WebSphere Application Server Network Deployment for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

SPNEGO TAI のシングル・サインオン機能 - チェックリスト

WebSphere Application Server は、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、WebSphere Application Server の保護されているリソースに対する HTTP 要求を安全に折衝し、認証するトラスト・アソシエーション・インターセプター (TAI) を提供します。SPNEGO TAI をデプロイして使用するには、インストールを調べて、SPNEGO TAI の最適な構成方法を決定する必要があります。

Lightweight Third Party Authentication (LTPA) は WebSphere Application Server のデフォルトの認証メカニズムです。 しかし、SPNEGO TAI を構成する前に LTPA を構成しなければならない場合があります。 LTPA は、すべてのトラスト・アソシエーション・インターセプターに必要な認証メカニズムです。 LTPA を構成するには、「セキュリティー」 > 「セキュア管理、アプリケーション、およびインフラストラクチャー」 > 「認証メカニズムおよび有効期限」とクリックします。
注: Web セキュリティーのシングル・サインオン (SSO) を使用可能にすることは、 SPNEGO TAI を構成する場合はオプションです。詳しくは、 Web ユーザー認証を最小化するためのシングル・サインオンのインプリメントを参照してください。
以下の質問に答えて、SPNEGO TAI のデプロイ方法を確立してください。
  1. HTTP 要求をインターセプトするための基準は何ですか。

    SPNEGO TAI デプロイメントで、デフォルトとして HTTPHeaderFilter クラスを使用するかどうかを決定する必要があります。このクラスを使用する場合は、このクラスに対して正確なフィルター・プロパティーを指定する必要があります。SPNEGO TAI のデフォルトの動作では、com.ibm.ws.spnego.HTTPHeaderFilter クラスを使用して、すべての要求がインターセプトされます。

    サンプルの com.ibm.ws.spnego.HTTPHeaderFilter クラスを使用しない場合は、com.ibm.wsspi.security.spnego.SpnegoTAIFilter インターフェースをインプリメントする新しいクラスを定義する必要があります。

    サービス・プロバイダー・プログラミング・インターフェース (SPI) SPNEGO TAI に対する HTTP 要求のフィルター処理 を使用して、HTTP 要求がインターセプトするものをさらに制御するかを、決定することができます。

    以下の説明については、SPNEGO TAI カスタム・プロパティー構成 を参照してください。
    • com.ibm.ws.security.spnego.SPN<id>.filterClass
    • com.ibm.ws.security.spnego.SPN<id>.filter
  2. ユーザー ID マッピングが使用されていますか。使用されていない場合、その理由は何ですか。

    WebSphere Application Server では、カスタム・ログイン・モジュールを定義または開発して、ユーザー ID をマップできます。このマッピングの実行方法について詳しくは、Kerberos クライアント・プリンシパル名の WebSphere ユーザー・レジストリー ID (SPNEGO 用) への マッピング を参照してください。

    TAI をデプロイする前に、このカスタム・ログイン・モジュールを使用して SPNEGO TAI ID のマッピングを実行するかどうかを決定する必要があります。

  3. SPNEGO トークンの処理に、どのタイプの暗号化を使用しますか。
    Microsoft Windows Active Directory では、RC4-HMAC および DES-CBC-MD5 という異なる 2 つの Kerberos 暗号化タイプがサポートされています。IBM Java Generic Security Service (JGSS) ライブラリー (および SPNEGO ライブラリー) は、これらの暗号化タイプを両方ともサポートしています。
    制約事項: RC4-HMAC 暗号化は、Windows 2003 Server 鍵配布センター (KDC) でのみサポートされています。Windows 2000 Server を Kerberos KDC として使用している場合、RC4-HMAC 暗号化はサポートされません。
  4. クレデンシャルの委任をどのように処理しますか。

