Kerberos キータブ・ファイルを管理するための ktab コマンドの使用

Kerberos キー・テーブル・マネージャー・コマンド (Ktab) を使用すると、製品管理者は、ローカルの Kerberos キータブ・ファイルに保管されている Kerberos サービス・プリンシパル名と鍵を管理できます。 IBM Software Development Kit (SDK) または Sun Java Development Kit (JDK) 1.6 以降では、ktab コマンドを使用して 2 つの Kerberos キータブ・ファイルをマージすることができます。

[Solaris]これらのキータブ・ファイルをマージするには、Java Development Kit (JDK) バージョン 1.6 SR3 累積修正をインストールする必要があります。これにより、JDK はバージョン 1.6.0_07 にアップグレードされます。

[HP-UX]これらのキータブ・ファイルをマージするには、Software Development Kit (SDK) バージョン 1.6 SR3 累積修正をインストールする必要があります。これにより、JDK はバージョン 1.6.0.02 にアップグレードされます。

[AIX][Windows][Linux]これらのキータブ・ファイルをマージするには、Java Development Kit (JDK) バージョン 1.6 SR3 累積修正をインストールする必要があります。これにより、SDK はバージョン 1.6.0 Java Technology Edition SR3 にアップグレードされます。

Kerberos キータブ・ファイルにリストされている Kerberos サービス・プリンシパル名 (SPN) およびキーを使用すると、ホスト上で実行されているサービスで、着信 Kerberos または SPNEGO トークン要求を検証できます。 WebSphere® Application Server 管理者は、Kerberos または SPNEGO Web 認証を構成する前に、WebSphere Application Server が実行されているホスト上で Kerberos キータブ・ファイルをセットアップする必要があります。
非推奨の機能 (Deprecated feature) 非推奨の機能 (Deprecated feature):

WebSphere Application Server バージョン 6.1 では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されたリソースへの HTTP 要求を安全にネゴシエーションし、認証する、トラスト・アソシエーション・インターセプター (TAI) が導入されています。 WebSphere Application Server バージョン 7.0 では、この機能は現在推奨されていません。

代わりに SPNEGO Web 認証が導入され、以下の機能拡張が提供されるようになりました。

  • 管理コンソールを使用して、WebSphere Application Server 側で SPNEGO Web 認証およびフィルターを構成したり使用可能にすることができます。
  • WebSphere Application Server を停止して再始動することなく、SPNEGO を動的に再ロードできます。
  • SPNEGO Web 認証が失敗した場合に、アプリケーション・ログイン・メソッドへのフォールバックが可能です。
depfeat
重要:
  • キータブ・ファイルを保護し、それらを読み取り可能にするのは、許可されたプロダクト・ユーザーだけであることが重要です。
  • Ktab を使用した Kerberos キータブ・ファイルの更新は、Kerberos データベースに影響を与えません。 Kerberos キータブ・ファイルの鍵を変更した場合は、対応する変更を Kerberos データベースに対しても行う必要があります。
Ktab に -help オペランドを指定して使用すると、Ktab の構文が以下のように表示されます。
$ ktab -help

Usage: java com.ibm.security.krb5.internal.tools.Ktab [options]
Available options:
-l                              list the keytab name and entries
-a <principal_name> [password]  add an entry to the keytab
-d <principal_name>             delete an entry from the keytab
-k <keytab_name>                specify keytab name and path with FILE: prefix
-m <source_keytab_name> <destination_keytab_name>      specify merging source keytab file name and destination keytab file name
Ktab を使用して krb5Host1.keytab ファイルを krb5.keytab ファイルにマージする方法を以下の例で示します。
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Merging keytab files:   source=krb5Host1.keytab   destination=krb5.keytab
Done!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
Ktab を LINUX プラットフォーム上で使用して、新しいプリンシパル名を Kerberos キータブ・ファイルに追加する方法を、以下の例で示します。ここで、ot56prod は Kerberos プリンシパル名のパスワードです。
[root@wssecjibe bin]# ./ktab -a	
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Done!
Service key for principal HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM saved

Ktab を Windows プラットフォーム上で使用して、Kerberos キータブ・ファイルの内容をリストする方法を以下の例で示します。
[root@wssecjibe bin]# ./ktab

        KVNO    Principal
        ----    ---------

        1       HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM

[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf
/etc/krb5.keytab
[AIX Solaris HP-UX Linux Windows]ヒント: ktab コマンドは install_root/java/jre/bin ディレクトリーから実行できます。
[z/OS]ヒント: ktab コマンドは、install_root/java/J5.0/bin ディレクトリーまたは install_root/java64/J5.0_64/bin ディレクトリーから実行できます。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_kerb
ファイル名:rsec_SPNEGO_kerb.html