WebSphere® Message
Broker は、メッセージの保全性、機密性、および認証性のために、Kerberos で保護されたサービスに対するクライアントとして機能するように構成できます。
鍵配布センター (KDC)、およびサービスをホストするサーバーにアクセスできなければなりません。
Kerberos を構成するための詳細については、ホストの Kerberos の資料を参照してください。
- KDC での認証に使用されるユーザー資格情報を設定します。
- mqsisetdbparms を発行することによって、資格情報をブローカー・レベルで構成できます。
例えば、
mqsisetdbparms brokerName -n SPN::realm -u username -p password
- 実行グループ・レベルでユーザー資格情報を設定することもできます。例えば、以下を使用して、実行グループに特定のレルムを設定できます。
mqsisetdbparms brokerName -n kerberos::realm1::ExecutionGroup1 -u clientId -p password
- プロパティー・ツリーを使用して、資格情報を設定することもできます。その場合、Compute ノードで以下の ESQL を使用します。
SET OutputRoot.Properties.IdentitySourceType = 'usernameAndPassword';
SET OutputRoot.Properties.IdentitySourceToken = Username;
SET OutputRoot.Properties.IdentitySourcePassword = Password;
- Kerberos 構成ファイルを作成します。構成ファイルを使用することで、クライアントは KDC での認証を行うことができます。
SOAP ノードでサポートされる Kerberos ベースの WS-Security について詳しくは、メッセージ・フロー・セキュリティーおよびセキュリティー・プロファイルを参照してください。
セキュリティーのために Kerberos を使用する場合のデフォルトの Kerberos 構成ファイルは、ご使用のワークステーションにある構成ファイルです。
構成ファイルの場所はシステムによって異なります。通常の場所は以下のとおりです。
- Windows の場合 -
C:¥Windows¥krb5.ini および C:¥WINNT¥krb5.ini
- Linux の場合 - /etc/krb5.conf、UNIX (AIX®) の場合 - /etc/krb5/krb5.conf
- z/OS® の場合 - /krb5/krb5.conf
ブローカーまたは実行グループで使用するために Kerberos 構成ファイルを構成することができます。
以下の Kerberos サンプル構成ファイルには、変数の標準的な値が示されています。
ネットワーク、および構成ファイルの場所に応じて構成ファイルで変更する値には、変数 default_realm、変数 default_keytab_name、realms に属する名前などがあります。
[libdefaults]
default_realm = MYREALM.EXAMPLE.COM
default_keytab_name = FILE:c:\Windows\krb5.keytab
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYREALM.EXAMPLE.COM = {
kdc = kdc.myrealm.example.com
admin_server = kdc.myrealm.example.com
}
例えば、以下を使用して、
WebSphere Message
Broker レベルの Kerberos 構成に対して変数を設定することができます。
mqsichangeproperties brokerName -o BrokerRegistry -n kerberosConfigFile -v kerberosConfigLocation
例えば、以下を使用して、実行グループ・レベルの Kerberos 構成に対して変数を設定することができます。
mqsichangeproperties brokerName -e executionGroupName -o ComIbmJVMManager -n kerberosConfigFile -v kerberosConfigLocation
- メッセージ・フローを格納する BAR に関して、SOAPRequest ノードに関連付けられているポリシー・セットとバインディングを構成します。
WebSphere Message
Broker は、Kerberos で保護されたサービスに対するクライアントとして機能するように構成されました。