ZIETrans 管理コンソールおよび WebSphere® セキュリティー

ZIETrans 管理コンソールでは、Java™ Management Extensions (JMX) Bean を使用してリモート管理が実行されます。WebSphere® Application Server のグローバル・セキュリティーが有効になっている場合は、これらの JMX 呼び出しが WebSphere® セキュリティーにより認証されるため、WebSphere® で有効な許可レベルが設定されている必要があります。したがって、ユーザー ID が、管理者権限またはオペレーター権限が付与されている WebSphere® Application Server 管理コンソール・ユーザーとして定義されていないと、ZIETrans 管理コンソールから適切にリモート管理操作を実行できません。

ZIETrans 管理コンソールでは、問題判別設定を表示および変更できます。また、接続状況を確認し、ホスト接続を切断できます。ZIETrans 管理機能を使用して ZIETrans アプリケーションを展開する場合は、セキュリティーのために、ZIETrans の 3 つの役割をそれぞれ特定のシステム・ユーザー ID にマップできます。定義された 3 つの ZIETrans 役割 (ZIETransAdministrator、ZIETransOperator、ZIETransMonitor) は、ZIETrans 管理コンソール内でそれぞれ異なる機能を有しています。詳しくは、『ZIETrans 管理コンソールの役割』を参照してください。

同様に、WebSphere® Application Server 管理コンソールでは WebSphere® Application Server 環境の構成を表示および変更できます。また、Web アプリケーション (ZIETrans アプリケーションなど) のインストール、開始、停止、アンインストールを実行できます。WebSphere® コンソールのユーザー役割 (管理者、コンフィギュレーター、オペレーター、またはモニター) では、それぞれに WebSphere® Application Server 管理コンソールで実行できる機能が異なります。これらのセキュリティーの役割およびポリシーについて詳しくは、以下の WebSphere® Application Server Knowledge Center のリンクを参照してください。

管理ロールとネーミング・サービスの許可管理ロールとネーミング・サービスの許可
デフォルトの MBean セキュリティー・ポリシー (https://www.ibm.com/docs/was-nd/9.0.5?topic=mbeans-default-mbean-security-policy)

WebSphere® グローバル・セキュリティーが有効な場合は、ZIETrans 役割が設定されているユーザー ID を使用して、ZIETrans アプリケーションで ZIETrans 管理コンソールに接続できます。また特定の ZIETrans アプリケーション内でのみ各管理操作を実行できます。他の ZIETrans アプリケーションをリモート側で管理するために管理の有効範囲を変更しようとすると、WebSphere® セキュリティーによりユーザー ID の権限が検査されます。ユーザー ID が、管理者権限またはオペレーター権限が設定された有効な WebSphere® Application Server 管理コンソール・ユーザーでない場合は、JMX 呼び出しがブロックされ、ZIETrans リモート管理が正しく機能しません。

例えば、ユーザー ID が WebSphere® Application Server 管理コンソール・ユーザーとして定義されていないか、またはモニター権限のみが設定されている場合は、ZIETrans 管理コンソールの「管理の有効範囲」の下の「アプリケーションの選択」リストに、他の ZIETrans アプリケーションが表示されません。他のアプリケーションがリストされていないために、管理の有効範囲を変更できません。

もう 1 つの例として、コンフィギュレーター権限が設定された WebSphere® Application Server 管理コンソール・ユーザーとして定義されているユーザー ID の場合、このリストには他の ZIETrans アプリケーションが表示されるので、ユーザーが有効範囲を別のアプリケーションに変更できます。ただし、ZIETrans 管理コンソールに表示される情報が正しくないことがあり、この場合リモート管理操作で試行した変更はすべて無効になります。

したがって、WebSphere® グローバル・セキュリティーが有効である場合は、ZIETrans 管理コンソールの使用に関して次の 2 つのオプションがあります。

オプション 1: ZIETrans と WebSphere® Application Server のユーザー役割を分離する: ZIETrans 役割にマップされたいずれのユーザー ID にも WebSphere® Application Server の管理者権限を付与しない場合は、すべての ZIETrans アプリケーションに ZIETrans 管理コンソールを含める必要があります。また、特定のアプリケーションに対する ZIETrans 管理コンソールを使用して、各 ZIETrans アプリケーションを別々に管理する必要があります。リモート管理は使用できません。

オプション 2: ZIETrans と WebSphere® Application Server のユーザー役割を結合する: 単一の ZIETrans アプリケーションで ZIETrans 管理コンソールを使用し、管理の有効範囲を変更して他の ZIETrans アプリケーションをリモートで管理するには、ZIETrans 役割にマップされているユーザー ID を、 WebSphere® Application Server で管理者役割またはオペレーター役割が設定された WebSphere® 管理コンソールユーザーとして定義する必要があります。これらのユーザーは、ZIETrans 管理コンソールで管理の有効範囲を変更でき、マップされている特定の ZIETrans 役割に許可されているその他の ZIETrans 管理用タスクを実行できます。また、ユーザーは WebSphere® Application Server 管理コンソールにログインして、マップされている WebSphere® Application Server 管理コンソール・ユーザー役割に許可されている WebSphere® 管理用タスクを実行できます。

いずれのオプションでも、WebSphere® グローバル・セキュリティーが有効である場合は、「アプリケーション・セキュリティーを有効にする」オプションが選択されていることを確認してください。WebSphere® アプリケーション・サーバー V6.x の場合、WebSphere® 管理コンソールから、「セキュリティー」>「セキュアな管理、アプリケーション、およびインフラストラクチャー」>「アプリケーション・セキュリティー」>「アプリケーション・セキュリティーを有効にする」を選択します。WebSphere® アプリケーション・サーバー V7.x および v8.x の場合、WebSphere® 管理コンソールから、「セキュリティー」>「グローバル・セキュリティー」>「アプリケーション・セキュリティー」>「アプリケーション・セキュリティーを有効にする」を選択します。

要約すると、WebSphere® グローバル・セキュリティーが有効な場合は、ZIETrans リモート管理が適切に機能するように、ZIETrans 役割にマップされているユーザー ID を、WebSphere® Application Server の管理者役割またはオペレーター役割にもマップする必要があります。