Kerberos 認証コマンド

wsadmin コマンドを使用することにより、WebSphere® Application Server の認証メカニズムとして Kerberos の作成、変更、削除を行います。

Kerberos 認証メカニズムの作成

注:

createKrbAuthMechanism コマンドを使用して KRB5 認証メカニズムのセキュリティー・オブジェクト・フィールドをセキュリティー構成ファイルに作成するには、 次の事項が必要です。

  • Kerberos 構成ファイル (krb5.ini または krb5.conf) がない場合は、createkrbConfigFile コマンド・タスクを使用して、Kerberos 構成ファイルを作成します。詳しくは、Kerberos 構成ファイルの作成について参照してください。
  • WebSphere アプリケーション・サーバーが実行されているそれぞれのマシンごとに、 Kerberos サービス・プリンシパル名 (SPN) <service name>/<完全修飾ホスト名>@KerberosRealm が含まれる Kerberos キータブ・ファイル (krb5.keytab) が必要です。サービス名は任意のものでかまいません。デフォルト値は WAS です。

    例えば、2 つのアプリケーション・サーバー・マシン host1.austin.ibm.comhost2.austin.ibm.com がある場合、 Kerberos キータブ・ファイルには <service name>/host1.austin.ibm.comservice name>/host2.austin.ibm.com SPN およびそれらの Kerberos キーが含まれている必要があります。

createKrbAuthMechanism コマンドを使用して KRB5 認証メカニズムのセキュリティー・オブジェクト・フィールドをセキュリティー構成ファイルに作成します。

wsadmin プロンプトで、次のコマンドを入力します。

$AdminTask help createKrbAuthMechanism
表 1. コマンドのパラメーター. createKrbAuthMechanism コマンドでは、 以下のパラメーターを使用できます。
オプション 説明
<krb5Realm> このパラメーターはオプションです。 Kerberos レルム名を示します。このパラメーターを指定しない場合は、Kerberos 構成ファイルにあるデフォルトの Kerberos レルム名が使用されます。
<krb5Config> このパラメーターは必須です。 構成 (krb5.ini または krb5.conf) ファイルのディレクトリー・ロケーションとファイル名を示します。
<krb5Keytab> このパラメーターはオプションです。 Kerberos キータブ・ファイルのディレクトリー・ロケーションとファイル名を示します。このパラメーターを指定しない場合は、Kerberos 構成ファイルにあるデフォルトの keytab が使用されます。
<serviceName> このパラメーターは必須です。 Kerberos サービス名を示します。デフォルトの Kerberos サービス名は WAS です。
<trimUserName> このパラメーターはオプションです。 Kerberos レルム名に先行する、「@」で始まるプリンシパル・ユーザー名の サフィックスを除去します。このパラメーターはオプションです。 デフォルト値は true です。
[z/OS]注: z/OS 上の両方のローカル・オペレーティング・システム・レジストリーを使用している場合は、このフィールドを true に設定し、「SAF ユーザー・プロファイルの KERB セグメントを使用する」ラジオ・ボタンを選択して Kerberos プリンシパルを SAF ID にマップする必要があります。
<enabledGssCredDelegate> このパラメーターは必須ではありません。これにより、GSS 委任クレデンシャルを抽出してサブジェクト内に配置するかどうかを指示します。 デフォルト値は true です。
<allowKrbAuthForCsiInbound> このパラメーターはオプションです。 Common Secure Interoperability (CSI) のインバウンドに対して Kerberos 認証メカニズムを有効にします。デフォルト値は true です。
<allowKrbAuthForCsiOutbound> このパラメーターは必須です。 CSI のアウトバウンドに対して Kerberos 認証メカニズムを有効にします。デフォルト値は true です。
注: Kerberos 構成ファイル名および Kerberos キータブ・ファイル名のパスは、絶対パスにする必要はありません。 代わりに、WebSphere 変数をパスに使用することができます。 混合プラットフォーム環境の場合は、Kerberos 構成ファイルに変数 ${CONF_OR_INI} を使用できます。 セキュリティー構成によって、この変数が、Windows プラットフォームの場合は「ini」に、Windows 以外のプラットフォームの場合は「conf」に展開されます。例えば、以下のようになります。
${WAS_INSTALL_ROOT}¥etc¥krb5¥krb5.${CFG_OR_INI}
以下に、createKrbAuthMechanism コマンドの例を示します。
wsadmin>$AdminTask createKrbAuthMechanism {
		-krb5Realm  WSSEC.AUSTIN.IBM.COM 
				-krb5Config C:¥¥WINNT¥¥krb5.ini
				-krb5Keytab C:¥¥WINNT¥¥krb5.keytab
				-serviceName WAS }

