSphere Application Server を構成します。
注:
1. pdwascfg ユーティリティーは、sec_master として作成された管理ユーザー を持つドメインしかサポートしません。
2. pdwascfg ユーティリティーは、AMWASConfig.log というログ・ファイル を、このユーティリティーが実行されるディレクトリーに作成します。
7. pdwascfg コマンドによって PdPerm プロパティー・ファイルが正常に作成され たことを確認してください。
v Solaris、Linux、HP-UX
/opt/WebSphere/AppServer/java/jre/PdPerm.properties
v AIX
/usr/WebSphere/AppServer/java/jre/PdPerm.properties v Windows
– WebSphere Application Server バージョン 4.0.6 C:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties – WebSphere Application Server バージョン 5.0.2
C:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties
注: 上記のパス名は、WebSphere Application Server のデフォルトのインストー ル・ディレクトリーを想定しています。デフォルト・ロケーション以外の場 所にインストールした場合は、それに応じてパス名を調整してください。
パート 5a: WebSphere セキュリティー設定のマイグレーション
— WebSphere バージョン 4.0.6
WebSphere 5.0.2 を使用する場合は、このステップをスキップし、39ページの『パ
ート 5b: WebSphere セキュリティー設定のマイグレーション — WebSphere バージ
ョン 5.0.2』に進みます。
このステップでは、アプリケーション・セキュリティー・ポリシーを、WebSphere admin.ear デプロイメント記述子ファイルから Tivoli Access Manager ポリシー・
データベースにマイグレーションします。マイグレーション・ユーティリティー は、WebSphere リソースを表すオブジェクトを Tivoli Access Manager オブジェク ト・スペースに作成します。このセクションを完了しないと、WebSphere を開始す ることはできません。
以下のステップを完了します。
1. WebSphere が稼働している場合は、それを停止します。
2. WAS_HOME 環境変数が WebSphere Application Server インストールのロケーショ ンに設定されていることを確認します。次の例はデフォルト・ロケーションを示 しています。
v Solaris、Linux HP-UX
WAS_HOME=/opt/WebSphere/AppServer
v AIX
WAS_HOME=/usr/WebSphere/AppServer v Windows
WAS_HOME=C:¥WebSphere¥AppServer
3. 次の情報を集めます。この情報は、マイグレーション・ユーティリティーへの入 力パラメーターとして指定する必要があります。
v マイグレーションする EAR ファイルの名前。マイグレーション・ユーティリ ティーのこの初期の使用では、管理 EAR ファイルをマイグレーションする必 要があります。
– Solaris、Linux、HP-UX
/opt/WebSphere/AppServer/config/admin.ear – AIX
/usr/WebSphere/AppServer/config/admin.ear – Windows
C:¥WebSphere¥AppServer¥config¥admin.ear
v PDPerm.properties ファイルへの絶対パス。このファイルは、WebSphere
Application Server インストール・ディレクトリーの下のディレクトリーにあ
ります。以下に、各オペレーティング・システムでのデフォルト・ロケーショ ンを示します。
注: ファイル・ロケーションは Uniform Resource ID (URI) として表す必要が あります。
– Solaris、Linux、HP-UX
file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties
– AIX
file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties – Windows
file:/c:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties
v Tivoli Access Manager アドミニストレーション・アカウントの名前。これは
sec_master でなければなりません。
v sec_master アカウントのパスワード。
v WebSphere 管理ユーザー・アカウントの名前。この名前は、上のステップで作
成/インポートしたアカウントと一致しなければなりません。例:
wsadmin
v LDAP 識別名 (DN) の接尾部。この DN の下に、Tivoli Access Manager ポリ シー・サーバーと WebSphere Application Server の両方がユーザー情報を保管 します。この DN の接尾部は、wsadmin ユーザーを作成した際に使用した DN 接尾部と一致していなければなりません。
30ページの『パート 1: WebSphere Application Server 用の Tivoli Access
Manager 管理ユーザーの作成』で示した例では、以下の DN を使用して
wsadmin を作成しました。
cn=wsadmin,o=ibm,c=us
この場合、DN 接尾部は次のとおりです。 o=ibm,c=us
この値は、migrateEAR4 ユーティリティーの -d オプションの引き数として 指定する必要があります。
注: ご使用のシステムにおける wsadmin のための DN を表示するには、
pdadmin を使用してください。
pdadmin> user show wsadmin
4. ディレクトリーをマイグレーション・ユーティリティーのロケーションに変更し ます。
v (UNIX) /opt/amwas/bin
v (Windows) C:¥Program Files¥Tivoli¥amwas¥bin
5. マイグレーション・ユーティリティーを実行して、admin.EAR に含まれるデータ をマイグレーションします。
前のステップで集めたパラメーターを使用して、コマンド・プロンプトに以下の テキストを 1 行の切れ目のないコマンド行として 入力します。
UNIX
migrateEAR4 -j /opt/WebSphere/AppServer/config/admin.ear -a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"
-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties
