WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

Kerberos で保護されたサービスとして WebSphere Message Broker を構成する

メッセージの保全性、機密性、および認証性のために Kerberos で保護されたサービスとして機能するよう、WebSphere® Message Broker を構成できます。

鍵配布センター (KDC)、および Kerberos で保護されたサービスをホストするサーバーにアクセスできなければなりません。 Kerberos を構成するための詳細については、ホストの Kerberos の資料を参照してください。

このタスクを使用して、WebSphere Message Broker の保護されたサービスとして Kerberos を構成します。

  1. サービス・プリンシパルの秘密鍵を格納するキータブを KDC からエクスポートします。 例えば、
    ktpass -out c:\Windows\krb5.keytab -princ SomePrincipal@YourDomain -crypto RC4-HMAC-NT mapUser Username -pass Password -mapOp set 
    ここで、
    out filename
    生成されるキータブ・ファイルの名前とパスを指定します。
    princ principal_name
    プリンシパル名。
    crypto encryption_type
    使用する暗号化タイプを指定します。
    mapuser username
    Kerberos プリンシパルの名前をローカル・アカウントにマップします。
    pass password
    このプリンシパル名で使用するパスワード。
    mapOp attribute
    マッピング属性の設定方法を定義します。代替属性は add または set です。
  2. サービスをホストするサーバーにキータブ・ファイルをコピーします。 このファイルをサーバーにコピーする方法として、FTP などを使用してキータブ・ファイルをエクスポートしてサーバーに転送することができます。 Kerberos 構成ファイルには、ファイル URL (/home/user/my.keytab など) の形式のキータブ・ファイルへの参照が含まれています。 サーバー上の構成ファイルに参照があるため、サーバー・サービスは、キータブに定義されている Kerberos プリンシパルを取得できます。
  3. ).
  4. ローカル・ワークステーションでのキータブ・ファイルの場所を指定する Kerberos 構成ファイルを作成します。
    各 Kerberos レルムのブローカーごとに複数のサービス・プリンシパル名を使用できます。 セキュリティーのために Kerberos を使用する場合は、ワークステーションのデフォルトの Kerberos 構成ファイルを使用します。 構成ファイルの場所はシステムによって異なります。通常の場所は、以下のとおりです。
    • Windows: C:¥Windows¥krb5.ini および C:¥WINNT¥krb5.ini
    • : /etc/krb5.conf
    • UNIX (AIX®): /etc/krb5/krb5.conf
    • z/OS®: /krb5/krb5.conf
    ブローカーまたは実行グループで使用するために、他の Kerberos 構成ファイルを構成することができます。

    以下の Kerberos サンプル構成ファイルには、変数の標準的な値が示されています。 ネットワーク、および構成ファイルの場所に応じて構成ファイルで変更する値には、変数 default_realm、変数 default_keytab_namerealms に属する名前などがあります。

    [libdefaults]
    default_realm = MYREALM.EXAMPLE.COM
    default_keytab_name = FILE:c:\Windows\krb5.keytab
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
    dns_lookup_realm = false
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    [realms]
    MYREALM.EXAMPLE.COM = {
    kdc = kdc.myrealm.example.com
    admin_server = kdc.myrealm.example.com
    }
  5. 新しい Kerberos 構成ファイルを作成して、ブローカーまたは実行グループごとに固有の Kerberos サービス・プリンシパルを使用します。 この作業は、必要なサービス・プリンシパルを格納するキータブ・ファイルを指定して行います。
  6. 以下の mqsichangeproperties コマンドのいずれかを使用して、新しい構成ファイルの場所を指定します。
    • ブローカー・レベルの Kerberos 構成の場合は、以下のようになります。
      mqsichangeproperties brokerName -o BrokerRegistry -n kerberosConfigFile -v kerberosConfigLocation
    • 実行グループ・レベルの Kerberos 構成の場合は、以下のようになります。
      mqsichangeproperties brokerName -e executionGroupName -o ComIbmJVMManager -n kerberosConfigFile -v kerberosConfigLocation
  7. メッセージ・フローを格納する BAR に関して、SOAPInput ノードに関連付けられているポリシー・セットとバインディングを構成します。

Kerberos で保護されたサービスとして WebSphere Message Broker が構成されました。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:48:51


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | bc49108_