SPNEGO TAI のシングル・サインオン機能 - チェックリスト (非推奨)

WebSphere® Application Server では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、WebSphere Application Server の保護されたリソースへの HTTP リクエストを 安全にネゴシエーションおよび認証するトラスト・アソシエーション・インターセプター (TAI) を提供しています。 SPNEGO TAI をデプロイして使用するには、インストールを調べて、SPNEGO TAI の最適な構成方法を決定する必要があります。

非推奨の機能 (Deprecated feature) 非推奨の機能 (Deprecated feature):

WebSphere Application Server バージョン 6.1 では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されたリソースへの HTTP 要求を安全にネゴシエーションし、認証する、トラスト・アソシエーション・インターセプター (TAI) が導入されています。 WebSphere Application Server 7.0 では、 この機能は現在推奨されていません。SPNEGO フィルターの動的再ロードおよびアプリケーション・ログイン方式へのフォールバックの有効化を行うために、SPNEGO Web 認証が用意されています

depfeat
Lightweight Third Party Authentication (LTPA) は WebSphere Application Server のデフォルトの認証メカニズムです。 しかし、SPNEGO TAI を構成する前に LTPA を構成しなければならない場合があります。 LTPA は、すべてのトラスト・アソシエーション・インターセプターに必要な認証メカニズムです。 LTPA を構成するには、 「セキュリティー」>「グローバル・セキュリティー」>「認証メカニズムおよび有効期限」とクリックします。
注: Web セキュリティーのシングル・サインオン (SSO) を使用可能にすることは、 SPNEGO TAI を構成する場合はオプションです。詳しくは、Web ユーザー認証を最小化するためのシングル・サインオンの実装を参照してください。
以下の質問に答えて、SPNEGO TAI のデプロイ方法を確立してください。
  1. HTTP 要求をインターセプトするための基準は何ですか。

    SPNEGO TAI デプロイメントで、デフォルトとして HTTPHeaderFilter クラスを使用するかどうかを決定する必要があります。このクラスを使用する場合は、このクラスに対して正確なフィルター・プロパティーを指定する必要があります。SPNEGO TAI のデフォルトの動作では、com.ibm.ws.spnego.HTTPHeaderFilter クラスを使用して、すべての要求がインターセプトされます。

    サンプルの com.ibm.ws.spnego.HTTPHeaderFilter クラスを使用しない場合は、com.ibm.wsspi.security.spnego.SpnegoTAIFilter インターフェースを実装する新しいクラスを定義する必要があります。

    サービス・プロバイダー・プログラミング・インターフェース (SPI) SPNEGO TAI に対する HTTP 要求のフィルター処理 (非推奨) を使用して、HTTP 要求がインターセプトするものをさらに制御するかを、決定することができます。

    以下の説明については、SPNEGO TAI カスタム・プロパティー構成 (非推奨)を参照してください。
    • com.ibm.ws.security.spnego.SPN<id>.filterClass
    • com.ibm.ws.security.spnego.SPN<id>.filter
  2. ユーザー ID マッピングが使用されていますか。使用されていない場合、その理由は何ですか。

    WebSphere Application Server では、 カスタム・ログイン・モジュールを定義または開発して、ユーザー ID をマップできます。このマッピングの実行方法について詳しくは、Kerberos クライアント・プリンシパル名の WebSphere ユーザー・レジストリー ID (SPNEGO TAI 用) への マッピング (非推奨)を参照してください。

    TAI をデプロイする前に、このカスタム・ログイン・モジュールを使用して SPNEGO TAI ID のマッピングを実行するかどうかを決定する必要があります。

  3. SPNEGO トークンの処理に、どのタイプの暗号化を使用しますか。
    Microsoft Windows Active Directory では、RC4-HMAC および DES-CBC-MD5 という異なる 2 つの Kerberos 暗号化タイプがサポートされています。 IBM® Java™ Generic Security Service (JGSS) ライブラリー (および SPNEGO ライブラリー) は、 これらの暗号化タイプを両方ともサポートしています。
    制約事項: RC4-HMAC 暗号化は、Windows 2003 Server 鍵配布センター (KDC) でのみサポートされています。
  4. クレデンシャルの委任をどのように処理しますか。