    Kerberos は、クレデンシャルの委任をサポートしています。クライアントから Kerberos クレデンシャルを受け取るサーバーは、委任されたクレデンシャルを使用して、他のサーバーに対してそのクライアントの偽名を使用することができます。SPNEGO TAI トークンは Kerberos クレデンシャルのラッピングなので、SPNEGO トークン内の Kerberos クレデンシャルを受け取るサーバーは、それらの Kerberos クレデンシャルを使用して、元のユーザーの偽名を使用できます。そのサーバーは、適切な HTTP 許可ヘッダーを合成することにより、HTTP を介して SPNEGO を他の SPNEGO サーバーに対する SPNEGO クライアントとして使用して、相互作用することができます。

  5. 単一または複数どちらのドメイン・ネーム・サービス (DNS) ドメ イン環境に SPNEGO TAI をデプロイしますか。

    Windows で実行される Web ブラウザーは、DNS ドメインに依存しています。これらのブラウザーは、ターゲットのホスト名が、クライアント・マシンの DNS ドメインで定義されているホスト名を示している場合にのみ SPNEGO トークンを送信します。HTTP リダイレクトを使用すると、各 DNS ドメインに疑似 Kerberos サービス・プリンシパル名 (SPN) を作成して、この構成をサポートできます。 WebSphere Application Server がサポートしているすべての SPN では、 それぞれの秘密鍵が Kerberos keytab ファイルで使用可能になっている必要があります。 複数の DNS ドメインでシングル・サインオンを使用可能にするために、個別の Kerberos キー・タブ・ファイルが、ドメインごとにそれぞれの SPN に対して生成されます。WebSphere Application Server がこれらの個々の Kerberos キー・タブ・ファイルを使用できるようにするには、これらの Kerberos キー・タブ・ファイルをマージする必要があります。

  6. アプリケーション・サーバーは、どのくらいの頻度で SPNEGO TAI プロパティーを再ロードしますか。

    SPNEGO TAI には、オプション・プロパティー再ロード機能があります。この機能を使用すると、Java 仮想マシン (JVM) を再始動しなくても TAI プロパティーを再ロードすることができます。この再ロード機能は、システム・プロパティー com.ibm.ws.security.spnego.propertyReloadFile および com.ibm.ws.security.spnego.propertyReloadTimeout によって制御されます。これらのプロパティーを一緒に使用することにより、ある時間経過後、ファイル・システム上のファイルから SPNEGO TAI 内部プロパティーを再ロードすることができます。 com.ibm.ws.security.spnego.propertyReloadTimeout 属性が有効な整数値に設定され、 com.ibm.ws.security.spnego.propertyReloadFile 属性がファイル・システム上のファイルを指している場合、各 JVM は、タイムアウト期間が終了した後に、そのファイルから SPNEGO TAI プロパティーを再ロードします。 また、SPNEGO TAI プロパティーは、ファイルの日付が変更された場合にのみ再ロードされます。これらの再ロード・プロパティーが設定されていない場合は、JVM の初期化時に、WebSphere Application Server 構成データで定義されている SPNEGO TAI カスタム・プロパティーから SPNEGO TAI プロパティーが一度だけロードされます。これらの再ロード・プロパティーについて詳しくは、SPNEGO TAI JVM 構成カスタム・プロパティー を参照してください。

Windows Active Directory (Web) 管理者、WebSphere Application Server 管理者、およびアプリケーション・チームがこれらの質問を検討し、それぞれについて回答を出してから、SPNEGO TAI に対して最適なデプロイメント設定および構成設定を決定します。




関連タスク
SPNEGO を使用するためのクライアント・ブラウザーの構成
SPNEGO TAI に対する HTTP 要求のフィルター処理
Kerberos クライアント・プリンシパル名の WebSphere ユーザー・レジストリー ID (SPNEGO 用) への マッピング
SPNEGO TAI を使用した HTTP 要求のシングル・サインオンの作成
関連資料
SPNEGO TAI カスタム・プロパティー構成
SPNEGO TAI JVM 構成カスタム・プロパティー
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 8:28:52 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.iseries.doc/info/iseriesnd/ae/rsec_SPNEGO_tai_checklist.html