LTPA (Lightweight Third Party Authentication)

Lightweight Third Party Authentication (LTPA) は、 分散環境と複数アプリケーション・サーバーおよびマシンの環境を対象としています。 LTPA は、転送可能なクレデンシャルおよびシングル・サインオン (SSO) をサポートしています。 LTPA は、分散環境のセキュリティーを暗号化によりサポートすることができます。 このサポートにより、LTPA は、 認証関連のデータを暗号化し、デジタル署名して安全に伝送し、 後で署名を暗号化解除して検査することができます。

複数のノード およびセルに分散されているアプリケーション・ サーバーは、LTPA プロトコルを使用することによって、 安全に通信を行うことができます。 また、シングル・サインオン (SSO) フィーチャーも提供されます。 シングル・サインオンでは、ユーザーはドメイン・ネーム・システム (DNS) ドメインで一度だけ認証を受けるだけで、プロンプトが出されることもなく、WebSphere® Application Server の他のセルにあるリソースにアクセスすることができます。 DNS ドメインの各システムにあるレルム名は大/小文字が区別され、完全に一致している必要があります。

[IBM i][AIX HP-UX Solaris]ローカル OS の場合、レルム名はホスト名と同じです。

[Windows]ローカル OS の場合、レルム名はドメイン名で、 ドメインが使用されている場合は、マシン名です。

Lightweight Directory Access Protocol (LDAP) の場合、 レルム名は LDAP サーバーの host:port 値です。

LTPA プロトコルは、暗号鍵を使用して、サーバー間で受け渡しされるユーザー・データを暗号化したり、暗号化を解除したりします。 これらの鍵は、1 つのセル内のリソースが別のセル内のリソースにアクセスする際に、 関連のあるセルがすべて同じ LDAP またはカスタム・レジストリーを使用していることを前提として、 それぞれ異なるセルの間で共有される必要があります。

LTPA を使用すると、 ユーザー情報と有効期限を含むトークンが作成され、その鍵によって署名されます。 LTPA トークンは時間に依存します。 保護ドメインに参加するすべての製品サーバーは、 それぞれの時刻と日付を同期させなければなりません。 同期させないと、LTPA トークンは期限前に失効し、認証または検証で障害が発生します。 デフォルトでは協定世界時 (UTC) が使用されており、 他のすべてのマシンも同じ UTC 時刻にする必要があります。このことを確認する方法については、 オペレーティング・システムの資料を参照してください。

このトークンは、 SSO が使用可能になっている場合は Web リソースの Cookies 経由で、 あるいは (エンタープライズ Bean の) 認証プロトコル・レイヤー経由で、 同一セル内または別のセル内の他のサーバーに渡されます。

受信サーバーが発信サーバーと同じ鍵を共有する場合は、 トークンを暗号化解除してユーザー情報を取得することができます。 次にこの情報を検証して、期限切れでないことと、 トークン内のユーザー情報がそのレジストリー内で有効であることを確認します。 検証が正常に終了したら、受信サーバー内のリソースに、許可検査後にアクセスすることができます。

サーバーは有効なクレデンシャルを持つ必要があります。クレデンシャルの有効期限が切れた場合、サーバーは認証のためにユーザー・レジストリーに通信する必要があります。 ユーザー・レジストリーの障害により、サーバー・プロセスがハングする場合があり、その場合、 回復するには再始動が必要になります。LTPA トークンがキャッシュ化されたまま残る期間を延長することでこのリスクが減りますが、それでもセキュリティー・ポリシーを定義する際に考慮すべき、わずかに増えたセキュリティー・リスクを示します。

セル内の WebSphere Application Server プロセス (デプロイメント・マネージャー、ノード、アプリケーション・サーバー) のすべてで、同じ鍵セットが共有されます。 異なるセル間で鍵の共有が必要である場合は、 鍵を一方のセルからエクスポートして、他のセルにインポートします。 セキュリティーのために、エクスポートされる鍵はランダム生成で暗号化され、鍵を保護するためにユーザー定義のパスワードが使用されます。 鍵を別のセルにインポートする場合は、これと同じパスワードが必要になります。 パスワードは、鍵を保護するためにのみ使用され、鍵の生成には使用されません。

WebSphere Application Server は、LTPA および Kerberos プロトコルをサポートします。

プロファイル作成時にセキュリティーが使用可能になっている場合、LTPA はデフォルトで構成されています。

マシンに関係なくユーザーとグループを同じものにできるように、LTPA では、構成済みのユーザー・レジストリーが、LDAP または Windows ドメイン・タイプ・レジストリーのような集中共有リポジトリーでなければなりません。

[IBM i]ローカル OS ユーザー・レジストリーでの LTPA の使用は、 すべてのサーバーが同じシステムにある構成にのみ適用できます。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ltpa
ファイル名:csec_ltpa.html