WebSphere Application Server - Express, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

WebSphere Application Server SPNEGO TAI で使用する Kerberos サービス・プリンシパルと キー・タブ・ファイルの作成

この構成タスクは、Microsoft Active Directory ドメイン・コントローラー・マシンで 実行してください。このタスクは、WebSphere Application Server と SPNEGO トラスト・アソシエーション・インターセプター (TAI) に対するブラウザー要求でシングル・サインオンを 処理する準備として必要な過程です。

始める前に

稼働中のドメイン・コントローラーと、そのドメイン内に少なくとも 1 つのクライアント・マシンが 存在する必要があります。

このタスクについて

このタスクは、Active Directory ドメイン・コントローラー・マシンで実行されます。 以下のステップを実行して、Active Directory ドメイン・コントローラーを 稼働している Microsoft Windows 2000 または Windows 2003 Server が、関連する鍵配布センター (KDC) に対して 正しく構成されていることを確認してください。

プロシージャー

  1. WebSphere Application Server の Microsoft Active Directory に、ユーザー・アカウントを作成します。

    「スタート」->「プログラム」->「管理ツール」 ->「Active Directory ユーザーとコンピューター」をクリックします。

    WebSphere Application Server の名前を使用します。 例えば、WebSphere Application Server マシンで実行している アプリケーション・サーバーの名前が myappserver.austin.ibm.com だとすると、 Active Directory に myappserver という名前の新規ユーザーを作成します。
    重要: 「次回ログオン時にパスワードを変更 (User must change password at next logon)」は選択しないでください。
    重要: 「コンピューターとドメイン・コントローラー (Computers and Domain Controllers)」で、 myappserver というコンピューター名が使われていないことを確認します (以下の図の状態になっているかどうか 確認してください)。 myappserver というコンピューター名が既存の場合は、 別のユーザー・アカウント名を作成する必要があります。
    • 「スタート」->「プログラム」->「管理ツール」->「Active Directory ユーザーと コンピューター」->「コンピューター」と移動します。
    • 「スタート」->「プログラム」->「管理ツール」->「Active Directory ユーザーと コンピューター」->「ドメイン・コントローラー」と移動します。
  2. setspn コマンドを使用して、Kerberos サービス・プリンシパル名 HTTP/<host name> を、 Microsoft ユーザー・アカウントにマップします。 setspn の使用例は次のとおりです。
    C:¥Program Files¥Support Tools>
    setspn -A HTTP/myappserver.austin.ibm.com myappserver
    
    注: Microsoft Windows ホストに関連したいくつかの SPN が、 既にドメインに追加されている場合があります。これは setspn -L コマンドを使用して 表示できますが、依然として WebSphere Application Server に HTTP SPN を追加する必要があります。 例えば、setspn -L myappserver で SPN のリストが表示されます。
    重要: 同じ SPN を、 複数の Microsoft ユーザー・アカウントにマッピングしていないことを 確認してください。同じ SPN を複数のユーザー・アカウントにマップすると、 Web ブラウザーが、WebSphere Application Server に対して SPNEGO トークンではなく NTLM を 送信することがあります。

    setspn コマンドについて詳しくは、 Windows 2003 Technical Reference (setspn command) を 参照してください。

  3. Kerberos キー・タブ・ファイルを作成し、WebSphere Application Server で使用できるようにします。Kerberos キー・タブ・ファイル (krb5.keytab) は、 ktpass コマンドを使用して作成します。
    以下に、コマンド行で ktpass -? を入力したときに使用できる機能の要約を示します。
    C:¥MS SDK>ktpass -?
    Command line options:
    
    ---------------------most useful args
    [- /]          out : Keytab to produce
    [- /]        princ : Principal name (user@REALM)
    [- /]         pass : password to use
                         use "*" to prompt for password.
    ---------------------less useful stuff
    [- /]      mapuser : map princ (above) to this user account (default: don't)
    [- /]        mapOp : how to set the mapping attribute (default: add it)
    [- /]        mapOp :  is one of:
    [- /]        mapOp :        add : add value (default)
    [- /]        mapOp :        set : set value
    [- +]      DesOnly : Set account for des-only encryption (default:no)
    [- /]           in : Keytab to read/digest
    ---------------------options for key generation
    [- /]       crypto : Cryptosystem to use
    [- /]       crypto :  is one of:
    [- /]       crypto : DES-CBC-CRC : for compatibility
    [- /]       crypto : DES-CBC-MD5 : default
    [- /]       crypto :        RC4 :
    [- /]        ptype : principal type in question
    [- /]        ptype :  is one of:
    [- /]        ptype : KRB5_NT_PRINCIPAL : The general ptype-- recommended
    [- /]        ptype : KRB5_NT_SRV_INST : user service instance
    [- /]        ptype : KRB5_NT_SRV_HST : host service instance
    [- /]         kvno : Override Key Version Number
                         Default: query DC for kvno.  Use /kvno 1 for Win2K compat.
    [- +]       Answer : +Answer answers YES to prompts.  -Answer answers NO.
    [- /]       Target : Which DC to use.  Default:detect
    
