LTPA

このページを使用して、共有鍵を指定し、サーバー間の情報の交換に使用される認証メカニズムを構成します。 またこのページは、認証情報の有効期間の指定、およびシングル・サインオン構成の指定にも使用します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。
  2. 「認証」の下の「LTPA」をクリックします。
このページのプロパティーを構成した後、以下のステップを実行します。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」をクリックします。
  2. 「使用可能なレルム定義(Available realm definitions)」で、適切なレジストリーが構成されていることを確認します。
  3. 「適用」をクリックします。セキュリティーが使用可能になっていて、これらのプロパティーのいずれかを変更した場合は、 「グローバル・セキュリティー」パネルに戻り、「適用」をクリックして変更を有効にします。

鍵セット・グループ

秘密鍵、公開鍵、共有鍵のグループを指定します。 これらの鍵グループにより、アプリケーション・サーバーが Lightweight Third Party Authentication (LTPA) 鍵の複数のセットを 管理できるようになります。

鍵の生成

構成済みの鍵ストアに新規の LTPA 鍵セットを生成するかどうか、また新規の鍵を使ってランタイムを更新するかどうかを指定します。 デフォルトでは、LTPA 鍵は 90 日ごとのスケジュールで再生成され、曜日に対して構成可能となります。

新規の各 LTPA 鍵のセットは、鍵セット・グループに関連づけられた鍵ストアに保管されます。 鍵の最大数を (1 の場合でも) 構成することができます。 しかし、少なくとも 2 つの鍵を持っておくことを推奨します。 新しい鍵が配布される一方で、古い鍵を妥当性検査に使用することができるからです。

このステップは、セキュリティーを使用可能にしている間は必要ありません。 デフォルトの鍵セットは、最初にサーバーを始動する際に作成されます。 鍵生成イベントの間にダウンしているノードがある場合は、再始動の前にデプロイメント・マネージャーでそのノードを同期化する必要があります。

サーバー間で転送されたクレデンシャルの LTPA タイムアウト値

他のサーバーからのサーバー・クレデンシャルが有効な期間を指定します。この有効期限が切れると、他のサーバーからのサーバー・クレデンシャルは再度検査される必要があります。

「認証キャッシュ設定」パネルで、「キャッシュ・タイムアウト」フィールドに指定された値より大きい値をこのフィールドに指定します。

通知
データ型 整数
単位 分および秒
デフォルト 120 分
範囲: 5 から 153722867280911 までの整数。

Password

SSO プロパティー・ファイルから LTPA 鍵を暗号化および暗号化解除するために使用するパスワードを入力します。インポートの間、このパスワードは他の LTPA サーバー (例えば、他のアプリケーション・サーバー・セル、Lotus® Domino Server など) で鍵をエクスポートするのに使用するパスワードと一致する必要があります。 インポート操作で指定するときのために、エクスポートの間にこのパスワードを覚えておくようにしてください。

これらの鍵は、生成またはインポートされると、 LTPA トークンの暗号化および暗号化解除に使用されるようになります。 パスワードが変更された場合、「OK」または「適用」をクリックすると、 新しい LTPA 鍵のセットが自動的に生成されます。 この新規の鍵セットは、構成変更の保存後に使用されます。

通知
データ型 ストリング

確認パスワード

LTPA 鍵を暗号化および暗号化解除するために使用する、確認済みパスワードを指定します。

このパスワードは、他のアプリケーション・サーバーの管理可能ドメイン構成にこれらの鍵をインポートしたり、Lotus Domino® Server のための SSO を構成したりする際に使用します。

通知
データ型 ストリング

完全修飾鍵ファイル名

鍵をインポートまたはエクスポートするときに使用されるファイルの名前を指定します。

完全修飾された鍵ファイル名を入力し、 「鍵のインポート」または「鍵のエクスポート」をクリックしてください。

通知
データ型 ストリング

鍵のインポート

サーバーが新規 LTPA 鍵をインポートするかどうかを指定します。

アプリケーション・サーバー製品で複数のアプリケーション・サーバー・ドメイン (セル) に及ぶ シングル・サインオン (SSO) をサポートするには、それらのドメイン間で LTPA 鍵とパスワードを共有してください。「鍵のインポート」オプションを使用すると、他のドメインから LTPA 鍵をインポートすることができます。 LTPA 鍵は、いずれかのセルからファイルにエクスポートされます。 新しい LTPA 鍵のセットをインポートするには、以下のステップを実行します。
  1. 「パスワード」および「確認パスワード」フィールドに、該当のパスワードを入力します。
  2. 「完全修飾鍵ファイル名」フィールドに、LTPA 鍵が配置されているディレクトリー・ロケーションを入力してから、「鍵のインポート」をクリックします。
  3. OK」または「適用」はクリックしないで、設定を保存してください。

鍵のエクスポート

サーバーが LTPA 鍵をエクスポートするかどうかを指定します。

WebSphere® 製品で複数のアプリケーション・サーバー・ドメイン (セル) に及ぶ シングル・サインオン (SSO) をサポートするには、それらのドメイン間で LTPA 鍵とパスワードを共有してください。「鍵のエクスポート」オプションを使用すれば、LTPA 鍵を他のドメインにエクスポートできます。

LTPA 鍵をエクスポートするためには、システムがセキュリティーを有効にして、 LTPA を使用して実行されていることを確認してください。 「完全修飾鍵ファイル名」フィールドにファイル名を入力し、「鍵のエクスポート」をクリックしてください。指定されたファイルに暗号化された鍵が保管されます。

注: エクスポートされた鍵ファイルが他のサード・パーティー製セキュリティー・プロバイダー (Webseal や Datapower など) に提供されることがよくあります。これらの製品は、 鍵ファイルに入って提供される情報を使用して、シングル・サインオン (SSO) LTPATokens(2) トークンを作成します。エクスポートされた鍵ファイルには、com.ibm.websphere.ltpa.Realm プロパティーが含まれています。 レルム設定は、デフォルトでは、常にグローバル・レルムまたは管理レルムです。複数のセキュリティー・ドメインを使用していて、それらの複数のセキュリティー・ドメインの 1 つにあるアプリケーションを鍵ファイルが表すようにしたい場合は、これらの製品に鍵ファイルを提供する前に、 この鍵ファイル・プロパティーを手動で更新して正しい複数セキュリティー・ドメイン・レルムを指定する必要があります。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_authmechandexpire
ファイル名:usec_authmechandexpire.html