SPNEGO TAI を使用した HTTP 要求のシングル・サインオンの作成 (非推奨)

WebSphere® Application Server の Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・アソシエーション・インターセプター (TAI) を 使用して HTTP リクエストのシングル・サインオンを作成するには、個別の、しかし互いに関連のある いくつかの機能を実行する必要があります。これが完了すると、HTTP ユーザーは、 デスクトップで一度ログインおよび認証するだけで、WebSphere Application Server からの自動認証を 受けられるようになります。

始める前に

非推奨の機能 (Deprecated feature) 非推奨の機能 (Deprecated feature):

WebSphere Application Server バージョン 6.1 では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されたリソースへの HTTP 要求を安全にネゴシエーションし、認証する、トラスト・アソシエーション・インターセプター (TAI) が導入されています。 WebSphere Application Server 7.0 では、この機能は非推奨になりました。SPNEGO フィルターの動的再ロードを提供し、アプリケーション・ログイン方式へのフォールバックを可能にするために、SPNEGO Web 認証が用意されています。

depfeat

このタスクを開始する前に、次のチェックリストを確認してください。

  • [Windows]Active Directory ドメイン・コントローラーおよび関連する Kerberos 鍵配布センター (KDC) が稼働している Microsoft Windows Server。
  • [Windows]IETF RFC 2478 で定義されている SPNEGO 認証メカニズムをサポートする Microsoft Windows のドメイン・メンバー (クライアント)。例えば、ブラウザーまたは Microsoft .NET クライアント。Microsoft Internet Explorer バージョン 5.5 以降 および Mozilla Firefox バージョン 1.0 は、このようなクライアントの条件を満たしています。
    重要: 稼働中のドメイン・コントローラーと、そのドメイン内に少なくとも 1 つのクライアント・マシンがあること。 ドメイン・コントローラーからの直接の SPNEGO の使用は、サポートされていません。
  • ドメイン・メンバーに、そのドメインにログオンできるユーザーが含まれていること。具体的には、以下を含む Microsoft Windows Active Directory ドメインが機能している必要があります。
    • ドメイン・コントローラー
    • クライアント・ワークステーション
    • クライアント・ワークステーションにログインできるユーザー
  • WebSphere Application Server が稼働し、アプリケーション・セキュリティーが有効になっているサーバー・プラットフォーム。
  • Active Directory 上のユーザーが、WebSphere Application Server 固有の 認証メカニズムを使用して WebSphere Application Server 保護リソースにアクセスできること。
  • ドメイン・コントローラーと WebSphere Application Server のホストの地方時が 同じになっていること。
  • クライアント、Microsoft Active Directory、および WebSphere Application Server のクロックが 5 分以内に同期されていること。
  • クライアント・ブラウザーの SPNEGO が有効になっていること。これは、 クライアント・アプリケーション・マシンで実行します (詳しくは、このタスクのステップ 2 を 参照)。

このタスクについて

このマシン調整の目的は、ユーザーが 再認証を受けなくても WebSphere Application Server リソースに正常にアクセスできるようにすること、 すなわち Microsoft Windows デスクトップのシングル・サインオン機能を 有効にすることです。

この環境のメンバーを、 Microsoft Windows シングル・サインオンを設定するように構成するには、次の 3 種類のマシンでそれぞれ固有のアクティビティーを実行する必要があります。
  • Active Directory ドメイン・コントローラーおよび関連する Kerberos 鍵配布センター (KDC) が稼働している Microsoft Windows Server。
  • ブラウザーや Microsoft .NET クライアントなどの、Microsoft Windows ドメイン・メンバー (クライアント・アプリケーション)。
  • WebSphere Application Server が稼働しているサーバー・プラットフォーム。

