セキュリティーを初めてセットアップする場合は、Lightweight Third Party Authentication
(LTPA) または Kerberos を構成する必要があります。
手順
- 管理コンソールを開きます。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Web ブラウザーに http://fully_qualified_host_name:port_number/ibm/console
と入力し、管理コンソールにアクセスします。
Web ブラウザーに http://server_name:port_number/ibm/console
と入力し、管理コンソールにアクセスします。
ポート 9060 は、管理コンソールにアクセスするためのデフォルト・ポート番号です。ただし、
インストールの際に、別のポート番号を指定することもできます。適切なポート番号を使用してください。
- 「セキュリティー」>「グローバル・セキュリティー」>「認証メカニズムおよび有効期限」とクリックします。
- 「LTPA」をクリックします。
- ご使用の公開、秘密、および共有 LTPA 鍵が含まれた「Key set group」フィールドから該当するグループを選択します。 これらの鍵は、サーバー間で送信されるデータの暗号化および暗号化解除に使用されます。
これらの鍵セット・グループの構成には、「Key set group」リンクを使用してアクセスできます。
鍵セット・グループの構成では、自動的に新規の鍵を生成するかどうか、およびいつ生成するかを指示できます。
- 「サーバー間で転送されたクレデンシャルの LTPA タイムアウト値」フィールドに正の整数値を入力します。
この値は、別のサーバーからのサーバー・クレデンシャルの有効期限が切れる期間を表します。
デフォルト値は 120 分です。
「サーバー間で転送されたクレデンシャルの LTPA タイムアウト値」フィールドの値は、
認証キャッシュ設定パネルの「キャッシュ・タイムアウト」フィールドの値より
大きくなければなりません。
- 「パスワード」フィールドにパスワードを入力します。
このパスワードは、SSO
プロパティー・ファイルから LTPA 鍵を暗号化および暗号化解除するために使用されます。
パスワードは鍵の生成には使用されず、鍵を保護する目的でのみ使用されます。インポートの間、このパスワードは他の
LTPA サーバー (例えば、他のアプリケーション・サーバー・セル、Lotus® Domino Server など) で鍵をエクスポートするのに使用するパスワードと一致する必要があります。
インポート操作で指定するときのために、エクスポートの間にこのパスワードを覚えておくようにしてください。
鍵とパスワードを共有することにより、すべてのセルのシングル・サインオンを呼び出すことができます。
鍵とパスワードを共有するには、セルにログオンし、鍵ファイルを指定してから「鍵のエクスポート」をクリックします。次に、他のセルにログオンし、鍵ファイルを指定してから「鍵のインポート」をクリックします。
- 「適用」または「OK」をクリックします。
- オプション: パネルの
設定を確認します。デフォルトでは、認証キャッシュは有効です。これらのフィールドおよび値の
詳細については、認証キャッシュ設定の資料を参照してください。
タスクの結果
これで LTPA 構成が設定されます。LTPA 鍵は、最初は自動的に生成されます。LTPA 鍵は
あとで自動的に生成されるので、このステップで生成しないでください。
セキュリティーを使用可能にするために必要な残りのステップに進み、シングル・サインオン (SSO) が必要な場合はそこから開始してください。
次のタスク
LTPA の構成後には、以下のタスクも実行できます。
- 鍵ファイルを生成します。詳しくは、Lightweight Third Party Authentication 鍵の生成を参照してください。
- 鍵ファイルをエクスポートします。詳しくは、Lightweight Third Party Authentication 鍵のエクスポートを参照してください。
- 鍵ファイルをインポートします。詳しくは、Lightweight Third Party Authentication 鍵のインポートを参照してください。
- 複数のセルから LPTA 鍵を管理します。詳しくは、複数の WebSphere Application Server セルからの LTPA 鍵の管理を参照してください。
- セキュリティーを使用可能にした場合は、シングル・サインオン (SSO) も使用可能にできます。
参照:
- 新しい鍵セットを生成したり、インポートした場合は、パネル上部の「保存」をクリックし、必ずマスター構成に鍵を保存してください。
LTPA 認証は時刻に依存したトークンを使用するため、時刻、日付および時間帯が、
その保護ドメインに参加しているすべての製品サーバー間で同期していることを確認してください。
時刻、日付、および時間帯の変更は、WebSphere Application Server から独立して実行されます。サーバー間の
クロック・スキューが大きすぎると、LTPA トークンは実際よりも早く有効期限が切れたかのように
認識されてしまい、これが認証や妥当性検査の失敗の原因になります。