サーブレットエンジンモードの場合，Webコンテナのユーザ認証で使用するユーザ情報の管理方法が，J2EEサーバモードとは異なります。

Webコンテナでは，ユーザ情報として，各ユーザのユーザ名，パスワード，および所属するロールを保持，管理します。これらの情報を保持，管理するために，サーブレットエンジンモードでは，次に示す場所に各ユーザのユーザ名，パスワード，および所属するロールを記述します。

• Windowsの場合
  <製品のインストールディレクトリ>\CC\web\containers\<サーバ名称>\usrconf\web-users.xml
  
• UNIXの場合
  /opt/Cosminexus/CC/web/containers/<サーバ名称>/usrconf/web-users.xml
  

記述例を次に示します。

<web-users>
  <user name="user1"  password="user1" roles="regular" />
  <user name="admin" password="admin" roles="admin" />
</web-users>

なお，web-users.xmlの詳細については，「3.11.4　web-users.xml（ユーザ認証情報定義ファイル）」を参照してください。

Java2のSecurityManagerに基づいたWebコンテナの実行時保護を実現します。これによって，次に示すような現象を防ぐことができます。

• 内部でSystem.exit()などを発行するような，不正なサーブレット，JSPによってWebコンテナ全体が勝手に終了する。
• システムプロパティなどを勝手に書き換えるような不正なサーブレット，JSPによって，Webコンテナの実行に不具合が生じる。

サーブレットエンジンモードの場合，-securityオプションを指定して，cjstartwebコマンドを実行することでWebコンテナの保護が有効になります。なお，Webコンテナの実行時の保護機能を使用すると，サーブレットまたはJSPファイルから，EJBを呼び出すことができないので注意してください。