Kerberos 構成ファイル

WebSphere® Application Server で Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) のトラスト・アソシエーション・インターセプター (TAI) を使用するには、Kerberos 構成プロパティー、 すなわち krb5.ini ファイルまたは krb5.conf ファイルを、 セル内のすべての WebSphere Application Server インスタンスに構成する必要があります。

非推奨の機能 (Deprecated feature) 非推奨の機能 (Deprecated feature): WebSphere Application Server バージョン 6.1 では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されたリソースへの HTTP 要求を安全にネゴシエーションし、認証する、トラスト・アソシエーション・インターセプター (TAI) が導入されています。 WebSphere Application Server 7.0 では、 この機能は現在推奨されていません。SPNEGO フィルターの動的再ロードおよびアプリケーション・ログイン方式へのフォールバックの有効化を行うために、SPNEGO Web 認証が用意されていますdepfeat
デフォルトの Kerberos 構成ファイルは、Windows の場合、krb5.ini となります。他のプラットフォームの場合、デフォルトの Kerberos 構成ファイルの名前は krb5.conf です。Kerberos 構成ファイルのデフォルト・ロケーションについては、このセクションで後述します。
表 1. Kerberos 構成ファイルのデフォルトの場所. 次の表では、Kerberos 構成ファイルのデフォルトのロケーションについて説明します。
オペレーティング・システム デフォルト・ロケーション
Windows c:¥winnt¥krb5.ini
注: krb5.ini ファイルが c:¥winnt ディレクトリーにない場合、c:¥windows ディレクトリーにあることがあります。
Linux /etc/krb5.conf
その他 UNIX ベース /etc/krb5/krb5.conf
z/OS /etc/krb5/krb5.conf
IBM i /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf
注: デフォルトのロケーションと Kerberos 構成ファイル名を使用しない場合は、 soap.client.prop、ipc.client.props、および sas.client.props ファイルの *.krb5ConfigFile プロパティーを更新する必要があります。また、 クライアントのプログラマチック・ログインで WSKRBLogin モジュールを使用する場合は、 java.security.krb5.conf JVM プロパティーの設定も必要です。

SPNEGO TAI の場合、デフォルトのロケーションと Kerberos 構成ファイル名を使用しない場合は、 java.security.krb5.conf JVM プロパティーを指定する必要があります。

デフォルトの Kerberos 構成ファイルは、Windows の場合は /winnt/krb5.ini で、分散環境の場合は /etc/krb5 です。別のロケーション・パスを指定する場合は、java.security.krb5.conf JVM プロパティーも指定する必要があります。

例えば、krb5.conf ファイルが /opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf で指定されている場合は、-Djava.security.krb5.conf=/opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf を指定する必要があります。

WebSphere ランタイム・コードは、以下の順で Kerberos 構成ファイルを検索します。
  1. Java™ プロパティー java.security.krb5.conf が参照しているファイル
  2. <java.home>/lib/security/krb5.conf
  3. Microsoft Windows プラットフォームの場合は c:¥winnt¥krb5.ini
  4. UNIX プラットフォームの場合は /etc/krb5/krb5.conf
  5. Linux プラットフォームの場合は /etc/krb5.conf
WebSphere Application Server 用に SPNEGO TAI を構成するには、以下のように wsadmin ユーティリティーを使用します。
  1. WebSphere Application Server を始動します。
  2. [AIX Solaris HP-UX Linux Windows][z/OS]app_server_root/bin ディレクトリーから、wsadmin コマンドを実行して、コマンド行ユーティリティーを開始します。
  3. [IBM i]Qshell コマンド行から app_server_root/bin ディレクトリーにある wsadmin コマンドを実行して、コマンド行ユーティリティーを開始します。
  4. wsadmin プロンプトで、次のコマンドを入力します。
    $AdminTask createKrbConfigFile
    このコマンドでは、以下のパラメーターを使用できます。
    表 2. コマンドのパラメーター. 次の表では、$AdminTask createKrbConfigFile コマンドのパラメーターについて説明します。
    オプション 説明
    <krbPath> このパラメーターは必須です。 このパラメーターは、Kerberos 構成ファイル (krb5.ini または krb5.conf) の完全修飾システム・ロケーションを提供します。
    <realm> このパラメーターは必須です。 このパラメーターには、Kerberos レルム名を指定します。 この属性の値は、com.ibm.ws.security.spnego.SPNid.hostName プロパティーで指定されている各ホストの Kerberos サービス・プリンシパル名を構成するために、SPNEGO TAI によって使用されます。
    <kdcHost> このパラメーターは必須です。 このパラメーターは、Kerberos 鍵配布センター (KDC) のホスト名を提供します。
    <kdcPort> このパラメーターはオプションです。 このパラメーターは、KDC のポート番号を提供します。指定しない場合、デフォルト値は 88 です。
    <dns> このパラメーターは必須です。 このパラメーターは、完全修飾ホスト名の作成に使用されるデフォルトのドメイン名サービス (DNS) を提供します。
    <keytabPath> このパラメーターは必須です。 このパラメーターは、Kerberos キータブ・ファイルのファイル・システム・ロケーションを提供します。
    <encryption> このパラメーターはオプションです。 このパラメーターは、サポートされている暗号化タイプをスペースで区切ったリストを示します。 指定された値は、default_tkt_enctypes および default_tgs_enctypes に使用されます。 このパラメーターが指定されていない場合のデフォルトの暗号タイプは des-cbc-md5 および rc4-hmac です。

