このトピックでは、JAX-WS アプリケーション用に Kerberos トークン・ポリシー・セットを使用可能にします。
始める前に
このタスクを開始する前に、IBM® WebSphere® Application
Server の Kerberos 構成情報を指定しておく必要があります。詳しくは、セキュリティー用の Kerberos (KRB5) 認証メカニズム・サポートを参照してください。
Kerberos トークンの構成モデルを使用すると、
既存の WebSphere Application Server フレームワークから以下の処理を選択できます。
- JAX-RPC アプリケーションの場合、構成内でデプロイメント記述子およびバインディングが使用されます。JAX-RPC アプリケーションには、認証トークンとともに構成される Kerberos カスタム・トークン用のデプロイメント記述子が含まれています。
- JAX-WS アプリケーションの場合、構成では、ポリシー・セットおよびバインディングが使用されます。JAX-WS アプリケーションには、認証トークン、メッセージ保護トークン、またはその両方を使用して構成される Kerberos トークンを含むカスタム・ポリシーが付加されています。
注: 更新を Software Development Kit (SDK) に含めるフィックスパックは、制限のないポリシー・ファイルを上書きする可能性があります。 フィックスパックを適用する前に、制限のないポリシー・ファイルをバックアップして、これらのファイルをフィックスパックの適用後に再適用します。
このタスクについて
以下のステップを実行して、WebSphere Application Server の 管理コンソールを使用して JAX-WS アプリケーションの Kerberos トークン・ポリシー・セットを構成します。以下のステップでは、「メイン・ポリシーの構成」パネルは、最初の 5 ステップの完了後に使用可能になる管理コンソール・パネルを参照します。
手順
- を展開し、をクリックして新規ポリシー・セットを作成します。
- 新規ポリシー・セットの名前および簡略説明を指定し、「適用」をクリックします。
- 見出し「ポリシー」で「追加」をクリックして、「WS-Security」セキュリティー・ポリシー・タイプを
選択します。
- 「OK」をクリックし、さらに「保存」をクリックして、新規構成を直接にマスター構成に保存します。
- 「ポリシー」フィールドで、「WS-Security」をクリックし、
「WS-Security」パネルで「メイン・ポリシー」をクリックして、Kerberos トークン・ポリシー・セットのメイン・ポリシーを構成します。
- 「鍵の対称」見出しから、メッセージ保護に「対称トークンを使用」を選択します。
- 「対称的な署名および暗号化ポリシー」を
クリックして、Kerberos カスタム・トークン・タイプを構成するか、または認証トークンのみを構成する場合は、「メッセージ・レベルの保護」チェック・ボックスを選択解除します。
重要: メッセージ保護に Kerberos トークンを使用している場合、要求トークン・ポリシーを構成する必要はありません。認証トークンのみを構成する場合は、次のステップに進みます。認証トークン用の要求トークン・ポリシーを構成しない場合は、次のステップを飛ばしてください。
- 認証トークンを構成する場合は、「メイン・ポリシーの構成」パネルで、要求トークンのポリシーを構成します。
- 見出し「ポリシーの詳細」で「要求トークン・ポリシー」をクリックします。
- 「トークン・タイプの追加」をクリックして、「カスタム」を選択します。
- 「カスタム・トークン名」フィールドに、カスタム・トークンの名前を指定します。
- 「ローカル・パーツ」フィールドにローカル・パーツ値を指定します。 他の Web サービス・テクノロジーとのインターオペラビリティーのために、次のローカル・パートを指定します。http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
インターオペラビリティーの問題を考慮しない場合は、以下のいずれかのローカル名値を指定できます。
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
これらの代替値は、鍵配布センター (KDC) によって生成される Kerberos AP-REQ トークンの
仕様レベルに応じて異なります。これらの値の使用について詳しくは、『トークン・タイプ設定』を参照してください。
- Kerberos トークンを生成している場合は、「名前空間 URI」フィールドに値を指定しないでください。
- 「OK」をクリックし、さらに「保存」をクリックして、構成を直接にマスター構成に保存します。
このステップで、認証トークン用の要求トークン・ポリシーを構成するための構成プロセスが完了します。次の 2 つのステップを実行する必要はありません。次のステップを実行して、暗号化ポリシーおよび対称署名ポリシーを構成します。
- アプリケーション・ポリシー・セットの「メイン・ポリシーの構成」パネルに戻り、
「対称的な署名および暗号化ポリシー」をクリックして、暗号化ポリシー
および対称署名ポリシーを構成します。
- 「メッセージの保全性」見出しから、「メッセージの署名および検証用のトークン・タイプ」」フィールドの「アクション」メニュー・リストをクリックし、「カスタム」を選択します。