    暗号化タイプにより異なりますが、以下の方法の 1 つで ktpass ツールを使用して Kerberos キー・タブ・ファイルを作成します。
    重要: ktpass コマンドで -pass スイッチを使用して Microsoft Windows サーバー・アカウントのパスワードをリセットしないでください。
    詳しくは、Windows 2003 Technical Reference (Kerberos keytab file and ktpass command) を参照してください。
    • 単一 DES 暗号化タイプの場合
      コマンド・プロンプトから ktpass コマンドを実行します。
      ktpass -out c:¥temp¥myappserver.keytab
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
      -mapUser myappserv 
      -mapOp set -pass was1edu
      -crypto DES-CBC-MD5 
      +DesOnly
      
      表 1. 単一 DES 暗号化タイプの場合の ktpass の使い方
      オプション 説明
      -out c:¥temp¥myappserver.keytab この出力ファイルに鍵が書き込まれます。
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
      ユーザー・ログオン名とレルムは、大文字で連結する必要があります。
      -mapUser この鍵はユーザー myappserver にマップされます。
      -mapOp このオプションは、マッピングを設定します。
      -pass was1edu このオプションは、ユーザー ID に対するパスワードです。
      -crypto DES-CBC-MD5 このオプションはシングル DES の暗号化タイプを使用します。
      +DesOnly このオプションは DES 暗号化のみを生成します。
    • RC4-HMAC 暗号化タイプの場合
      重要: RC4-HMAC 暗号化は、Windows 2003 Server を KDC として使用している場合にのみサポートされます。Windows 2000 Server を KDC としている場合、RC4-HMAC 暗号化はサポートされません。
      コマンド・プロンプトから ktpass コマンドを実行します。
      ktpass -out c:¥temp¥myappserver.keytab
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
      -mapUser myappserver
      -mapOp set 
      -pass was1edu
      -crypto RC4-HMAC
      
      表 2. RC4-HMAC 暗号化タイプの場合の ktpass の使い方
      オプション 説明
      -out c:¥temp¥myappserver.keytab この出力ファイルに鍵が書き込まれます。
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
      ユーザー・ログオン名とレルムは、大文字で連結する必要があります。
      -mapUser この鍵はユーザー myappserver にマップされます。
      -mapOp このオプションは、マッピングを設定します。
      -pass was1edu このオプションは、ユーザー ID に対するパスワードです。
      -crypto RC4-HMAC このオプションを指定すると、RC4-HMAC 暗号化タイプが選択されます。
    SPNEGO TAI とともに使用するための Kerberos キー・タブ・ファイルが作成されます。
    注: Kerberos キー・タブ構成ファイルには、ユーザー・パスワードに類似した 鍵のリストが含まれています。ホストでは、Kerberos キー・タブ・ファイルを保護するために、Kerberos キー・タブ・ファイルをローカル・ディスクに保管し、許可ユーザーのみが読み取れるようにすることが重要です。
    krb5.keytab ファイルを ドメイン・コントローラー (LDAP マシン) から WebSphere Application Server マシンに コピーすると、WebSphere Application Server でキー・タブ・ファイルを 使用できるようになります。
    ftp> bin
    ftp> put c:¥temp¥KRB5_NT_SEV_HST\krb5.keytab

結果

Active Directory ドメイン・コントローラーは、 WebSphere Application Server および SPNEGO TAI に対するシングル・サインオン要求を処理するように、 正しく構成されています。




サブトピック
Kerberos キー・タブ・ファイルを管理するための ktab コマンドの使用
関連概念
SPNEGO を使用した HTTP 要求のシングル・サインオン
関連タスク
WebSphere Application Server 環境の構成と SPNEGO TAI の使用可能化
WebSphere Application Server における JVM カスタム・プロパティーの構成、 HTTP 要求のフィルタリング、および SPNEGO TAI の使用可能化
SPNEGO TAI を使用した HTTP 要求のシングル・サインオンの作成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 6:25:35 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/tsec_SPNEGO_config_dc.html