AIX 上の PdPerm.properties ファイルのデフォルト・ロケーション は、次のとおりです。
/usr/WebSphere/AppServer/java/jre/PdPerm.properties Windows
migrateEAR4 -j c:¥WebSphere¥AppServer¥config¥admin.ear
-a sec_master -p sec_master_password -w wsadmin -d "o=ibm,c=us"
-c file:/c:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties
状況メッセージは、マイグレーションが完了したときに表示されます。ユーティ リティーの出力は、ユーティリティーが実行されたディレクトリーに作成された
pdwas_migrate.log ファイルにログ記録されます。ログ・ファイルを調べて、ア
プリケーションに関するすべてのポリシーがマイグレーションされたことを確認 します。ログ・ファイルにエラーが表示されている場合は、最後に実行したトラ ンザクションを調べ、エラーの原因を訂正し、マイグレーション・ツールを再実 行します。
マイグレーションが正常に行われなかった場合は、正しい Uniform Resource ID
(URI) を -c オプションに指定しており、また正しいファイル名を -j オプショ
ンに指定していることを確認してください。
マイグレーション・ユーティリティーは、admin.ear へのアクセスを必要としま す。デフォルトでは、アプリケーション・アセンブリー・ツールには、文書型定
義 (DTD) 規格のロケーションに対する URL 参照が含まれています。つまり、
デプロイメント記述子の DTD を検索するには、インターネットに接続する必要 があります。ホスト・コンピューターがインターネットに接続していない場合 は、 DTD のローカル・コピーを使用します。この場合、デプロイメント記述子 を更新して、ローカル DTD を指すようにします。
重要: Tivoli Access Manager for WebSphere を使用する前に、マイグレーショ ン・ユーティリティーを少なくとももう 1 回実行する必要があります。保証す るそれぞれのアプリケーションごとに、EAR ファイルに対してマイグレーショ ン・ユーティリティーを実行する必要があります。これを実行するための手順 は、49ページの『第 4 章 セキュリティー役割のマイグレーション』に示され ています。
管理 ACL への pdwas-admin グループの追加
pdwas-admin グループを管理 ACL に追加するには、以下のステップを完了しま
す。
1. pdadmin を使用して、pdwas-admin グループを適切な ACL に追加してくださ い。以下のテキストを 1 行の切れ目のないコマンド行として入力してくださ い。
pdadmin> acl modify _WebAppServer_deployedResources_AdminRole_admin_ACL set group pdwas-admin T[WebAppServer]i
2. セキュア・ドメインに複数の許可サーバーが含まれている場合は、pdadmin を 使用して server replicate コマンドを実行し、すべての許可サーバーが ACL 変更によって即時に更新されるようにします。
パート 5b: WebSphere セキュリティー設定のマイグレーション
— WebSphere バージョン 5.0.2
WebSphere Application Server 4.0.6 を使用する場合は、このステップをスキップし ます。
このステップでは、アプリケーション・セキュリティー・ポリシーを、WebSphere adminconsole.ear デプロイメント記述子ファイルから Tivoli Access Manager ポリ シー・データベースにマイグレーションします。マイグレーション・ユーティリテ ィーは、WebSphere リソースを表すオブジェクトを Tivoli Access Manager オブジ ェクト・スペースに作成します。
注: Tivoli Access Manager for WebSphere は、WebSphere Application Server 管理タ スクのセキュリティーをサポートしません。
以下のステップを完了します。
1. WebSphere が稼働している場合は、それを停止します。
2. WAS_HOME 環境変数が WebSphere Application Server インストールのロケーショ ンに設定されていることを確認します。次の例はデフォルト・ロケーションを示 しています。
v Solaris、Linux、HP-UX
WAS_HOME=/opt/WebSphere/AppServer
v AIX
WAS_HOME=/usr/WebSphere/AppServer v Windows
WAS_HOME=C:¥Program Files¥WebSphere¥AppServer
3. 次の情報を集めます。この情報は、マイグレーション・ユーティリティーへの入 力パラメーターとして指定する必要があります。
v マイグレーションする EAR ファイルの名前。マイグレーション・ユーティリ ティーのこの初期の使用では、管理 EAR、admin-authz.xml、および
naming-authz.xml をマイグレーションする必要があります。
– Solaris、Linux、HP-UX
/opt/WebSphere/AppServer/installedApps/cellname/adminconsole.ear /opt/WebSphere/AppServer/config/cells/cellname/admin-authz.xml /opt/WebSphere/AppServer/config/cells/cellname/naming-authz.xml – AIX
/usr/WebSphere/AppServer/installedApps/cellname/adminconsole.ear /usr/WebSphere/AppServer/config/cells/cellname/admin-authz.xml /usr/WebSphere/AppServer/config/cells/cellname/naming-authz.xml – Windows
C:¥Program Files¥WebSphere¥AppServer¥installedApps¥
cellname¥adminconsole.ear
C:¥Program Files¥WebSphere¥AppServer¥config¥cells¥
cellname¥admin-authz.xml
C:¥Program Files¥WebSphere¥AppServer¥config¥cells¥
cellname¥naming-authz.xml
v PDPerm.properties ファイルへの絶対パス。このファイルは、WebSphere
Application Server インストール・ディレクトリーの下のディレクトリーにあ
ります。以下に、各オペレーティング・システムでのデフォルト・ロケーショ ンを示します。
注: ファイル・ロケーションは Uniform Resource ID (URI) として表す必要が あります。
– Solaris、Linux、HP-UX