![[z/OS]](../images/ngzos.gif)
Kerberos プリンシパルの z/OS 上の System Authorization Facility (SAF) ID へのマッピング
WebSphere® Application Server 管理コンソールの Kerberos パネルで、「SAF ユーザー・プロファイルの KERB セグメントを使用」ラジオ・ボタンを選択する場合、ローカル OS のユーザーを特定の Kerberos プリンシパルにマップさせる必要があります。
始める前に
Kerberos 管理コンソール・ページを表示するには、 「セキュリティー」>「グローバル・セキュリティー」をクリックします。 このページには、「SAF ユーザー・プロファイルの KERB セグメントを使用」ラジオ・ボタンが あります。「認証」の下の「Kerberos 構成」をクリックします。
Kerberos 管理コンソール・パネルでは、 「Kerberos プリンシパル名から SAF ID へのマッピング」の下にある最初のラジオ・ボタン 「Kerberos プリンシパルを SAF ID にマップするために SAF プロファイルを 使用しない」がデフォルトで選択されていますが、 マッピングに RACMAP または KERB セグメントは 使用されません。
既に JAAS マッピング・モジュールがある場合は、 「Kerberos プリンシパル名から SAF ID へのマッピング」の下にある最後の 2 つのラジオ・ボタン 「SAF ユーザー・プロファイルの KERB セグメントを使用」および 「分散 ID マッピング対応の SAF 製品にある RACMAP プロファイルを使用」を 選択しないでください。

このタスクについて
Kerberos プリンシパルを SAF ID にマップするには、Kerberos プリンシパルがローカルか外部かによって 2 つの方法あります。Kerberos プリンシパルが RACF データベースと同じ z/OS システムの z/OS KDC 内に存在する場合はローカルです。
ALTUSER コマンドを 使用して KDC を構成する方法について詳しくは、Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration を 参照してください。
ローカルの Kerberos プリンシパル名を指定する場合は、Kerberos レルム名を含めないでください。
ローカルの Kerberos プリンシパルのマッピング:
- 例えば、RACF ユーザー USER1 を kerberosUser1 というローカルの Kerberos プリンシパル名にマップする場合 (Kerberos プリンシパル名は大/小文字を区別することに注意してください)、以下の RACF コマンドを発行します。
ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))
- Windows KDC での相互運用を計画している場合、以下の RACF コマンドを発行して、DES、DES3、DESD の暗号化タイプがサポートされていないことを指定します。
ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
トラブルの回避 (Avoid trouble): ALTUSER コマンドに指定する、サポートする暗号化タイプのリストが、krb5.conf Kerberos 構成ファイル内で指定されている暗号化タイプと整合していることを確認してください。例えば、krb5.conf 構成ファイルで aes256-cts-hmac-sha1-96 のみをサポートと指定している場合は、ENCRYPT オペランドで、AES256 を除く他のすべての暗号化タイプをサポート対象外に設定する必要があります。gotcha
- 上記のコマンドが正常に完了したことを検証するため、以下の RACF コマンドを実行します。
LISTUSER USER1 KERB NORACF
KERB INFORMATION
----------------
KERBNAME= kerberosUser1
KEY VERSION= 001
KEY ENCRYPTION TYPE= DES NODES3 NODESD
ALTUSER コマンドは、WebSphere Application Server にログインする際に Kerberos を使用する必要がある RACF のすべてのユーザーに発行する必要があります。
外部の Kerberos プリンシパルのマッピング:
外部レルム内にある各プリンシパルを RACF 内のそれ自体のユーザー ID にマップすることができ、また外部レルム内にあるすべてのプリンシパルを RACF 内の同じユーザー ID にマップすることもできます。外部の Kerberos プリンシパルを RACF ユーザーにマップするには、一般リソース・プロファイルを KERBLINK クラスに定義します。各マッピングは、RDEFINE コマンドと RALTER コマンドを使用して定義および変更されます。
KERBLINK クラスの使用について詳しくは、「z/OS Security Server RACF Security Administrator's Guide (邦文資料: z/OS Security Server RACF セキュリティー管理者のガイド)」を参照してください。
- 例えば、外部レルム FOREIGN.REALM.IBM.COM の外部の Kerberos プリンシパル名 foreignKerberosUser2 を RACF ユーザー USER2 にマップする場合、次の RACF コマンドを発行します。
RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')
- 上記のコマンドが正常に完了したことを検証するため、以下の RACF コマンドを実行します。
RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
CLASS NAME
----- ----
KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
LEVEL OWNER UNIVERSAL ACCESS YOUR ACCESS WARNING
----- -------- ---------------- ----------- -------
00 IBMUSER NONE ALTER NO
INSTALLATION DATA
-----------------
NONE
APPLICATION DATA
----------------
USER2
AUDITING
--------
FAILURES(READ)
NOTIFY
------
NO USER TO BE NOTIFIED