SPNEGO Web 認証構成コマンド

wsadmin コマンドを使用して、セキュリティー構成における Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) の構成、構成解除、検証、または表示を行います。

SPNEGO Web 認証の構成

注: 最初に、有効な Kerberos 構成ファイルと Kerberos キータブ・ファイルが必要です。詳しくは、トピック『Kerberos 構成ファイルの作成』および『Kerberos サービス・プリンシパル名とキータブ・ファイルの作成』を参照してください。

configureSpnego コマンドを使用して、 セキュリティー構成の Web オーセンティケーターとして SPNEGO を構成します。

wsadmin プロンプトで、 次のコマンドを入力するとヘルプを表示できます。

Wsadmin>$AdminTask help configureSpnego

表 1. コマンドのパラメーター. configureSpnego コマンドでは、 以下のパラメーターを使用できます。
オプション 説明
<enabled> このパラメーターはオプションです。 SPNEGO Web 認証を使用可能にします。
<dynamicReload> このパラメーターはオプションです。 SPNEGO Web 認証フィルターの動的再ロードを可能にします。
<allowAppAuthMethodFallback> このパラメーターはオプションです。 アプリケーション認証メカニズムへのフォールバックを許可します。
<krb5Config> このパラメーターは必須です。 構成 (krb5.ini または krb5.conf) ファイルのディレクトリー・ロケーションとファイル名を指定します。
<krb5Keytab> このパラメーターはオプションです。 Kerberos キータブ・ファイルのディレクトリー・ロケーションとファイル名を指定します。このパラメーターを指定しない場合は、Kerberos 構成ファイルにあるデフォルトの keytab が使用されます。
注: krb5Config ファイル・パスおよび krb5Keytab ファイル・パスは、WebSphere 変数を使用して指定できます。混合プラットフォーム環境の場合は、Kerberos 構成ファイルに変数 ${CONF_OR_INI} を使用できます。 セキュリティー構成によって、この変数が、Windows プラットフォームの場合は「ini」に、Windows 以外のプラットフォームの場合は「conf」に展開されます。例えば、以下のようになります。
${WAS_INSTALL_ROOT}¥etc¥krb5¥krb5.${CFG_OR_INI}
注: configureSpnego コマンドおよび validateSpnegoConfig コマンドは、SPNEGO が有効になっている場合にのみ krb5Config ファイルと krb5Keytab ファイルを検査します。 SPNEGO が有効でない場合、これらのコマンドは、krb5Config ファイルと krb5Keytab ファイルが存在していることだけを検査します。これにより、使用可能化を行わなくても SPNEGO を構成することができます。

SPNEGO Web 認証の構成解除

unconfigureSpnego コマンドを使用して、セキュリティー構成の SPNEGO Web 認証の構成を解除します。

wsadmin プロンプトで、 次のコマンドを入力するとヘルプを表示できます。

wsadmin>$AdminTask help unconfigureSpnego

SPNEGO Web 認証の表示

showSPNEGO コマンドを使用することで、セキュリティー構成の SPNEGO Web 認証を表示します。

wsadmin プロンプトで、 次のコマンドを入力するとヘルプを表示できます。

wsadmin>$AdminTask help showSpnego

Kerberos 構成の検証

validateKrbConfig コマンドを使用して、グローバル・セキュリティー・ファイル security.xml 内にある Kerberos 構成データ、または入力パラメーターとして指定された Kerberos 構成データを検証します。

wsadmin プロンプトで、 次のコマンドを入力するとヘルプを表示できます。

wsadmin>$AdminTask help validateKrbConfig

validateKrbConfig コマンドでは、以下のパラメーターを使用できます。
表 2. コマンドのパラメーター.

次の表では、validateKrbConfig コマンドのパラメーターについて説明します。

オプション 説明
<checkConfigOnly> 検証をせずに Kerberos 構成をチェックします。 このチェックには、グローバル・セキュリティーを使用する必要があります。
<useGlobalSecurityConfig> 入力パラメーターの代わりに、グローバル・セキュリティー構成データの security.xml を使用します。
<validateKrbRealm> Kerberos 構成ファイル (krb5.ini または krb5.conf) のデフォルトの Kerberos レルムに対して Kerberos レルムの検証をします。
<serverId> 内部プロセス通信に使用するサーバー ID を指定します。
<serverIdPassword> サーバー ID に使用するパスワードを指定します。
<krb5Spn> Kerberos キータブ・ファイルの Kerberos サービス・プリンシパル名を指定します。
<krb5Config > このパラメーターは必須です。 構成 (krb5.ini または krb5.conf) ファイルのディレクトリー・ロケーションとファイル名を指定します。
<krb5Keytab> このパラメーターはオプションです。 Kerberos キータブ・ファイルのディレクトリー・ロケーションとファイル名を指定します。このパラメーターを指定しない場合は、Kerberos 構成ファイルにあるデフォルトの keytab が使用されます。
<krb5Realm > このパラメーターは必須です。 Kerberos レルム名の値を指定します。
注: krb5Config ファイル・パスおよび krb5Keytab ファイル・パスは、WebSphere 変数を使用して指定できます。混合プラットフォーム環境の場合は、Kerberos 構成ファイルに変数 ${CONF_OR_INI} を使用できます。 セキュリティー構成によって、ini (Windows の場合) または conf (Windows 以外のプラットフォームの場合) に展開されます。以下に例を示します。
${WAS_INSTALL_ROOT}¥etc¥krb5¥krb5.${CFG_OR_INI}
注: グローバル・セキュリティー構成ファイル security.xml 内の Kerberos 構成を検証するには、パラメーターを指定せずに、または useGlobalSecurityConfig を true に設定して validateKrbConfig を実行します。 入力パラメーターを使用しないで Kerberos 構成を検証するには、useGlobalSecurityConfig と checkConfigOnly を false に設定し、krb5Spn、krb5Config、krb5Keytab、および krb5Realm に値を指定します。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_auth_commands
ファイル名:rsec_SPNEGO_auth_commands.html