ZIETrans 管理コンソールおよび WebSphere セキュリティー

ZIETrans 管理コンソールでは、Java™ Management Extensions (JMX) Bean を使用してリモート管理が実行されます。WebSphere® Application Server のグローバル・セキュリティーが有効になっている場合は、これらの JMX 呼び出しが WebSphere セキュリティーにより認証されるため、WebSphere で有効な許可レベルが設定されている必要があります。したがって、ユーザー ID が、管理者権限またはオペレーター権限が付与されている WebSphere Application Server 管理コンソール・ユーザーとして定義されていないと、ZIETrans 管理コンソール から適切にリモート管理操作を実行できません。

ZIETrans 管理コンソールでは、問題判別設定を表示および変更できます。また、接続状況を確認し、ホスト接続を切断できます。ZIETrans 管理機能を使用して ZIETrans アプリケーションを展開する場合は、セキュリティーのために、ZIETrans の 3 つの役割をそれぞれ特定のシステム・ユーザー ID にマップできます。定義された 3 つの ZIETrans 役割 (ZIETransAdministrator、ZIETransOperator、ZIETransMonitor) は、ZIETrans 管理コンソール内でそれぞれ異なる機能を有しています。詳しくは、『ZIETrans 管理コンソールの役割』を参照してください。

同様に、WebSphere Application Server 管理コンソールでは WebSphere Application Server 環境の構成を表示および変更できます。また、Web アプリケーション (ZIETrans アプリケーションなど) のインストール、開始、停止、アンインストールを実行できます。WebSphere コンソールのユーザー役割 (管理者、コンフィギュレーター、オペレーター、またはモニター) では、それぞれに WebSphere Application Server 管理コンソールで実行できる機能が異なります。これらのセキュリティーの役割およびポリシーについて詳しくは、 以下の WebSphere Application Server Knowledge Center のリンクを参照してください。

WebSphere グローバル・セキュリティーが有効な場合は、ZIETrans 役割が設定されているユーザー ID を使用して、ZIETrans アプリケーションで ZIETrans 管理コンソール接続できます。また特定の ZIETrans アプリケーション内でのみ各管理操作を実行できます。他の ZIETrans アプリケーションをリモート側で管理するために管理の有効範囲を変更しようとすると、WebSphere セキュリティーによりユーザー ID の権限が検査されます。ユーザー ID が、管理者権限またはオペレーター権限が設定された有効な WebSphere Application Server 管理コンソール・ユーザーでない場合は、JMX 呼び出しがブロックされ、ZIETrans リモート管理が正しく機能しません。

例えば、ユーザー ID が WebSphere Application Server 管理コンソール・ユーザーとして定義されていないか、またはモニター権限のみが設定されている場合は、ZIETrans 管理コンソールの「管理の有効範囲」の下の「アプリケーションの選択」リストに、他の ZIETrans アプリケーションが表示されません。他のアプリケーションがリストされていないために、管理の有効範囲を変更できません。

もう 1 つの例として、コンフィギュレーター権限が設定された WebSphere Application Server 管理コンソール・ユーザーとして定義されているユーザー ID の場合、このリストには他の ZIETrans アプリケーションが表示されるので、ユーザーが有効範囲を別のアプリケーションに変更できます。ただし、ZIETrans 管理コンソールに表示される情報が正しくないことがあり、この場合リモート管理操作で試行した変更はすべて無効になります。

したがって、WebSphere グローバル・セキュリティーが有効である場合は、ZIETrans 管理コンソールの使用に関して次の 2 つのオプションがあります。
オプション 1: ZIETrans と WebSphere Application Server のユーザー役割を分離する
ZIETrans 役割にマップされたいずれのユーザー ID にも WebSphere Application Server の管理者権限を付与しない場合は、すべての ZIETrans アプリケーションに ZIETrans 管理コンソールを含める必要があります。また、特定のアプリケーションに対する ZIETrans 管理コンソールを使用して、各 ZIETrans アプリケーションを別々に管理する必要があります。リモート管理は使用できません。
オプション 2: ZIETrans と WebSphere Application Server のユーザー役割を結合する
単一の ZIETrans アプリケーションで ZIETrans 管理コンソールを使用し、管理の有効範囲を変更して他の ZIETrans アプリケーションをリモートで管理するには、ZIETrans 役割にマップされているユーザー ID を、 WebSphere Application Server で管理者役割またはオペレーター役割が設定された WebSphere 管理コンソールユーザーとして定義する必要があります。これらのユーザーは、ZIETrans 管理コンソールで管理の有効範囲を変更でき、マップされている特定の ZIETrans 役割に許可されているその他の ZIETrans 管理用タスクを実行できます。また、ユーザーは WebSphere Application Server 管理コンソールにログインして、マップされている WebSphere Application Server 管理コンソール・ユーザー役割に許可されている WebSphere 管理用タスクを実行できます。

いずれのオプションでも、WebSphere グローバル・セキュリティーが有効である場合は、「アプリケーション・セキュリティーを有効にする」オプションが選択されていることを確認してください。WebSphere アプリケーション・サーバー V6.x の場合、WebSphere 管理コンソールから、「セキュリティー」>「セキュアな管理、アプリケーション、およびインフラストラクチャー」>「アプリケーション・セキュリティー」>「アプリケーション・セキュリティーを有効にする」を選択します。WebSphere アプリケーション・サーバー V7.x および v8.x の場合、WebSphere 管理コンソールから、「セキュリティー」>「グローバル・セキュリティー」>「アプリケーション・セキュリティー」>「アプリケーション・セキュリティーを有効にする」を選択します。

要約すると、WebSphere グローバル・セキュリティーが有効な場合は、ZIETrans リモート管理が適切に機能するように、ZIETrans 役割にマップされているユーザー ID を、WebSphere Application Server の管理者役割またはオペレーター役割にもマップする必要があります。