Kerberos キー・テーブル・マネージャー・コマンド (Ktab) を使用すると、Web
管理者はローカルの Kerberos キー・タブ・ファイルに保管されている
Kerberos サービス・プリンシパル名および鍵を管理できます。
Kerberos キー・タブ・ファイルにリストされている Kerberos サービス・プリンシパル名 (SPN)
および鍵を使用すると、ホスト上で実行されているサービスが自身を KDC に認証するようになります。
SPNEGO TAI が Kerberos を使用できるようになる前に、WebSphere Application Server 管理者は、WebSphere
Application Server を実行しているホスト上で Kerberos キー・タブ・ファイルをセットアップする必要があります。
重要:
- 許可された WebSphere
ユーザーのみがキー・タブ・ファイルを読み取れるように設定することで、キー・タブ・ファイルを保護することが重要です。
- Ktab を使用した Kerberos キー・タブ・ファイルの更新は、Kerberos データベースに影響を与えません。
Kerberos キー・タブ・ファイルのキーを変更した場合は、対応する変更を
Kerberos データベースに対しても行う必要があります。
Ktab を LINUX プラットフォーム上で使用して、新しいプリンシパル名を Kerberos
キー・タブ・ファイルに追加する方法を、以下の例で示します。
[root@wssecjibe bin]# ./ktab -a
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Done!
Service key for principal HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM saved
以下の例は、Ktab を LINUX プラットフォーム上で使用して、Kerberos
キー・タブ・ファイルの内容をリストする方法を示しています。
[root@wssecjibe bin]# ./ktab
KVNO Principal
---- ---------
1 HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf
/etc/krb5.keytab
ヒント: WebSphere Application Server では、Ktab は以下の場所にあります。
<install root>/java/jre/bin
注: Kerberos
キー・タブ・ファイルを管理するのに、ネイティブ
Kerberos 実装の ktutil コマンドを使用することができます。