単一または相互 Kerberos レルム環境における認証のための Web Services Security Kerberos トークン
Web サービス・メッセージを保護するには、Kerberos トークンを認証トークンまたはメッセージ保護トークンのいずれかとして使用します。Kerberos 認証の場合、単一 Kerberos レルム環境と、相互 Kerberos レルム環境またはトラステッド Kerberos レルム環境の両方がサポートされています。
単一レルム環境
ServiceName/HostName@Kerberos_Realm_Name
WebSphere® Application Server でのセル・レベル構成の場合、すべてのサービス・プロバイダーは同じ Kerberos レルムを使用します。サービス・プロバイダーがダウンストリーム Web サービス要求に、クライアントの Kerberos ID を使用している場合は、委任された Kerberos チケットが、Kerberos 構成ファイルで指定されている Kerberos トークンに存在している必要があります。提供された Web Services Security の呼び出し元に Kerberos のシステム JAAS ログイン・モジュールが追加されます。呼び出し元クレデンシャルに対する Kerberos トークンの使用について詳しくは、『Kerberos ログイン・モジュールを使用したシステム Java™ 認証・承認サービス (JAAS) ログインの更新』、および『Kerberos 構成ファイルの作成』を参照してください。
相互レルム環境またはトラステッド・レルム環境
- Kerberos トラステッド・レルムのセットアップは、構成済みのすべての Kerberos KDC に対して実行する必要があります。Kerberos トラステッド・レルムのセットアップ方法について詳しくは、「Kerberos Administrator and User's Guide」を参照してください。
- Kerberos 構成ファイル (Windows の場合は krb5.ini、Unix および z/OS® プラットフォームの場合は krb5.conf) には、トラステッド・レルムがリストされている必要があります。詳しくは、「Kerberos 管理者およびユーザーズ・ガイド」を参照してください。
- クライアント・アプリケーションのトークン生成プログラム・バインディングは、サービス・プロバイダーからの Kerberos SPN 情報を使用して構成する必要があります。詳しくは、『Kerberos のメッセージ保護に関するバインディングの構成』を参照してください。
ServiceName/HostName@Kerberos_Realm_Name
クライアント・アプリケーションは、クライアント・ポリシー・トークン生成プログラム・バインディングのコールバック・ハンドラー部分で、クライアントに対して Kerberos レルム名を指定する必要があります。すべてのサービス・プロバイダーは、セル・レベルでは同一の Kerberos レルムを使用します。ただし、その場合でもクライアント・アプリケーションは、それぞれ独自の Kerberos レルムを定義することができます。ピアツーピアおよび推移的なレルム間トラスト認証のみがサポートされます。次の図は、Kerberos 鍵配布センター (KDC) で定義されているトラステッド・レルム間の関係を示しています。

サービス・プロバイダーがダウンストリーム Web サービス要求に、クライアントからの Kerberos ID を使用している場合は、委任された Kerberos チケットが、Kerberos 構成ファイルで構成されている Kerberos トークンに存在している必要があります。提供された Web Services Security の呼び出し元に Kerberos のシステム JAAS ログイン・モジュールが追加されます。呼び出し元クレデンシャルに Kerberos トークンを使用する方法について詳しくは、『Kerberos ログイン・モジュールでのシステム JAAS ログインの更新』、および『Kerberos 構成ファイルの作成』を参照してください。