Kerberos 構成ファイル
WebSphere® Application Server で Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) のトラスト・アソシエーション・インターセプター (TAI) を使用するには、Kerberos 構成プロパティー、 すなわち krb5.ini ファイルまたは krb5.conf ファイルを、 セル内のすべての WebSphere Application Server インスタンスに構成する必要があります。

オペレーティング・システム | デフォルト・ロケーション |
---|---|
Windows | c:¥winnt¥krb5.ini 注: krb5.ini ファイルが c:¥winnt ディレクトリーにない場合、c:¥windows ディレクトリーにあることがあります。
|
Linux | /etc/krb5.conf |
その他 UNIX ベース | /etc/krb5/krb5.conf |
z/OS | /etc/krb5/krb5.conf |
IBM i | /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf |
SPNEGO TAI の場合、デフォルトのロケーションと Kerberos 構成ファイル名を使用しない場合は、 java.security.krb5.conf JVM プロパティーを指定する必要があります。
デフォルトの Kerberos 構成ファイルは、Windows の場合は /winnt/krb5.ini で、分散環境の場合は /etc/krb5 です。別のロケーション・パスを指定する場合は、java.security.krb5.conf JVM プロパティーも指定する必要があります。
例えば、krb5.conf ファイルが /opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf で指定されている場合は、-Djava.security.krb5.conf=/opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf を指定する必要があります。
- Java™ プロパティー java.security.krb5.conf が参照しているファイル
- <java.home>/lib/security/krb5.conf
- Microsoft Windows プラットフォームの場合は c:¥winnt¥krb5.ini
- UNIX プラットフォームの場合は /etc/krb5/krb5.conf
- Linux プラットフォームの場合は /etc/krb5.conf
- WebSphere Application Server を始動します。
app_server_root/bin ディレクトリーから、wsadmin コマンドを実行して、コマンド行ユーティリティーを開始します。
Qshell コマンド行から app_server_root/bin ディレクトリーにある wsadmin コマンドを実行して、コマンド行ユーティリティーを開始します。
- wsadmin プロンプトで、次のコマンドを入力します。
$AdminTask createKrbConfigFile
このコマンドでは、以下のパラメーターを使用できます。表 2. コマンドのパラメーター. 次の表では、$AdminTask createKrbConfigFile コマンドのパラメーターについて説明します。 オプション 説明 <krbPath> このパラメーターは必須です。 このパラメーターは、Kerberos 構成ファイル (krb5.ini または krb5.conf) の完全修飾システム・ロケーションを提供します。 <realm> このパラメーターは必須です。 このパラメーターには、Kerberos レルム名を指定します。 この属性の値は、com.ibm.ws.security.spnego.SPNid.hostName プロパティーで指定されている各ホストの Kerberos サービス・プリンシパル名を構成するために、SPNEGO TAI によって使用されます。 <kdcHost> このパラメーターは必須です。 このパラメーターは、Kerberos 鍵配布センター (KDC) のホスト名を提供します。 <kdcPort> このパラメーターはオプションです。 このパラメーターは、KDC のポート番号を提供します。指定しない場合、デフォルト値は 88 です。 <dns> このパラメーターは必須です。 このパラメーターは、完全修飾ホスト名の作成に使用されるデフォルトのドメイン名サービス (DNS) を提供します。 <keytabPath> このパラメーターは必須です。 このパラメーターは、Kerberos キータブ・ファイルのファイル・システム・ロケーションを提供します。 <encryption> このパラメーターはオプションです。 このパラメーターは、サポートされている暗号化タイプをスペースで区切ったリストを示します。 指定された値は、default_tkt_enctypes および default_tgs_enctypes に使用されます。 このパラメーターが指定されていない場合のデフォルトの暗号タイプは des-cbc-md5 および rc4-hmac です。
以下の例では、wsadmin コマンドによって krb5.ini ファイルが c:¥winnt ディレクトリーに作成されます。 デフォルトの Kerberos キータブ・ファイルも c:¥winnt にあります。 実際の Kerberos レルム名は WSSEC.AUSTIN.IBM.COM で、KDC ホスト名は host1.austin.ibm.com です。
wsadmin>$AdminTask createKrbConfigFile {-krbPath
c:¥winnt¥krb5.ini -realm WSSEC.AUSTIN.IBM.COM -kdcHost host1.austin.ibm.com
-dns austin.ibm.com -keytabPath c:¥winnt¥krb5.keytab}
[libdefaults]
default_realm = WSSEC.AUSTIN.IBM.COM
default_keytab_name = FILE:c:¥winnt¥krb5.keytab
default_tkt_enctypes = des-cbc-md5 rc4-hmac
default_tgs_enctypes = des-cbc-md5 rc4-hmac
[realms]
WSSEC.AUSTIN.IBM.COM = {
kdc = host1.austin.ibm.com:88
default_domain = austin.ibm.com
}
[domain_realm]
.austin.ibm.com = WSSEC.AUSTIN.IBM.COM
Kerberos キータブ・ファイルには、ユーザー・パスワードに類似した鍵のリストが含まれています。ホストでは、Kerberos キータブ・ファイルをローカル・ディスクに保管することにより保護することが重要です。krb5.conf ファイルの許可は 644 でなければなりません。これは、このファイルの読み取りと書き込みが可能であることを意味します。ただし、このファイルが属するグループのメンバーと、その他すべてのユーザーは、このファイルの読み取りのみが可能となります。
Kerberos キータブ・ファイルには、ユーザー・パスワードに類似した鍵のリストが含まれています。ホストでは、Kerberos キータブ・ファイルをローカル・ディスクに保管することにより保護することが重要です。 krb5.conf ファイルの許可は 644 でなければなりません。 これは、このファイルの読み取りと書き込みが可能であることを意味します。 ただし、このファイルが属するグループのメンバーと、その他すべてのユーザーは、このファイルの読み取りのみが可能となります。 付加属性、コントロール、およびサーバントを実行するユーザー ID は、 krb5.conf ファイルおよび krb5.keytab ファイルに対する読み取りアクセス権を持っている必要があります。
- ランタイムが krb5.ini ファイルの default_tkt_enctypes または default_tgs_enctypes エントリーを読み取れない、それらの値が欠落している、またはそれらの値がサポートされていない場合は、DES-CBC-MD5 値がデフォルトで使用されます。
![[IBM i]](../images/iseries.gif)
- krb5.conf ファイルの 3 文字表記を、それらが表す文字で置き換えます。
- WebSphere Application Server によって生成される krb5.conf ファイルを使用します。
- Microsoft Windows または鍵配布センター (KDC) で生成したキータブ・ファイルを使用します。
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・ アソシエーション・インターセプター (TAI) の Kerberos 構成設定、Kerberos 鍵配布センター (KDC) 名、 およびレルム設定は、Kerberos 構成ファイル、 またはシステム・プロパティー・ファイルの java.security.krb5.kdc および java.security.krb5.realm を 通じて提供されます。