メッセージの保全性、機密性、および認証性のために Kerberos で保護されたサービスとして機能するよう、WebSphere® Message
Broker を構成できます。
鍵配布センター (KDC)、および Kerberos で保護されたサービスをホストするサーバーにアクセスできなければなりません。
Kerberos を構成するための詳細については、ホストの Kerberos の資料を参照してください。
このタスクを使用して、WebSphere Message
Broker の保護されたサービスとして Kerberos を構成します。
- サービス・プリンシパルの秘密鍵を格納するキータブを KDC からエクスポートします。 例えば、
ktpass -out c:\Windows\krb5.keytab -princ SomePrincipal@YourDomain -crypto RC4-HMAC-NT mapUser Username -pass Password -mapOp set
ここで、
- out filename
- 生成されるキータブ・ファイルの名前とパスを指定します。
- princ principal_name
- プリンシパル名。
- crypto encryption_type
- 使用する暗号化タイプを指定します。
- mapuser username
- Kerberos プリンシパルの名前をローカル・アカウントにマップします。
- pass password
- このプリンシパル名で使用するパスワード。
- mapOp attribute
- マッピング属性の設定方法を定義します。代替属性は add または set です。
- サービスをホストするサーバーにキータブ・ファイルをコピーします。
このファイルをサーバーにコピーする方法として、FTP などを使用してキータブ・ファイルをエクスポートしてサーバーに転送することができます。
Kerberos 構成ファイルには、ファイル URL (/home/user/my.keytab など) の形式のキータブ・ファイルへの参照が含まれています。 サーバー上の構成ファイルに参照があるため、サーバー・サービスは、キータブに定義されている Kerberos プリンシパルを取得できます。
- ).
- ローカル・ワークステーションでのキータブ・ファイルの場所を指定する Kerberos 構成ファイルを作成します。
各 Kerberos レルムのブローカーごとに複数のサービス・プリンシパル名を使用できます。
セキュリティーのために Kerberos を使用する場合は、ワークステーションのデフォルトの Kerberos 構成ファイルを使用します。
構成ファイルの場所はシステムによって異なります。通常の場所は、以下のとおりです。
- Windows: C:¥Windows¥krb5.ini および C:¥WINNT¥krb5.ini
- : /etc/krb5.conf
- UNIX (AIX®): /etc/krb5/krb5.conf
- z/OS®: /krb5/krb5.conf
ブローカーまたは実行グループで使用するために、他の Kerberos 構成ファイルを構成することができます。
以下の Kerberos サンプル構成ファイルには、変数の標準的な値が示されています。
ネットワーク、および構成ファイルの場所に応じて構成ファイルで変更する値には、変数 default_realm、変数 default_keytab_name、realms に属する名前などがあります。
[libdefaults]
default_realm = MYREALM.EXAMPLE.COM
default_keytab_name = FILE:c:\Windows\krb5.keytab
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYREALM.EXAMPLE.COM = {
kdc = kdc.myrealm.example.com
admin_server = kdc.myrealm.example.com
}
- 新しい Kerberos 構成ファイルを作成して、ブローカーまたは実行グループごとに固有の
Kerberos サービス・プリンシパルを使用します。
この作業は、必要なサービス・プリンシパルを格納するキータブ・ファイルを指定して行います。
- 以下の mqsichangeproperties コマンドのいずれかを使用して、新しい構成ファイルの場所を指定します。
- ブローカー・レベルの Kerberos 構成の場合は、以下のようになります。
mqsichangeproperties brokerName -o BrokerRegistry -n kerberosConfigFile -v kerberosConfigLocation
- 実行グループ・レベルの Kerberos 構成の場合は、以下のようになります。
mqsichangeproperties brokerName -e executionGroupName -o ComIbmJVMManager -n kerberosConfigFile -v kerberosConfigLocation
- メッセージ・フローを格納する BAR に関して、SOAPInput ノードに関連付けられているポリシー・セットとバインディングを構成します。
Kerberos で保護されたサービスとして WebSphere Message
Broker が構成されました。