WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

Kerberos で保護されたサービスに対するクライアントとして WebSphere Message Broker を構成する

WebSphere® Message Broker は、メッセージの保全性、機密性、および認証性のために、Kerberos で保護されたサービスに対するクライアントとして機能するように構成できます。

鍵配布センター (KDC)、およびサービスをホストするサーバーにアクセスできなければなりません。 Kerberos を構成するための詳細については、ホストの Kerberos の資料を参照してください。
  1. KDC での認証に使用されるユーザー資格情報を設定します。
    • mqsisetdbparms を発行することによって、資格情報をブローカー・レベルで構成できます。 例えば、
      mqsisetdbparms brokerName -n SPN::realm -u username -p password
    • 実行グループ・レベルでユーザー資格情報を設定することもできます。例えば、以下を使用して、実行グループに特定のレルムを設定できます。
      mqsisetdbparms brokerName -n kerberos::realm1::ExecutionGroup1 -u clientId -p password 
    • プロパティー・ツリーを使用して、資格情報を設定することもできます。その場合、Compute ノードで以下の ESQL を使用します。
      SET OutputRoot.Properties.IdentitySourceType = 'usernameAndPassword';
      SET OutputRoot.Properties.IdentitySourceToken = Username;
      SET OutputRoot.Properties.IdentitySourcePassword = Password;
  2. Kerberos 構成ファイルを作成します。構成ファイルを使用することで、クライアントは KDC での認証を行うことができます。

    SOAP ノードでサポートされる Kerberos ベースの WS-Security について詳しくは、メッセージ・フロー・セキュリティーおよびセキュリティー・プロファイルを参照してください。

    セキュリティーのために Kerberos を使用する場合のデフォルトの Kerberos 構成ファイルは、ご使用のワークステーションにある構成ファイルです。 構成ファイルの場所はシステムによって異なります。通常の場所は以下のとおりです。
    • Windows の場合 - C:¥Windows¥krb5.ini および C:¥WINNT¥krb5.ini
    • Linux の場合 - /etc/krb5.conf、UNIX (AIX®) の場合 - /etc/krb5/krb5.conf
    • z/OS® の場合 - /krb5/krb5.conf
    ブローカーまたは実行グループで使用するために Kerberos 構成ファイルを構成することができます。

    以下の Kerberos サンプル構成ファイルには、変数の標準的な値が示されています。 ネットワーク、および構成ファイルの場所に応じて構成ファイルで変更する値には、変数 default_realm、変数 default_keytab_namerealms に属する名前などがあります。

    [libdefaults]
    default_realm = MYREALM.EXAMPLE.COM
    default_keytab_name = FILE:c:\Windows\krb5.keytab
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
    dns_lookup_realm = false
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    [realms]
    MYREALM.EXAMPLE.COM = {
    kdc = kdc.myrealm.example.com
    admin_server = kdc.myrealm.example.com
    }
    例えば、以下を使用して、WebSphere Message Broker レベルの Kerberos 構成に対して変数を設定することができます。
    mqsichangeproperties brokerName -o BrokerRegistry -n kerberosConfigFile -v kerberosConfigLocation
    例えば、以下を使用して、実行グループ・レベルの Kerberos 構成に対して変数を設定することができます。
    mqsichangeproperties brokerName -e executionGroupName -o ComIbmJVMManager -n kerberosConfigFile -v kerberosConfigLocation
  3. メッセージ・フローを格納する BAR に関して、SOAPRequest ノードに関連付けられているポリシー・セットとバインディングを構成します。

WebSphere Message Broker は、Kerberos で保護されたサービスに対するクライアントとして機能するように構成されました。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:48:51


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | bc49106_