    Kerberos は、クレデンシャルの委任をサポートしています。クライアントから Kerberos クレデンシャルを受け取るサーバーは、委任されたクレデンシャルを使用して、他のサーバーに対してそのクライアントの偽名を使用することができます。SPNEGO TAI トークンは Kerberos クレデンシャルのラッピングなので、SPNEGO トークン内の Kerberos クレデンシャルを受け取るサーバーは、それらの Kerberos クレデンシャルを使用して、元のユーザーの偽名を使用できます。そのサーバーは、適切な HTTP 許可ヘッダーを合成することにより、HTTP を介して SPNEGO を他の SPNEGO サーバーに対する SPNEGO クライアントとして使用して、相互作用することができます。

  5. 単一または複数どちらのドメイン・ネーム・サービス (DNS)・ドメ イン環境に SPNEGO TAI をデプロイしますか。

    Windows で実行される Web ブラウザーは、DNS ドメインに依存しています。これらのブラウザーは、ターゲットのホスト名が、クライアント・マシンの DNS ドメインで定義されているホスト名を示している場合にのみ SPNEGO トークンを送信します。HTTP リダイレクトを使用すると、各 DNS ドメインに疑似 Kerberos サービス・プリンシパル名 (SPN) を作成して、この構成をサポートできます。 WebSphere Application Server がサポートしているすべての SPN では、 それぞれの秘密鍵が Kerberos keytab ファイルで使用可能になっている必要があります。 複数の DNS ドメインでシングル・サインオンを使用可能にするために、個別の Kerberos キータブ・ファイルが、ドメインごとにそれぞれの SPN に対して生成されます。WebSphere Application Server でこれらの個々の Kerberos キータブ・ファイルを使用できるようにするには、 これらのファイルをマージする必要があります。

  6. アプリケーション・サーバーは、どのくらいの頻度で SPNEGO TAI プロパティーを再ロードしますか。

    SPNEGO TAI には、 オプションのプロパティー再ロード機能があり、この機能を使用すると、Java 仮想マシン (JVM) を再始動しなくても TAI プロパティーを再ロードすることができます。この再ロード機能は、システム・プロパティー com.ibm.ws.security.spnego.propertyReloadFile および com.ibm.ws.security.spnego.propertyReloadTimeout によって制御されます。これらのプロパティーを一緒に使用することにより、ある時間経過後、ファイル・システム上のファイルから SPNEGO TAI 内部プロパティーを再ロードすることができます。 com.ibm.ws.security.spnego.propertyReloadTimeout 属性が有効な整数値に設定され、 com.ibm.ws.security.spnego.propertyReloadFile 属性がファイル・システム上のファイルを指している場合、各 JVM は、タイムアウト期間が終了した後に、そのファイルから SPNEGO TAI プロパティーを再ロードします。 また、SPNEGO TAI プロパティーは、ファイルの日付が変更された場合にのみ再ロードされます。 これらの再ロード・プロパティーが設定されていない場合、JVM の初期化時に、WebSphere Application Server 構成データで定義されている SPNEGO TAI カスタム・プロパティーから SPNEGO TAI プロパティーが 1 回だけロードされます。これらの再ロード・プロパティーについて詳しくは、SPNEGO TAI JVM 構成カスタム・プロパティー (非推奨)を参照してください。

Windows Active Directory (Web) 管理者、WebSphere Application Server 管理者、 およびアプリケーション・チームがこれらの質問について検討し、回答を出してから、SPNEGO TAI に対して最適なデプロイメント設定および構成設定を決定します。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_tai_checklist
ファイル名:rsec_SPNEGO_tai_checklist.html