- 「メッセージの機密性」見出しから、「保全性に使用されるのと同じトークンを機密性に使用 (Use same token
for confidentiality that is used for integrity)」オプションを選択します。
- 「OK」および「保存」をクリックして、構成変更を保存します。
- 「メッセージの保全性」見出しから、「メッセージの署名および検証用のトークン・タイプ」フィールドの「アクション」メニュー・リストをクリックし、「選択したタイプのポリシーの編集」を選択します。
- Kerberos カスタム・トークンのローカル・パートを指定することにより、署名および暗号化のカスタム・トークン・タイプを編集します。
例えば、ローカル・パート値に http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ を指定します。名前空間 URI 値は指定しないでください。
- 「OK」をクリックしてから「保存」のリンクをクリックして、構成の変更を保存します。
- アプリケーション・ポリシー・セットの「メイン・ポリシーの構成」パネルに戻り、「対称トークンのアルゴリズム (Algorithms for symmetric tokens)」をクリックして対称トークン・アルゴリズムを構成します。
- 「アルゴリズム・スイート」メニュー・リストから対称トークンに使用するアルゴリズム・スイートを選択します。 RFC-4120 に準拠している Kerberos トークンの場合は、Advanced Encryption Standard (AES) アルゴリズムを選択します。
対称鍵ラップまたは秘密鍵暗号方式アルゴリズムには、以下があります。
- Triple-DES 鍵ラップ: http://www.w3.org/2001/04/xmlenc#kw-tripledes
- AES 鍵ラップ (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
- AES 鍵ラップ (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256
制約事項: 256 ビット AES 暗号化アルゴリズムを使用するには、無限管轄権ポリシー・ファイルを適用する必要があります。準拠を維持するには、基本セキュリティー・プロファイル準拠のヒントを参照してください。
これらのポリシー・ファイルをダウンロードする前に、製品の HFS を読み取り/書き込みとしてマウントします。後でオリジナル・ファイルを復元できるように、あらかじめ既存のポリシー・ファイルをバックアップしてから上書きするようにしてください。既存のポリシー・ファイル (local_policy.jar ファイルおよび US_export_policy.jar ファイル) は、WAS_HOME/java/jre/lib/security/ ディレクトリーにあります。
これらのポリシー・ファイルをダウンロードする前に、製品の HFS を読み取り/書き込みとしてマウントします。後でオリジナル・ファイルを復元できるように、あらかじめ既存のポリシー・ファイルをバックアップしてから上書きするようにしてください。既存のポリシー・ファイル (local_policy.jar ファイルおよび US_export_policy.jar ファイル) は、WAS_HOME/java/lib/security/ ディレクトリーにあります。
重要: お客様の国において、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出が規制されている可能性があります。
無制限ポリシー・ファイルをダウンロードまたは使用する前に、お客様の国の法律、規制、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出に関する方針を確認し、許可されているかどうかを判別してください。
アプリケーション・サーバー・プラットフォームで IBM Developer Kit, Java™ Technology
Edition バージョン 5 を使用している場合、次のステップに従って、無制限の管轄権ポリシー・ファイルを入手できます。
- IBM developerWorks:
セキュリティー情報 Web サイトにアクセスしてください。
- 「Java 5」をクリックします。
- 「IBM SDK Policy files」をクリックします。
SDK 5 Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。
- ユーザー ID とパスワードを入力するか、IBM に登録してポリシー・ファイルをダウンロードします。
ポリシー・ファイルがご使用のワークステーションにダウンロードされます。
- 製品 HFS を読み取り専用として再マウントします。
アルゴリズム・スイート・コンポーネントの詳細については、アルゴリズムの設定を参照してください。
- 「正規化アルゴリズム」メニュー・リストで「排他的正規化」または「包括的正規化」のいずれかの値を選択します。 詳しくは、『XML デジタル署名』を参照してください。
- 「XPath バージョン」メニュー・リストから、使用する XPath 1.0 または XPathfilter
2.0 バージョンを指定します。
次のタスク
JAX-WS アプリケーションの場合は、Kerberos のメッセージ保護用バインディングを構成します。詳しくは、Kerberos のメッセージ保護に関するバインディングの構成を参照してください。