Kerberos のメッセージ保護に関するバインディングの構成

JAX-WS アプリケーションでメッセージ保護のバインディングをセットアップするには、カスタム・バインディングを作成する必要があります。 このタスクを完了して、OASIS Web Services Security Specification for Kerberos Token Profile バージョン 1.1 で定義されているように Kerberos トークンのバインディングを設定します。

始める前に

Kerberos を IBM WebSphere Application Server 用に構成する必要があります。 詳しくは、『セキュリティーのための Kerberos (KRB5) 認証メカニズムのサポート』を参照してください。また、JAX-WS アプリケーション用に Kerberos トークン・ポリシー・セットを構成する必要があります。 詳しくは、JAX-WS アプリケーションの Kerberos トークン・ポリシー・セットの構成についての説明を参照してください。

このタスクについて

JAX-WS アプリケーションのポリシー・セットとバインディングなどの、既存のフレームワークを活用することができます。

対称保護トークンまたは認証トークンを構成できます。 対称保護トークンの構成でも認証トークンの構成でも、同様の構成データを使用します。 ただし、Kerberos 対称保護トークンを使用する場合は、認証トークンを構成する必要はありません。 いずれのトークン・タイプを使用する場合でも、 以下のリストに示すように、トークン生成プログラムおよびトークン・コンシューマーを構成します。
  • 対称保護トークン
    • トークン生成プログラム
    • トークン・コンシューマー
  • 認証トークン
    • トークン生成プログラム
    • トークン・コンシューマー

管理コンソールを使用して、Web サービス・メッセージ保護で Kerberos トークンが使用されるようにアプリケーション固有のバインディングを構成します。

手順

  1. 「アプリケーション」 > 「アプリケーション・タイプ」を展開します。
  2. 「WebSphere エンタープライズ・アプリケーション」 > application name とクリックします。
  3. 「Web サービス・プロパティー」見出しから、 「サービス・プロバイダーのポリシー・セットおよびバインディング」をクリックしてサービス・バインディングを構成するか、 または「サービス・クライアントのポリシー・セットおよびバインディング」をクリックしてクライアント・バインディングを構成します。
  4. Kerberos トークン・ポリシー・セットに添付するリソースを選択して、「ポリシー・セットの関連付け (Attach Policy Set)」 > policy set nameを選択します。 Kerberos トークン・ポリシー・セットを構成するには、JAX-WS アプリケーションの Kerberos トークン・ポリシー・セットの構成を参照してください。
  5. バインディングの割り当て」をクリックしてアプリケーション固有のバインディングを選択するか、 または「新規アプリケーション固有バインディング」をクリックして新規のバインディングを作成します。 新規のバインディングを作成するには、以下の操作を完了してください。
    1. バインディング構成名 (Binding configuration name)」フィールドに新規バインディングの名前を入力し、 オプションとして、「説明」フィールドにバインディングの説明を入力します。
    2. 追加」をクリックして、新規ポリシー・セットを指定するため「WS-Security」を選択します。
    3. 「認証と保護」 > 「新規」とクリックします。
    4. オプション: トークン生成プログラム用の対称保護トークンを定義します。
      重要: トークン生成プログラム用の対称保護トークンを構成する場合、 補完的なトークン・コンシューマー用の対称保護トークンを定義する必要があります。
      1. 「保護トークン」見出しから「新規」をクリックして、 「トークン生成プログラム」を選択します。
      2. 名前」フィールドで、保護トークンの名前を指定します。
      3. トークン・タイプ」メニュー・リストの値から「カスタム」を選択します。
      4. Local name」フィールドでローカル名の値を指定します。
        他の Web サービス・テクノロジーとのインターオペラビリティーのために、次のローカル名を指定します。http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ インターオペラビリティーの問題を考慮しない場合は、以下のいずれかのローカル名値を指定できます。
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        これらの選択値は、鍵配布センター (KDC) によって生成される Kerberos トークンの仕様レベルに応じて異なります。 これらの値の使用方法詳細については、保護トークンの設定 (生成プログラムまたはコンシューマー) についての説明を参照してください。

