単一または相互 Kerberos レルム環境における認証のための Web Services Security Kerberos トークン

Web サービス・メッセージを保護するには、Kerberos トークンを認証トークンまたはメッセージ保護トークンのいずれかとして使用します。Kerberos 認証の場合、単一 Kerberos レルム環境と、相互 Kerberos レルム環境またはトラステッド Kerberos レルム環境の両方がサポートされています。

単一レルム環境

単一 Kerberos レルム環境では、クライアント・アプリケーションおよびサービス・プロバイダーの両方が同じ Kerberos レルムを使用します。クライアント・アプリケーションは、サービス・プロバイダーが使用する Kerberos レルムに基づく Kerberos トークンを取得します。このトークンを構成するために、クライアント・アプリケーションは、クライアント・ポリシー・トークン生成プログラム・バインディングでサービス・プロバイダーの Kerberos サービス・プリンシパル名 (SPN) を定義しています。SPN のフォーマットをこのセクション内で後から示します。ここで、Kerberos_Realm_Name はオプションです。
ServiceName/HostName@Kerberos_Realm_Name
WebSphere® Application Server でのセル・レベル構成の場合、すべてのサービス・プロバイダーは同じ Kerberos レルムを使用します。

サービス・プロバイダーがダウンストリーム Web サービス要求に、クライアントの Kerberos ID を使用している場合は、委任された Kerberos チケットが、Kerberos 構成ファイルで指定されている Kerberos トークンに存在している必要があります。提供された Web Services Security の呼び出し元に Kerberos のシステム JAAS ログイン・モジュールが追加されます。呼び出し元クレデンシャルに対する Kerberos トークンの使用について詳しくは、『Kerberos ログイン・モジュールを使用したシステム Java™ 認証・承認サービス (JAAS) ログインの更新』、および『Kerberos 構成ファイルの作成』を参照してください。

相互レルム環境またはトラステッド・レルム環境

トラステッド・レルム環境については、以下の構成手順を実行する必要があります。
  • Kerberos トラステッド・レルムのセットアップは、構成済みのすべての Kerberos KDC に対して実行する必要があります。Kerberos トラステッド・レルムのセットアップ方法について詳しくは、「Kerberos Administrator and User's Guide」を参照してください。
  • Kerberos 構成ファイル (Windows の場合は krb5.ini、Unix および z/OS® プラットフォームの場合は krb5.conf) には、トラステッド・レルムがリストされている必要があります。詳しくは、「Kerberos 管理者およびユーザーズ・ガイド」を参照してください。
  • クライアント・アプリケーションのトークン生成プログラム・バインディングは、サービス・プロバイダーからの Kerberos SPN 情報を使用して構成する必要があります。詳しくは、『Kerberos のメッセージ保護に関するバインディングの構成』を参照してください。
相互 Kerberos レルム環境またはトラステッド Kerberos レルム環境では、クライアント・アプリケーションおよびサービス・プロバイダーは、相互に信頼関係を確立した異なる Kerberos レルムを使用します。クライアント・アプリケーションは、サービス・プロバイダーが使用する Kerberos レルムに基づく Kerberos トークンを取得します。このトークンを構成するために、クライアント・アプリケーションは、クライアント・ポリシー・トークン生成プログラム・バインディングでサービス・プロバイダーの Kerberos SPN を定義しています。SPN のフォーマットをこのセクション内で後から示します。ここで、Kerberos_Realm_Name は必須です。
ServiceName/HostName@Kerberos_Realm_Name
クライアント・アプリケーションは、クライアント・ポリシー・トークン生成プログラム・バインディングのコールバック・ハンドラー部分で、クライアントに対して Kerberos レルム名を指定する必要があります。すべてのサービス・プロバイダーは、セル・レベルでは同一の Kerberos レルムを使用します。ただし、その場合でもクライアント・アプリケーションは、それぞれ独自の Kerberos レルムを定義することができます。ピアツーピアおよび推移的なレルム間トラスト認証のみがサポートされます。

次の図は、Kerberos 鍵配布センター (KDC) で定義されているトラステッド・レルム間の関係を示しています。

Kerberos トラステッド・レルム構成

サービス・プロバイダーがダウンストリーム Web サービス要求に、クライアントからの Kerberos ID を使用している場合は、委任された Kerberos チケットが、Kerberos 構成ファイルで構成されている Kerberos トークンに存在している必要があります。提供された Web Services Security の呼び出し元に Kerberos のシステム JAAS ログイン・モジュールが追加されます。呼び出し元クレデンシャルに Kerberos トークンを使用する方法について詳しくは、『Kerberos ログイン・モジュールでのシステム JAAS ログインの更新』、および『Kerberos 構成ファイルの作成』を参照してください。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_kerberoscrossrealm
ファイル名:cwbs_kerberoscrossrealm.html