Kerberos 認証メカニズムの変更

modifyKrbAuthMechanism コマンドを使用して セキュリティー構成ファイルの KRB5 認証メカニズムのセキュリティー・オブジェクト・フィールドを変更します。

wsadmin プロンプトで、次のコマンドを入力します。

$AdminTask help modifyKrbAuthMechanism
表 2. コマンドのパラメーター. modifyKrbAuthMechanism コマンドでは、 以下のパラメーターを使用できます。
オプション 説明
<krb5Realm> このパラメーターはオプションです。 Kerberos レルム名を示します。このパラメーターを指定しない場合は、Kerberos 構成ファイルにあるデフォルトの Kerberos レルム名が使用されます。
<krb5Config> このパラメーターは必須です。 構成 (krb5.ini または krb5.conf) ファイルのディレクトリー・ロケーションとファイル名を示します。
<krb5Keytab> このパラメーターはオプションです。 Kerberos キータブ・ファイルのディレクトリー・ロケーションとファイル名を示します。このパラメーターを指定しない場合は、Kerberos 構成ファイルにあるデフォルトの keytab が使用されます。
<serviceName> このパラメーターは必須です。 Kerberos サービス名を示します。デフォルトの Kerberos サービス名は WAS です。
<trimUserName> このパラメーターはオプションです。 Kerberos レルム名に先行する、「@」で始まるプリンシパル・ユーザー名の サフィックスを除去します。このパラメーターはオプションです。 デフォルト値は true です。
<enabledGssCredDelegate> このパラメーターは必須ではありません。クライアントの Kerberos および GSS 委任クレデンシャルを抽出して、Kerberos 認証トークン (KRBAuthnToken) 内に配置するかどうかを指定する場合に使用してください。デフォルト値は true です。
注: このパラメーターが true で、ランタイムが Kerberos GSS 委任クレデンシャルを抽出できない場合、ランタイムは警告メッセージをログに記録します。
<allowKrbAuthForCsiInbound> このパラメーターはオプションです。 Common Secure Interoperability (CSI) のインバウンドに対して Kerberos 認証メカニズムを有効にします。デフォルト値は true です。
<allowKrbAuthForCsiOutbound> このパラメーターはオプションです。 CSI のアウトバウンドに対して Kerberos 認証メカニズムを有効にします。デフォルト値は true です。
注: Kerberos 構成ファイル名および Kerberos キータブ・ファイル名のパスは、絶対パスにする必要はありません。 代わりに、WebSphere 変数をパスに使用することができます。 混合プラットフォーム環境の場合は、Kerberos 構成ファイルに変数 ${CONF_OR_INI} を使用できます。 セキュリティー構成によって、この変数が、Windows プラットフォームの場合は「ini」に、Windows 以外のプラットフォームの場合は「conf」に展開されます。例えば、以下のようになります。
${WAS_INSTALL_ROOT}¥etc¥krb5¥krb5.${CFG_OR_INI}

以下に、modifyKrbAuthMechanism コマンドの例を示します。

wsadmin>$AdminTask modifyKrbAuthMechanism {
			-krb5Realm  WSSEC.AUSTIN.IBM.COM 
					-krb5Config C:¥¥WINNT¥¥krb5.ini
					-krb5Keytab C:¥¥WINNT¥¥krb5.keytab
					-serviceName WAS }

Kerberos 認証メカニズムの削除

deleteKrbAuthMechanism コマンドを使用して セキュリティー構成ファイルの KRB5 認証メカニズムのセキュリティー・オブジェクト・フィールドを削除します。

wsadmin プロンプトで、次のコマンドを入力します。

$AdminTask help deleteKrbAuthMechanism

以下に、deleteKrbAuthMechanism コマンドの例を示します。

		wsadmin>$AdminTask deleteKrbAuthMechanism

アクティブな認証メカニズムの設定

setActiveAuthMechanism コマンドを使用して、 セキュリティー構成のアクティブな認証メカニズム属性を設定します。

wsadmin プロンプトで、次のコマンドを入力します。

$AdminTask help setActiveAuthMechanism
表 3. コマンドのパラメーター. setActiveAuthMechanism コマンドでは、 以下のパラメーターを使用できます。
オプション 説明
<authMechanismType> このパラメーターは必須ではありません。認証メカニズムのタイプを示します。デフォルトは KRB5 です。

以下に、setActiveAuthMechanism コマンドの例を示します。

wsadmin> $AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_kerb_auth_commands
ファイル名:rsec_kerb_auth_commands.html