Kerberos 認証設定

このページを使用して、 アプリケーション・サーバーの認証メカニズムとして Kerberos を構成および検査します。

必要な情報を入力して構成に適用すると、 サーバーのプリンシパル名がサービス名、レルム名、およびホスト名から作成され、 Kerberos サービスに対する認証の自動的な検査に使用されます。

構成された Kerberos は、プライマリー認証メカニズムとなります。 アプリケーションの詳細パネルのリソース参照リンクにアクセスし、 Enterprise JavaBeans (EJB) 認証をリソースに対して構成します。

この管理コンソール・ページを表示するには、「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。 「認証」の下の「Kerberos 構成」をクリックします。

注: Kerberos を構成する場合、プリンシパル・サービスの形式は <service name>/<fully_qualified hostname>@KerberosRealm でなければなりません。 この形式を使用しないと、次のエラーが発生する可能性があります。
org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure,
unspecified at GSSAPI level minor string: Cannot get credential for
principal service WAS/test@AUSTIN.IBM.COM
上記の例外の例では、完全修飾ホスト名が指定されていません。これが失敗の原因です。 このような失敗が発生する場合、システムのホスト名が通常、ドメイン・ネーム・サーバー (DNS) からではなく、/etc/hosts ファイルから取得されています。 UNIX または Linux システムで、 /etc/nsswitch.conf ファイルの「hosts:」行に、DNS の前に hosts ファイルを使用するように構成されている場合、 hosts ファイルに含まれるシステム・エントリーが完全修飾ホスト名でないと、 Kerberos 構成は失敗します。

Kerberos レルム名 (Kerberos realm name)

Kerberos レルムの名前を指定します。ほとんどの場合、レルムはドメイン・ネームを大文字にしたものです。例えば、 ドメイン名が test.austin.ibm.com のマシンの Kerberos レルム名は、通常は AUSTIN.IBM.COM です。

レルム名を使用するコンポーネントは 2 つあります。 Java™ Generic Security Service (JGSS) コンポーネントの IBM® 実装では、krb5.conf ファイルからレルム名を取得します。 WebSphere® Application Server でもレルム名を保持し、このレルム名は通常 JGSS で使用するものと同じです。Kerberos レルム名フィールドをブランクのままにすると、WebSphere Application Server はレルム名を JGSS から継承します。

WebSphere Application Server で別のレルム名を使用する場合は、Kerberos レルム名フィールドで名前を変更することができます。ただし、管理コンソールでレルム名を変更すると、WebSphere Application Server のレルム名のみが変更されることに注意してください。

通知
データ型: ストリング

Kerberos サービス名 (Kerberos service name)

規約により、Kerberos サービス・プリンシパルは 3 つの 部分 (プライマリー、インスタンス、および Kerberos レルム名) に分かれています。Kerberos サービス・プリンシパル名の形式は、service/<fully qualified hostname>@KERBEROS_REALM.service_name です。 サービス名は、Kerberos サービス・プリンシパル名の最初の部分です。例えば、WAS/test.austin.ibm.com@AUSTIN.IBM.COM では、 サービス名は WAS です。

通知
データ型: ストリング

絶対パス付き Kerberos 構成ファイル (Kerberos configuration file with full path)

Kerberos 構成ファイル krb5.conf または krb5.ini には、関心のあるレルム用の鍵配布センター (KDC) のロケーションなどのクライアント構成情報が含まれます。krb5.conf ファイルは Windows オペレーティング・システム以外のすべてのプラットフォームで使用され、krb5.ini ファイルは Windows で使用されます。

通知
データ型: ストリング

絶対パス付き Kerberos キータブ・ファイル名 (Kerberos keytab file name with full path)

絶対パス付き Kerberos キータブ・ファイル名を指定します。 このファイルは「参照」をクリックして見つけることができます。このフィールドが空の場合は、Kerberos 構成ファイルに 指定されているキータブ・ファイル名が使用されます。

通知
データ型: ストリング

プリンシパル名からの Kerberos レルムの切り取り (Trim Kerberos realm from principal name)

Kerberos が、Kerberos レルム名に先行する、「@」で始まるプリンシパル・ユーザー名の サフィックスを除去するかどうかを指定します。この属性が true に設定されている場合、プリンシパル・ユーザー名のサフィックスは除去されます。 この属性が false に設定されている場合、 プリンシパル名のサフィックスは保持されます。使用されるデフォルト値は true です。

