WebSphere Application Server 用の認証メカニズムとしての Kerberos のセットアップ

Kerberos を WebSphere® Application Server 用の認証メカニズムとしてセットアップするためには、この手順を実行する必要があります。

このタスクについて

注: Kerberos 認証メカニズムは、サーバー・サイドではシステム管理者が実行し、Java™ クライアント・サイドではエンド・ユーザーが実行する必要があります。Kerberos キータブ・ファイルを保護する必要があります。

最初に、KDC が構成されていることを確認する必要があります。詳しくは、Kerberos の管理者およびユーザーのガイドを参照してください。

[z/OS]z/OS® 上で KDC を構成するには、RACF® で APPL クラスをアクティブにする必要があります。 このアクションには、WebSphere のために定義されている APPL クラス・プロファイルを使用可能にする効果がありますが、WebSphere 上で実行されているアプリケーションにアクセスするための、認証済みユーザーの能力が制限される場合があります。 セキュリティー構成で、SAF プロファイル・プレフィックスが使用されている場合、プロファイル名は、SAF プロファイル・プレフィックスです。 それ以外の場合、プロファイル名は CBS390 です。 WebSphere 認証があるか APPL プロファイルを検査するかどうかを制御するには、管理コンソールの SAF 許可パネルで、「APPL プロファイルを使用してサーバーへのアクセスを制限する (Use APPL profile to restrict access to the server)」というラベルの付いたチェック・ボックスを構成します。この設定は、WebSphere セキュリティー・ドメイン・レベルで構成できます。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): z/OS KDC の envar ファイルを構成する場合は、SKDC_TKT_ENCTYPES 環境変数で暗号化タイプを最もセキュアなものから最もセキュアでないものの順序で並べてください。z/OS KDC は、リストの最初にある暗号化タイプを左から右に使用します。gotcha

Kerberos を WebSphere Application Server 用の認証メカニズムとしてセットアップするには、以下のステップを実行する必要があります。

手順

  1. Kerberos サービス・プリンシパル名とキータブ・ファイルを作成します。
    1. Kerberos サービス・プリンシパル名およびキータブ・ファイルは、Microsoft Windows、iSeries、Linux、 Solaris、Massachusetts Institute of Technology (MIT)、および z/OS オペレーティング・システムの鍵配布センター (KDC) を使用している場合に作成できます。 Kerberos では、サーバーとサービスがホスト・ベースのサービス ID を持っていることが望まれます。この ID のフォーマットは <service name>/<完全修飾ホスト名> です。デフォルトのサービス名 (service name) は WAS です。Kerberos 認証の場合は、KDC で許可されている任意のストリングをサービス名にできます。ただし、SPNEGO Web 認証の場合のサービス名は、HTTP にする必要があります。WebSphere Application Server ID の例は WAS/myhost.austin.ibm.com です。

      各ホストは、ホスト名に固有のサーバー ID を持つ必要があります。同一のノード上のすべてのプロセスは、同一のホスト・ベースのサービス ID を共有します。

      Kerberos 管理者は、WebSphere セル内のノードごとに Kerberos サービス・プリンシパル名 (SPN) を作成します。例えば、3 つのノード (server1.austin.ibm.comserver2.austin.ibm.com、および server3.austin.ibm.com など) を持つセルの場合、Kerberos 管理者は、WAS/server1.austin.ibm.comWAS/server2.austin.ibm.com、および WAS/server3.austin.ibm.com という Kerberos プリンシパルを作成する必要があります。

      Kerberos キータブ・ファイル krb5.keytab には、ノードのすべての SPN が含まれているので、このファイルを保護する必要があります。このファイルは config/cells/<cell_name> ディレクトリーに配置できます。

      詳しくは、Kerberos プリンシパルとキータブの作成に関する項目を参照してください。

  2. Kerberos 構成ファイルを作成します。
    1. Java Generic Security Service (JGSS) および KRB5 の IBM® 実装では、各ノードまたは Java 仮想マシン (JVM) に Kerberos 構成ファイル krb5.conf または krb5.ini が必要です。このリリースの WebSphere Application Server では、すべてのアプリケーション・サーバーがこの構成ファイルにアクセスできるよう、このファイルを config/cells/<cell_name> ディレクトリーに配置する必要があります。Kerberos 構成ファイルがない場合は、wsadmin コマンドを使用してファイルを作成します。 詳しくは、『Kerberos 構成ファイルの作成』の項目を参照してください。
  3. 管理コンソールを使用して、WebSphere Application Sever 用の認証メカニズムとして Kerberos を構成します。
    1. 管理コンソールを使用して、アプリケーション・サーバー用の認証メカニズムとして Kerberos を構成します。必要な情報を入力し、構成に適用すると、 Kerberos サービス・プリンシパル名は <service name>/<fully qualified hostname>@KerberosRealm として形成され、 着信 Kerberos トークン要求の検査に使用されます。 詳しくは、『管理コンソールを使用した認証メカニズムとしての Kerberos の構成』項目を参照してください。
  4. クライアントの Kerberos プリンシパル名を WebSphere ユーザー・レジストリー ID にマップします。
    1. クライアントの Kerberos プリンシパル名は、Simple and Protected GSS-API Negotiation (SPNEGO) Web 認証と Kerberos 認証の両方で、WebSphere ユーザー・レジストリー ID へマップできます。 詳しくは、『WebSphere ユーザー・レジストリー ID へのクライアント Kerberos プリンシパル名のマッピング』の項目を参照してください。

      [z/OS]オプションで、Kerberos プリンシパルを z/OS 上の System Authorization Facility (SAF) ID にマップすることができます。

      [z/OS]WebSphere Application Server 管理コンソールの Kerberos パネルで「SAF ユーザー・プロファイルの KERB セグメントを使用する」ラジオ・ボタンを選択する場合、 特定の Kerberos プリンシパルにマップされるローカル OS ユーザーが必要です。詳しくは、Kerberos プリンシパルの z/OS 上の System Authorization Facility (SAF) ID へのマッピングを参照してください。

  5. ピュア Java クライアント用の認証メカニズムとして Kerberos をセットアップします (オプション)。
    1. Java クライアントは、Kerberos プリンシパル名とパスワード、または Kerberos 資格情報キャッシュ (krb5Ccache) を使用して、WebSphere Application Server で認証できます。 詳しくは、『Kerberos 認証用 Java クライアントの構成』の項目を参照してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_setup
ファイル名:tsec_kerb_setup.html