Kerberos で認証するためのアプリケーション・サーバーと DB2 の構成

Kerberos 認証メカニズムは、WebSphere® Application Server と DB2 サーバーの両方が Kerberos 認証用に構成されている場合に、使用される可能性があります。 Kerberos 認証は、相互運用可能なシングル・サインオン (SSO) によるエンドツーエンドのソリューションを提供し、元の要求側 ID を保持します。

始める前に

アプリケーション・サーバーでは、DB2 データ・ソースとアプリケーション・サーバーが、アプリケーションによるデータベース・アクセス用にエンドツーエンドで委任された Kerberos クレデンシャルを使用して相互運用するように、DB2 データ・ソース、アプリケーション・サーバー、およびアプリケーションを構成することができます。 このトピックでオプション 1 として説明しているように、アプリケーション・サーバーから委任されたクレデンシャルを使用して DB2 Kerberos 認証を利用するには、DB2 とアプリケーション・サーバーの両方を、認証メカニズムとして Kerberos を使用するように構成する必要があります。 このバージョンのアプリケーション・サーバーで認証メカニズムとして Kerberos をセットアップする方法については、『セキュリティーのための Kerberos (KRB5) 認証メカニズムのサポート』トピックを参照してください。

アプリケーション・サーバーの XARecovery 機能および TestConnection 機能は、委任された Kerberos クレデンシャルをデータ・ソースに提供することができません。 アプリケーション・サーバーのセキュリティー・コンポーネントが、委任された Kerberos クレデンシャルを、指定された接続要求用に提供できないシチュエーションは、他にもあります。 こうした事例に対処するには、このトピックでオプション 2 として説明している Kerberos 認証を使用した DB2 接続を構成します。 このオプションでは、ドライバーが独自の Kerberos クレデンシャルを獲得するために使用する JDBC ドライバーに、ユーザー ID とパスワードを提供する必要があります。 このオプションを使用するには、アプリケーション・サーバー上で J2C 認証データの別名を構成する必要があります。この別名により、DB2 JDBC ドライバーが Kerberos Ticket Granting Ticket (TGT) を要求するために使用するユーザー ID とパスワードが定義されます。 TGT は、DB2 サーバーへの Kerberos 認証に使用されます。 アプリケーション・サーバーからは、これはユーザー ID とパスワードを使用した標準的な認証のように見えます。

Kerberos 認証をサポートし、タイプ 4 モードで稼働している DB2 JDBC ドライバーを使用する必要があります。サポートされている JDBC ドライバーは、以下のとおりです。
  • JDBC および SQLJ 用の IBM Data Server Driver (アプリケーション・サーバーでは、IBM JCC Driver を使用する DB2 として識別されます)
  • IBM DB2 JDBC Universal Driver Architecture (アプリケーション・サーバーでは、DB2 Universal JDBC Driver Provider として識別されます)

このタスクについて

Kerberos を使用して認証を行うようにアプリケーション・サーバーと DB2 を構成するには、以下のステップを実行します。

手順

  1. Kerberos 認証用に DB2 サーバーを構成します。 DB2 インフォメーション・センターにある DB2 Kerberos セキュリティー資料の『Kerberos 認証についての詳細』トピックなどを参照してください。 IBM developerWorks Web サイトにある『DB2 UDB Security, Part 6』も役に立ちます。 DB2 Kerberos 認証が動作していることを確認します。
  2. Kerberos セキュリティーを使用するようにアプリケーション・サーバーを構成します。 『管理コンソールを使用した認証メカニズムとしての Kerberos の構成』トピックを参照してください。 アプリケーション・サーバーの Kerberos 認証が動作していることを確認します。
  3. Kerberos 認証を使用するように、アプリケーション・サーバー内の DB2 データ・ソースを構成します。 これを行うには、2 つの方法があります。 1 つは、JDBC ドライバーに Kerberos クレデンシャルとパスワード・クレデンシャルを渡すように、アプリケーション・サーバー内のリソース・アダプターを構成する方法で、もう 1 つは、DB2 サーバーへの接続時に Kerberos 認証を使用するように、JDBC ドライバーを構成する方法です。 これらのステップの実行について詳しくは、『管理コンソールを使用したデータ・ソースの構成』トピックを参照してください。
    表 1. カスタム・プロパティーと値. DB2 データ・ソースを構成する際には、セキュリティー設定とカスタム・プロパティーに特に注意する必要があります。
    名前
    kerberosServerPrincipal
    注: このプロパティーは、(DB2 for LUW、v8 FP11 の時点では) z/OS プラットフォーム上で稼働している DB2 サーバーに接続する場合を除き、オプションです。

    user@REALM

    または

    service_name/hostname@REALM

    SecurityMechanism
    注: このプロパティーの値が 11 の場合、これは、JDBC ドライバーが DB2 サーバーに接続するときに Kerberos 認証を使用する必要があることを示しています。
    11
    1. オプション 2 の場合には、「マッピング構成別名」を「DefaultPrincipalMapping」に構成するか、GSSCredentials を生成しない別のログイン構成にして、「コンテナー管理認証別名」を、別名を参照して JDBC ドライバーによる Kerberos ログインに使用するように設定する必要があります。 testConnection 機能も、コンポーネント管理認証別名が構成されていない場合には、この別名を使用します。
    2. オプション 1 の委任された Kerberos クレデンシャルの場合には、「マッピング構成別名」を「KerberosMapping」に構成します。 これは、アプリケーション・サーバー内のリソース・アダプターが、委任されたクレデンシャルを DB2 JDBC ドライバーに提供する必要があることを示します。 testConnection 機能および XA トランザクション・リカバリー機能は、委任された Kerberos クレデンシャルを提供することはできませんが、オプション 2 の認証に戻すことは可能です。 こうした機能が必要ない場合は、それぞれの認証別名に対して、none を選択します。testConnection を使用していて、有効な認証別名が構成されている場合は、通知メッセージ DSRA8221I がログに記録されます。 このメッセージは、testConnection が Kerberos クレデンシャルを提供できないことを示します。 別名が構成されていない場合、testConnection は、JDBC ドライバーによってレポートされる無効な Kerberos クレデンシャルが原因のエラーによって失敗します。
      重要: KerberosMapping が構成されているにもかかわらず、セキュリティー・コンポーネントが特定の接続要求に対して Kerberos クレデンシャルを提供できない場合は、リソース・アダプターを構成して、Default Principle Mapping を使用した接続認証に戻すことができます。 このフォールバックを構成するには、コンテナー管理認証別名のリストから別名を選択してください。 このフォールバックを無効にするには、コンテナー管理認証別名のリストから none を選択してください。
  4. Kerberos マッピング (オプション 1) を使用可能にするには、コンテナー管理認証も指定する必要があります。コンテナー管理認証を指定するには、アプリケーションがリソース参照を使用してデータ・ソースを検索する必要があります。 リソース参照では、ログイン構成として KerberosMapping を指定する必要があります。 ログイン構成がリソース参照に指定され、続いてそのリソース参照を介してアプリケーション・アクセスに指定された場合、指定されたログイン構成は、データ・ソースで指定されたマッピング構成別名の値よりも優先されます。コンテナー管理認証別名は、リソース参照でも指定できます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_db2kerberos
ファイル名:tdat_db2kerberos.html