SPNEGO を使用して HTTP 要求のシングル・サインオンを作成するには、 該当するマシンで以下のステップを実行します。

手順

  1. ドメイン・コントローラー・マシン - Active Directory ドメイン・コントローラーおよび関連する Kerberos 鍵配布センター (KDC) が稼働している Microsoft Windows Server を構成します。 この構成アクティビティーの手順は次のとおりです。
    • Microsoft Active Directory に WebSphere Application Server のユーザー・アカウントを作成します。 このアカウントは、最終的には Kerberos サービス・プリンシパル名 (SPN) に マップされます。
    • Kerberos 鍵配布センター (KDC) がアクティブである Microsoft Active Directory マシンで、 そのユーザー・アカウントを Kerberos サービス・プリンシパル名 (SPN) に マップします。 このユーザー・アカウントは、WebSphere Application Server を、KDC を使用した Kerberos 認証をサポートしているサービスとして表します。 setspn コマンドを使用して、Kerberos サービス・プリンシパル名を、 Microsoft ユーザー・アカウントにマップします。 setspn コマンドの使用について詳しくは、 トピック WebSphere Application Server SPNEGO TAI で使用する Kerberos サービス・プリンシパルと キータブ・ファイルの作成 (非推奨)で説明しています。
    • Kerberos キータブ・ファイルを作成し、WebSphere Application Server で使用できるようにします。 ktpass ツールを使用して、Kerberos キータブ・ファイル (krb5.keytab) を作成します。ktpass コマンドを 使用してキータブ・ファイルを作成する方法について詳しくは、トピック WebSphere Application Server SPNEGO TAI で使用する Kerberos サービス・プリンシパルと キータブ・ファイルの作成 (非推奨)で 説明しています。
      注: krb5.keytab ファイルを ドメイン・コントローラー (LDAP マシン) から WebSphere Application Server マシンに コピーすると、WebSphere Application Server でキー・タブ・ファイルを 使用できるようになります。 詳しくは 、Kerberos キータブ・ファイルを管理するための ktab コマンドの使用 を参照してください。
    重要: ドメイン・コントローラー操作を行うと、 以下の結果が得られます。
    • ユーザー・アカウントが Microsoft Active Directory に作成され、 Kerberos サービス・プリンシパル名にマップされます。
    • Kerberos キータブ・ファイル (krb5.keytab) が作成され、 WebSphere Application Server で使用可能になります。 Kerberos キータブ・ファイルには、 Microsoft Active Directory でユーザーを認証するために WebSphere Application Server が 使用する Kerberos サービス・プリンシパル鍵と、Kerberos アカウントが含まれています。
  2. クライアント・アプリケーション・マシン - クライアント・アプリケーションを構成します。 クライアント・サイドのアプリケーションは、SPNEGO TAI が使用する SPNEGO トークンの生成を担当します。 この構成プロセスを開始するには、SPNEGO 認証を使用するように Web ブラウザーを 構成します。ブラウザーで必要な手順について詳しくは、SPNEGO TAI を使用するためのクライアント・ブラウザーの構成 (非推奨)を参照してください。
  3. WebSphere Application Server マシン - 以下のタスクを実行して、 Application Server および関連のある SPNEGO TAI を構成し、 使用可能にします。
  4. オプション: リモート HTTP サーバーの使用 - リモート・サーバーを使用するには、以下の手順を完了する必要があります。 この手順は、JVM プロパティーを既に構成し、SPNEGO TAI が定義される Application Server で SPNEGO TAI を有効にしていること (前の 3 つの手順で説明したように) を想定しています。
    1. リモート・プロキシー・サーバーに関しては、WebSphere Application Server SPNEGO TAI で使用する Kerberos サービス・プリンシパルと キータブ・ファイルの作成 (非推奨)のステップに従います。
    2. ステップ 1 で作成した以前のキータブ・ファイルをステップ 4a で作成したキータブ・ファイルとマージします。詳しくは、Kerberos キータブ・ファイルを管理するための ktab コマンドの使用を参照してください。
    3. addSpnegoTAIProperties wsadmin コマンド・タスクを使用してリモート・プロキシー・サーバー用の SPN を作成します。詳しくは、AdminTask オブジェクトの SpnegoTAICommands コマンド・グループ (非推奨)を参照してください。
    4. WebSphere Application Server を再始動します。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_tai
ファイル名:tsec_SPNEGO_tai.html