以下の例では、wsadmin コマンドによって krb5.ini ファイルが c:¥winnt ディレクトリーに作成されます。 デフォルトの Kerberos キータブ・ファイルも c:¥winnt にあります。 実際の Kerberos レルム名は WSSEC.AUSTIN.IBM.COM で、KDC ホスト名は host1.austin.ibm.com です。

wsadmin>$AdminTask createKrbConfigFile {-krbPath 
c:¥winnt¥krb5.ini -realm WSSEC.AUSTIN.IBM.COM -kdcHost host1.austin.ibm.com
 -dns austin.ibm.com -keytabPath c:¥winnt¥krb5.keytab}
上記の wsadmin コマンドは、以下の krb5.ini ファイルを作成します。
[libdefaults]
 default_realm = WSSEC.AUSTIN.IBM.COM
        default_keytab_name = FILE:c:¥winnt¥krb5.keytab
        default_tkt_enctypes = des-cbc-md5 rc4-hmac
        default_tgs_enctypes = des-cbc-md5 rc4-hmac
[realms]
        WSSEC.AUSTIN.IBM.COM = {
  kdc = host1.austin.ibm.com:88
              default_domain = austin.ibm.com
}
[domain_realm]
        .austin.ibm.com = WSSEC.AUSTIN.IBM.COM
重要:
  • [AIX Solaris HP-UX Linux Windows][IBM i]Kerberos キータブ・ファイルには、ユーザー・パスワードに類似した鍵のリストが含まれています。ホストでは、Kerberos キータブ・ファイルをローカル・ディスクに保管することにより保護することが重要です。krb5.conf ファイルの許可は 644 でなければなりません。これは、このファイルの読み取りと書き込みが可能であることを意味します。ただし、このファイルが属するグループのメンバーと、その他すべてのユーザーは、このファイルの読み取りのみが可能となります。
  • [z/OS]Kerberos キータブ・ファイルには、ユーザー・パスワードに類似した鍵のリストが含まれています。ホストでは、Kerberos キータブ・ファイルをローカル・ディスクに保管することにより保護することが重要です。 krb5.conf ファイルの許可は 644 でなければなりません。 これは、このファイルの読み取りと書き込みが可能であることを意味します。 ただし、このファイルが属するグループのメンバーと、その他すべてのユーザーは、このファイルの読み取りのみが可能となります。 付加属性、コントロール、およびサーバントを実行するユーザー ID は、 krb5.conf ファイルおよび krb5.keytab ファイルに対する読み取りアクセス権を持っている必要があります。
  • ランタイムが krb5.ini ファイルの default_tkt_enctypes または default_tgs_enctypes エントリーを読み取れない、それらの値が欠落している、またはそれらの値がサポートされていない場合は、DES-CBC-MD5 値がデフォルトで使用されます。
[IBM i]krb5.conf 構成ファイルは、{、}、[、および ] 文字を表す 3 文字表記をサポートします。 これらの文字は、言語セットに依存します。 生成されたままのキータブは、Kerberos クライアントが読み取ることはできません。 ネイティブの krb5.conf ファイルまたは krb5.keytab ファイルを使用して SPNEGO TAI を構成することが困難な場合は、以下のシナリオの 1 つを実行して、3 文字表記の問題に対処します。
  • krb5.conf ファイルの 3 文字表記を、それらが表す文字で置き換えます。
  • WebSphere Application Server によって生成される krb5.conf ファイルを使用します。
  • Microsoft Windows または鍵配布センター (KDC) で生成したキータブ・ファイルを使用します。

Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・ アソシエーション・インターセプター (TAI) の Kerberos 構成設定、Kerberos 鍵配布センター (KDC) 名、 およびレルム設定は、Kerberos 構成ファイル、 またはシステム・プロパティー・ファイルの java.security.krb5.kdc および java.security.krb5.realm を 通じて提供されます。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_config_krb5
ファイル名:rsec_SPNEGO_config_krb5.html