WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化

Kerberos 構成ファイル

WebSphere Application Server で Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) のトラスト・アソシエーション・インターセプター (TAI) を使用するには、Kerberos 構成プロパティー、 すなわち krb5.ini ファイルまたは krb5.conf ファイルを、 セル内のすべての WebSphere Application Server インスタンスに構成する必要があります。

デフォルトの Kerberos 構成ファイルは、Windows の場合は /winnt/krb5.ini で、分散環境の場合は /etc/krb5 です。別のロケーション・パスを指定する場合は、java.security.krb5.conf JVM プロパティーも指定する必要があります。

例えば、krb5.conf ファイルが /opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf で指定されている場合は、-Djava.security.krb5.conf=/opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf を指定する必要があります。

WebSphere ランタイム・コードは、以下の順で Kerberos 構成ファイルを検索します。
  1. Java プロパティー java.security.krb5.conf が参照しているファイル
  2. <java.home>/lib/security/krb5.conf
  3. Microsoft Windows プラットフォームの場合は c:¥winnt¥krb5.ini
  4. UNIX プラットフォームの場合は /etc/krb5/krb5.conf
  5. /etc/krb5.conf on Linux™ platforms
WebSphere Application Server 用に SPNEGO TAI を構成するには、以下のように wsadmin ユーティリティーを使用します。
  1. WebSphere Application Server を始動します。
  2. [AIX HP-UX Linux Solaris Windows] [z/OS] app_server_root/bin ディレクトリーから、wsadmin コマンドを実行して、コマンド行ユーティリティーを開始します。
  3. [i5/OS] Qshell コマンド行から app_server_root/bin ディレクトリーにある wsadmin コマンドを実行して、コマンド行ユーティリティーを開始します。
  4. wsadmin プロンプトで、次のコマンドを入力します。

    $AdminTask createKrbConfigFile

    このコマンドでは、以下のパラメーターを使用できます。
    オプション 説明
    <krbPath> このパラメーターは必須です。このパラメーターは、Kerberos 構成ファイル (krb5.ini または krb5.conf) の完全修飾システム・ロケーションを提供します。
    <realm> このパラメーターは必須です。このパラメーターは、Kerberos レルム名を提供します。この属性の値は、com.ibm.ws.security.spnego.SPN<id>.hostName プロパティーで指定されている各ホストの Kerberos サービス・プリンシパル名を構成するために、SPNEGO TAI によって使用されます。
    <kdcHost> このパラメーターは必須です。このパラメーターは、Kerberos 鍵配布センター (KDC) のホスト名を提供します。
    <kdcPort> このパラメーターはオプションです。このパラメーターは、KDC のポート番号を提供します。このオプションが指定されていない場合のデフォルト値は 88 です。
    <dns> このパラメーターは必須です。このパラメーターは、完全修飾ホスト名の作成に使用されるデフォルトのドメイン名サービス (DNS) を提供します。
    <keytabPath> このパラメーターは必須です。このパラメーターは、Kerberos キー・タブ・ファイルのファイル・システム・ロケーションを提供します。
    <encryption> このパラメーターはオプションです。このパラメーターは、サポートされている暗号化タイプをスペースで区切ったリストを示します。 指定された値は、default_tkt_enctypes および default_tgs_enctypes に使用されます。 このパラメーターが指定されていない場合のデフォルトの暗号タイプは des-cbc-md5 および rc4-hmac です。

以下の例では、wsadmin コマンドによって krb5.ini ファイルが c:¥winnt ディレクトリーに作成されます。 デフォルトの Kerberos キー・タブ・ファイルも c:¥winnt にあります。 実際の Kerberos レルム名は WSSEC.AUSTIN.IBM.COM で、KDC ホスト名は host1.austin.ibm.com です。

wsadmin>$AdminTask createKrbConfigFile {-krbPath 
c:¥winnt¥krb5.ini -realm WSSEC.AUSTIN.IBM.COM -kdcHost host1.austin.ibm.com
 -dns austin.ibm.com -keytabPath c:¥winnt¥krb5.keytab}
上記の wsadmin コマンドは、以下の krb5.ini ファイルを作成します。
[libdefaults]
 default_realm = WSSEC.AUSTIN.IBM.COM
        default_keytab_name = FILE:c:¥winnt¥krb5.keytab
        default_tkt_enctypes = des-cbc-md5 rc4-hmac
        default_tgs_enctypes = des-cbc-md5 rc4-hmac
[realms]
        WSSEC.AUSTIN.IBM.COM = {
  kdc = host1.austin.ibm.com:88
              default_domain = austin.ibm.com
}
[domain_realm]
        .austin.ibm.com = WSSEC.AUSTIN.IBM.COM
[AIX HP-UX Linux Solaris Windows] [i5/OS] 注: Kerberos キー・タブ・ファイルには、ユーザー・パスワードに類似した鍵のリストが含まれています。 ホストでは、Kerberos キー・タブ・ファイルをローカル・ディスクに保管することにより保護することが重要です。 krb5.conf ファイルの許可は 644 でなければなりません。 これは、このファイルの読み取りと書き込みが可能であることを意味します。 ただし、このファイルが属するグループのメンバーと、その他すべてのユーザーは、 このファイルの読み取りのみが可能となります。
[z/OS] 注: Kerberos キー・タブ・ファイルには、ユーザー・パスワードに類似した鍵のリストが含まれています。 ホストでは、Kerberos キー・タブ・ファイルをローカル・ディスクに保管することにより保護することが重要です。 krb5.conf ファイルの許可は 644 でなければなりません。 これは、このファイルの読み取りと書き込みが可能であることを意味します。 ただし、このファイルが属するグループのメンバーと、その他すべてのユーザーは、このファイルの読み取りのみが可能となります。 付加属性、コントロール、およびサーバントを実行するユーザー ID は、 krb5.conf ファイルおよび krb5.keytab ファイルに対する読み取りアクセス権を持っている必要があります。
[i5/OS] krb5.conf 構成ファイルは、{、}、[、および ] 文字を表す 3 文字表記をサポートします。 これらの文字は、言語セットに依存します。 生成されたままのキー・タブは、Kerberos クライアントが読み取ることはできません。 ネイティブの krb5.conf ファイルまたは krb5.keytab ファイルを使用して SPNEGO TAI を構成することが困難な場合は、以下のシナリオの 1 つを実行して、3 文字表記の問題に対処します。
  • krb5.conf ファイルの 3 文字表記を、それらが表す文字で置き換えます。
  • WebSphere Application Server によって生成される krb5.conf ファイルを使用します。
  • Microsoft Windows または鍵配布センター (KDC) で生成したキー・タブ・ファイルを使用します。

Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・ アソシエーション・インターセプター (TAI) の Kerberos 構成設定、Kerberos 鍵配布センター (KDC) 名、 およびレルム設定は、Kerberos 構成ファイル、 またはシステム・プロパティー・ファイルの java.security.krb5.kdc および java.security.krb5.realm を 通じて提供されます。




関連タスク
SPNEGO TAI を使用した HTTP 要求のシングル・サインオンの作成
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/rsec_SPNEGO_config_krb5.html