Liberty での LTPA の構成

特定の Lightweight Third Party Authentication (LTPA) 鍵ファイル、ユーザー定義パスワード、および有効期限を使用するように、Liberty サーバーを構成することができます。

このタスクについて

LTPA は、Liberty サーバーではじめてセキュリティーが有効にされたときに、デフォルトで構成されます。自動生成された LTPA 鍵ファイルのデフォルト・ロケーションは、${server.output.dir}/resources/security/ltpa.keys です。LTPA 鍵はランダムに生成された鍵を使用して暗号化され、これらの鍵を保護するために、デフォルトのパスワード WebAS が最初は使用されます。LTPA 鍵を別のサーバーにインポートする際に、このパスワードが必要になります。LTPA 鍵のセキュリティーを保護するために、パスワードを変更する必要があります。シングル・サインオン (SSO) が機能するには、LTPA 鍵をサーバー間で交換する際に、このパスワードがすべてのサーバーで一致している必要があります。

デフォルトの有効期限タイムアウトは 120 分です。有効期限値は、LTPA トークンが有効期限が切れるまで有効である期間を示します。

LTPA 鍵ファイルを別のサーバー からコピーする場合に LTPA 鍵の動的再ロードを使用可能にするために、 LTPA 鍵ファイルをコピーする前にファイル・モニター間隔を 指定できます。モニター間隔の値は、LTPA 鍵ファイルで更新をモニターする頻度を指します。

LTPA について詳しくは、『Liberty での LTPA の概念』を参照してください。

手順

  1. 以下のように、server.xml ファイルの <ltpa> エレメントを構成します。例のサンプル値は、ご使用の値で置き換えてください。
    <ltpa keysFileName="yourLTPAKeysFileName.keys" keysPassword="keysPassword" expiration="120" />
  2. オプション: monitorInterval 属性を設定して、動的再ロードが必要な鍵変更がないか lpta.keys ファイル がチェックされるようにします。正整数とその後に時間単位を指定します。時間単位には、時間 (h)、分 (m)、または秒 (s) が可能です。以下の例では、 動的再ロードが必要な変更がないか LTPA 鍵ファイルが 5 秒ごとにチェックされます。
    <ltpa keysFileName="yourLTPAKeysFileName.keys" keysPassword="keysPassword" 
          expiration="120" monitorInterval="5s" />
  3. 構成内でパスワードをエンコードします。securityUtility encode のコマンドを使用して、エンコードされた値を取得できます。
  4. オプション: keysFileName 属性で指定されたロケーションに、既存の LTPA 鍵ファイルをコピーします。 デフォルト値は ${server.output.dir}/resources/security/ltpa.keys です。

    keysFileName エレメントの LTPA 鍵について詳しくは、Application Security 2.0を参照してください。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_ltpa
ファイル名: twlp_sec_ltpa.html