Kerberos 認証設定
このページを使用して、 アプリケーション・サーバーの認証メカニズムとして Kerberos を構成および検査します。
必要な情報を入力して構成に適用すると、 サーバーのプリンシパル名がサービス名、レルム名、およびホスト名から作成され、 Kerberos サービスに対する認証の自動的な検査に使用されます。
構成された Kerberos は、プライマリー認証メカニズムとなります。 アプリケーションの詳細パネルのリソース参照リンクにアクセスし、 Enterprise JavaBeans (EJB) 認証をリソースに対して構成します。
この管理コンソール・ページを表示するには、Kerberos 構成」をクリックします。
とクリックします。 「認証」の下の「org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure, unspecified at GSSAPI level minor string: Cannot get credential for principal service WAS/test@AUSTIN.IBM.COM上記の例外の例では、完全修飾ホスト名が指定されていません。これが失敗の原因です。 このような失敗が発生する場合、システムのホスト名が通常、ドメイン・ネーム・サーバー (DNS) からではなく、/etc/hosts ファイルから取得されています。 UNIX または Linux システムで、 /etc/nsswitch.conf ファイルの「hosts:」行に、DNS の前に hosts ファイルを使用するように構成されている場合、 hosts ファイルに含まれるシステム・エントリーが完全修飾ホスト名でないと、 Kerberos 構成は失敗します。
Kerberos レルム名 (Kerberos realm name)
Kerberos レルムの名前を指定します。ほとんどの場合、レルムはドメイン・ネームを大文字にしたものです。例えば、 ドメイン名が test.austin.ibm.com のマシンの Kerberos レルム名は、通常は AUSTIN.IBM.COM です。
レルム名を使用するコンポーネントは 2 つあります。 Java™ Generic Security Service (JGSS) コンポーネントの IBM® 実装では、krb5.conf ファイルからレルム名を取得します。 WebSphere® Application Server でもレルム名を保持し、このレルム名は通常 JGSS で使用するものと同じです。Kerberos レルム名フィールドをブランクのままにすると、WebSphere Application Server はレルム名を JGSS から継承します。
WebSphere Application Server で別のレルム名を使用する場合は、Kerberos レルム名フィールドで名前を変更することができます。ただし、管理コンソールでレルム名を変更すると、WebSphere Application Server のレルム名のみが変更されることに注意してください。
通知 | 値 |
---|---|
データ型: | ストリング |
Kerberos サービス名 (Kerberos service name)
規約により、Kerberos サービス・プリンシパルは 3 つの 部分 (プライマリー、インスタンス、および Kerberos レルム名) に分かれています。Kerberos サービス・プリンシパル名の形式は、service/<fully qualified hostname>@KERBEROS_REALM.service_name です。 サービス名は、Kerberos サービス・プリンシパル名の最初の部分です。例えば、WAS/test.austin.ibm.com@AUSTIN.IBM.COM では、 サービス名は WAS です。
通知 | 値 |
---|---|
データ型: | ストリング |
絶対パス付き Kerberos 構成ファイル (Kerberos configuration file with full path)
Kerberos 構成ファイル krb5.conf または krb5.ini には、関心のあるレルム用の鍵配布センター (KDC) のロケーションなどのクライアント構成情報が含まれます。krb5.conf ファイルは Windows オペレーティング・システム以外のすべてのプラットフォームで使用され、krb5.ini ファイルは Windows で使用されます。
通知 | 値 |
---|---|
データ型: | ストリング |
絶対パス付き Kerberos キータブ・ファイル名 (Kerberos keytab file name with full path)
絶対パス付き Kerberos キータブ・ファイル名を指定します。 このファイルは「参照」をクリックして見つけることができます。このフィールドが空の場合は、Kerberos 構成ファイルに 指定されているキータブ・ファイル名が使用されます。
