D.1.2.1 認証オブジェクト

Interstage Application Server マルチシステム運用ガイド

目次索引

D.1.2.1 認証オブジェクト

　コンポーネントトランザクションサービスの認証オブジェクトはデフォルトシステムでのみ提供されます。拡張システムでは動作させることはできません。
　通常、デフォルトシステムの認証オブジェクトが起動された時、認証オブジェクト自身のオブジェクトリファレンスを認証オブジェクトが動作するデフォルトシステムのネーミングサービスに登録します。クライアントは登録されたオブジェクトリファレンスを獲得して認証オブジェクトにアクセスします。
　拡張システム上のアプリケーションを利用するクライアントがデフォルトシステム上の認証オブジェクトを利用するには、デフォルトシステム上のネーミングサービスを参照するか、または拡張システム上のネーミングサービスに認証オブジェクトのオブジェクトリファレンスを手動で登録する必要があります。
　前者はアプリケーションの修正が必要ですが、後者はアプリケーションの修正の必要がありません。OD_or_admコマンドでオブジェクトリファレンスを登録する方法を説明します。

オブジェクトリファレンスを登録する方法

　拡張システムでコンポーネントトランザクションサービスの認証オブジェクトを行う場合、拡張システムのネーミングサービスに認証オブジェクトのオブジェクトリファレンスを手動で登録するために、OD_or_admコマンドで次のように実行します。Interstageの環境設定は終わっており、デフォルトシステム上で認証オブジェクトが稼動している場合に実施してください。

　OD_or_adm -M 拡張システム名 -c IDL:ISTD/ASO:1.0 -a FUJITSU-Interstage-TDASO -h 自ホスト名 -p　デフォルトシステムのポート番号　-n　ISTD::ASO

-c の指定値であるインタフェースリポジトリID“IDL:ISTD/ASO:1.0”は固定値です。
-a の指定値であるインプリメンテーションリポジトリID“FUJITSU-Interstage-TDASO”は固定値です。
-n の指定値であるネーミングサービスへの登録名“ISTD::ASO”はデフォルト値です。
コンポーネントトランザクションサービスの環境定義内の“Name Of Authentication Server Object”で指定した値と合わせる必要があります。

　OD_or_adm -M system01 -c　IDL:ISTD/ASO:1.0 -a　FUJITSU-Interstage-TDASO　-h　server01 -p　8002　-n　ISTD::ASO

InfoDirectoryへのユーザ登録について

　InfoDirectoryを共用して利用するためには、以下の３種類の使用方法があります。

各システムのDBを共用しない方法(業務独立型の運用で推奨)
　
　InfoDirectoryには、各システムごとに対応したディレクトリを作成し、ディレクトリ配下にあるすべてのエントリに対する全権限を持っているユーザ１人を管理者として登録しておきます。登録した管理者情報でInfoDirectoryをアクセスすると、同じディレクトリの下に登録してしているユーザであれば、そのディレクトリの配下にあるワークユニット/オブジェクトを参照できます。他のシステムのユーザからはワークユニット/オブジェクトの参照ができません。（拡張システムには本形態を推奨します。）

　以下の図に示すように、ディレクトリAはシステムAに対応しているディレクトリで、ディレクトリBはシステムBに対応していると仮定します。

「ou=ディレクトリＡ,o=*会社,c=jp」配下の領域において有効なアクセス制御

　ディレクトリAの下にあるワークユニット-AとオブジェクトAは、ディレクトリAに登録したユーザのみ参照可能とします。システムAでアクセス制御を行う場合、管理者Ａの識別名とパスワードはInfoDirectoryのエントリ管理者の識別名とパスワードとして設定します。

「ou=ディレクトリＢ,o=*会社,c=jp」配下の領域において有効なアクセス制御

　ディレクトリBの下にあるワークユニット-BとオブジェクトBは、ディレクトリBに登録したユーザのみ参照可能とします。システムBでアクセス制御を行う場合、管理者Bの識別名とパスワードはInfoDirectoryのエントリ管理者の識別名とパスワードとして設定します。管理者Aの識別名とパスワードをシステムBの管理者として指定した場合、ワークユニットを起動する時、クライアントからはシステムBの配下にあるすべてのエントリを参照アクセスすることができません。

各システムのDBを共用する方法(システム間で共用する場合に推奨)
　
　InfoDirectoryには、各システムごとに対応したディレクトリを作成し、すべてのシステムディレクトリを管理できる全権限を持っているユーザ１人を共通の管理者として指定します。InfoDirectoryに登録したユーザであれば、InfoDirectoryにあるすべてのエントリに対して参照することができます。違うシステムディレクトリに登録したワークユニット/オブジェクトも参照できます。（デフォルトシステムで運用する場合には本形態を推奨します。）

　以下の図に示すように、ディレクトリAはシステムＡに対応して作っていたディレクトリ、ディレクトリＢはシステムＢに対応して作ったディレクトリとします。各ディレクトリへの参照アクセスができる管理者は共通の管理者Cとします。管理者CはInfodirectoryにあるすべてのエントリに対して全権限も持っていると仮定します。拡張システムで各システムのDBを共用する方法で設定したInfoDirectoryをアクセスする時、各拡張システムは管理者Cを管理者として指定します。

「ou=ディレクトリＡ,o=*会社,c=jp」配下の領域において有効な参照系アクセス制御

　ディレクトリAの下にあるワークユニット-AとオブジェクトAは、InfoDirectoryに登録しているすべてのユーザからの参照可能とします。システムAでアクセス制御を使用する場合に、管理者Cの識別名とパスワードはInfoDirectoryのエントリ管理者の識別名とパスワードとして設定します。

「ou=ディレクトリＢ,o=*会社,c=jp」配下の領域において有効な参照系アクセス制御

　ディレクトリBの下にあるワークユニット-BとオブジェクトBは、すべてのユーザからの参照が可能です。システムBでアクセス制御を使用する場合に、管理者Cの識別名とパスワードはInfoDirectoryのエントリ管理者の識別名とパスワードとして設定します。

すべてのＤＢを共用する方法

　すべてのシステムは共通で使用できるＤＢは種類によって、それぞれの種類別ディレクトリを作成します。アクセス制御を行う時、直接にアクセス対象の種類別ディレクトリを参照します。管理者の識別名とパスワードはInfoDirectoryに登録しているユーザの識別名とパスワードを任意に指定できます。

目次索引