通知
デフォルト: 使用可能

Kerberos クレデンシャルの代行を有効にする (Enable delegation of Kerberos credentials)

Kerberos 委任クレデンシャルが、Kerberos 認証によってサブジェクト内に保管されるかどうかを指定します。

また、このオプションを使用すると、アプリケーションは保管されたクレデンシャルを取得して、Kerberos クライアントからのクレデンシャルによる追加の Kerberos 認証のために、取得したクレデンシャルを他のダウンストリームのアプリケーションに伝搬させることができます。

このパラメーターが boolean: no で、ランタイムがクライアントの GSS 代行クレデンシャルを抽出できない場合、警告メッセージがログに記録されます。

通知
デフォルト: 使用可能
[z/OS]

Kerberos プリンシパル名から SAF ID へのマッピング

Kerberos プリンシパル名を z/OS® 上の SAF ID にマップするために 、組み込みマッピング・モジュールを使用するかどうかを指定します。このオプションは、アクティブなユーザー・レジストリーがローカル OS である場合にのみ適用されます。

注: いくつかの追加のセットアップが必要です。 詳しくは、[z/OS]Kerberos プリンシパルの z/OS 上の System Authorization Facility (SAF) ID へのマッピングを参照してください。
注:SAF ユーザー・プロファイルの KERB セグメントを使用する」オプションでは、「プリンシパル名からの Kerberos レルムの除去」フィールドの設定内容に関係なく、完全な Kerberos プリンシパル名と Kerberos レルムをマッピングに使用します。
以下のラジオ・ボタンのいずれかを指定してください。
注: デフォルトは、 「Kerberos プリンシパルから SAF ID へのマッピングに SAF プロファイルを使用しない」です。
[z/OS]
Kerberos プリンシパルから SAF ID へのマッピングに SAF プロファイルを使用しない
Kerberos プリンシパル名が SAF ユーザーに既に一致しているためマッピングが必要ない場合、または Java Authentication and Authorization Service (JAAS) ログイン・モジュールがマッピングを実行するよう構成されている場合は、このオプションを選択します。
注: このボタンは、アクティブなユーザー・レジストリーがローカル OS で、プラットフォームが z/OS である場合にのみ表示されます。
SAF ユーザー・プロファイルの KERB セグメントを使用する
Kerberos プリンシパルが SAF ユーザーの KERB セグメント内に指定されている場合に、Kerberos プリンシパルをその SAF ユーザーへマップするには、このオプションを選択してください。選択された場合、セキュリティー・カスタム・プロパティー com.ibm.websphere.security.krb.useBuiltInMappingToSAF に true が設定されます。
注: このボタンは、アクティブなユーザー・レジストリーがローカル OS で、プラットフォームが z/OS である場合にのみ表示されます。このオプションは、「プリンシパル名からの Kerberos レルムの除去」フィールドの設定内容に関係なく、完全な Kerberos プリンシパル名とKerberos レルムをマッピングに使用します。
分散 ID マッピングに SAF 製品の RACMAP プロファイルを使用する
Kerberos プリンシパルおよび Kerberos レルムが SAF 製品の RACMAP プロファイル内に指定されている場合に、Kerberos プリンシパルをその SAF ユーザーへマップするには、このオプションを選択してください。このオプションを選択するには、SAF 製品が分散 ID マッピングをサポートしていなければなりません。 選択された場合、セキュリティー・カスタム・プロパティー com.ibm.websphere.security.krb.useRACMAPMappingToSAF に true が設定されます。
注: このボタンは、アクティブ・ユーザー・レジストリーがローカル OS で、セルが混合バージョンでなく、z/OS セキュリティー製品が SAF ID マッピングをサポートしている (RACF® の場合、これは、z/OS バージョン 1.11 以降を意味します) 場合にのみ表示されます。このオプションは、「プリンシパル名からの Kerberos レルムの除去」フィールドの設定内容に関係なく、完全な Kerberos プリンシパル名とKerberos レルムをマッピングに使用します。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_kerb_auth_mech
ファイル名:usec_kerb_auth_mech.html