通知 | 値 |
---|---|
データ型: | ストリング |
プリンシパル名からの Kerberos レルムの切り取り (Trim Kerberos realm from principal name)
Kerberos が、Kerberos レルム名に先行する、「@」で始まるプリンシパル・ユーザー名の サフィックスを除去するかどうかを指定します。この属性が true に設定されている場合、プリンシパル・ユーザー名のサフィックスは除去されます。 この属性が false に設定されている場合、 プリンシパル名のサフィックスは保持されます。使用されるデフォルト値は true です。
通知 | 値 |
---|---|
デフォルト: | 使用可能 |
Kerberos クレデンシャルの代行を有効にする (Enable delegation of Kerberos credentials)
Kerberos 委任クレデンシャルが、Kerberos 認証によってサブジェクト内に保管されるかどうかを指定します。
また、このオプションを使用すると、アプリケーションは保管されたクレデンシャルを取得して、Kerberos クライアントからのクレデンシャルによる追加の Kerberos 認証のために、取得したクレデンシャルを他のダウンストリームのアプリケーションに伝搬させることができます。
このパラメーターが boolean: no で、ランタイムがクライアントの GSS 代行クレデンシャルを抽出できない場合、警告メッセージがログに記録されます。
通知 | 値 |
---|---|
デフォルト: | 使用可能 |
![[z/OS]](../images/ngzos.gif)
Kerberos プリンシパル名から SAF ID へのマッピング
Kerberos プリンシパル名を z/OS® 上の SAF ID にマップするために 、組み込みマッピング・モジュールを使用するかどうかを指定します。このオプションは、アクティブなユーザー・レジストリーがローカル OS である場合にのみ適用されます。
![[z/OS]](../images/ngzos.gif)
![[z/OS]](../images/ngzos.gif)
- Kerberos プリンシパルから SAF ID へのマッピングに SAF プロファイルを使用しない
- Kerberos プリンシパル名が SAF ユーザーに既に一致しているためマッピングが必要ない場合、または
Java Authentication and Authorization Service
(JAAS) ログイン・モジュールがマッピングを実行するよう構成されている場合は、このオプションを選択します。
注: このボタンは、アクティブなユーザー・レジストリーがローカル OS で、プラットフォームが z/OS である場合にのみ表示されます。
- SAF ユーザー・プロファイルの KERB セグメントを使用する
- Kerberos プリンシパルが SAF ユーザーの KERB セグメント内に指定されている場合に、Kerberos プリンシパルをその SAF ユーザーへマップするには、このオプションを選択してください。選択された場合、セキュリティー・カスタム・プロパティー
com.ibm.websphere.security.krb.useBuiltInMappingToSAF に true が設定されます。注: このボタンは、アクティブなユーザー・レジストリーがローカル OS で、プラットフォームが z/OS である場合にのみ表示されます。このオプションは、「プリンシパル名からの Kerberos レルムの除去」フィールドの設定内容に関係なく、完全な Kerberos プリンシパル名とKerberos レルムをマッピングに使用します。
- 分散 ID マッピングに SAF 製品の RACMAP プロファイルを使用する
- Kerberos プリンシパルおよび Kerberos レルムが SAF 製品の RACMAP プロファイル内に指定されている場合に、Kerberos プリンシパルをその SAF ユーザーへマップするには、このオプションを選択してください。このオプションを選択するには、SAF 製品が分散 ID マッピングをサポートしていなければなりません。
選択された場合、セキュリティー・カスタム・プロパティー
com.ibm.websphere.security.krb.useRACMAPMappingToSAF に true が設定されます。注: このボタンは、アクティブ・ユーザー・レジストリーがローカル OS で、セルが混合バージョンでなく、z/OS セキュリティー製品が SAF ID マッピングをサポートしている (RACF® の場合、これは、z/OS バージョン 1.11 以降を意味します) 場合にのみ表示されます。このオプションは、「プリンシパル名からの Kerberos レルムの除去」フィールドの設定内容に関係なく、完全な Kerberos プリンシパル名とKerberos レルムをマッピングに使用します。