      5. 名前空間 URI」フィールドの値は指定しないでください。
      6. JAAS ログイン・メニュー・リストから、値「wss.generate.KRB5BST」を選択します。
        以前に独自の Java™ 認証・承認サービス (JAAS) ログイン・モジュールを定義している場合は、 そのログイン・モジュールを選択して、Kerberos カスタム・トークンを処理できます。 カスタム JAAS ログイン・モジュールを定義するには、「新規アプリケーションのログイン」 > 「新規」をクリックし、新規モジュールの別名を指定して「適用」をクリックします。 詳しくは、『Java Authentication and Authorization Service 用のログイン・モジュール設定』を参照してください。
        重要: 『Java Authentication and Authorization Service 用のログイン・モジュール設定』トピックの説明ではセキュリティーについて言及し、Web Services Security については言及していませんが、Web Services Security のログイン・モジュールの構成はセキュリティーと同じです。
      7. ターゲット・サービスの名前、ホスト、およびレルムについて、トークン生成プログラムのカスタム・プロパティーを指定します。
        ターゲット・サービスの名前とホスト値の組み合わせにより、サービス・プリンシパル名 (SPN) が形成されます。 これはターゲット Kerberos サービス・プリンシパル名を表します。 Kerberos クライアントは、この SPN の初期の Kerberos AP_REQ トークンを要求します。以下のカスタム・プロパティーを指定します。
        表 1. ターゲット・サービスのカスタム・プロパティー. 以下のプロパティーを使用して、トークン生成プログラムの情報を 指定します。
        名前 タイプ
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceName ターゲット・サービスの名前を指定します。 必須
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost ターゲット・サービスに関連付けられるホスト名を指定します (フォーマットは myhost.mycompany.com)。 必須
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm ターゲット・サービスに関連付けられるレルムの名前を指定します。 1
        Kerberos トークン・セキュリティーを 相互レルム環境またはトラステッド・レルム環境で使用するには、targetServiceRealm プロパティーの値を指定する必要があります。

        複数のカスタム・プロパティーの名前と値のペアを指定するには、 「新規」をクリックします。

      8. 適用」をクリックします。
      9. 「追加バインディング」見出しから「コールバック・ハンドラー」をクリックします。
      10. 「クラス名」見出しから「カスタムの使用」オプションを選択し、 関連付けるフィールドに com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler を指定します。
      11. 「基本認証」見出しで「ユーザー名」、「パスワード」、 および「確認パスワード」フィールドに適切な値を指定します。

        このユーザー名により、 コールバック・ハンドラーのコンストラクターに渡されるデフォルトのユーザー ID が指定されます (例えば、kerberosuser など)。

      12. Kerberos ログインを開始するための Kerberos クライアントのプリンシパル名およびパスワードについて、 トークン生成プログラムのカスタム・プロパティーを指定します。
        これらのカスタム・プロパティーにより、プロンプトが制御され、 クレデンシャル・キャッシュに基づいたトークンが確立されます。以下のカスタム・プロパティーを指定します。
        表 2. Kerberos ログインのカスタム・プロパティー. このプロパティーを使用して、トークン生成プログラムの情報を指定します。
        名前 タイプ
        com.ibm.wsspi.wssecurity.krbtoken.loginPrompt 値が True の場合、Kerberos ログインは使用可能です。 デフォルト値は False です。 オプション

        複数のカスタム・プロパティーの名前と値のペアを指定するには、 「新規」をクリックします。

      13. 適用」と「OK」をクリックします。
      次のステップで「認証と保護」パネルに戻ると、トークン生成プログラム用に新規の保護トークンが定義されています。 この新規トークンの構成を編集するには、パネルでその名前をクリックします。
    5. オプション: 「認証と保護」パネルに戻り、トークン・コンシューマー用の対称保護トークンを定義します。 「認証と保護」パネルに戻るには、パネルのメッセージ・セクションの後の「認証と保護」リンクをクリックします。
      重要: トークン・コンシューマーの対称保護トークンを構成する場合は、 トークン生成プログラムの補完的な対称保護トークンを事前に定義していることを確認します。
      1. 「保護トークン」見出しから「新規」をクリックして、「トークン・コンシューマー」をクリックします。
      2. 名前」フィールドで、保護トークンの名前を指定します。
      3. トークン・タイプ」メニュー・リストの値から「カスタム」を選択します。
      4. ローカル名」フィールドで、ローカル名値を指定します。
        他の Web サービス・テクノロジーとのインターオペラビリティーのために、次のローカル名を指定します。http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ インターオペラビリティーの問題を考慮しない場合は、以下のいずれかのローカル名値を指定できます。
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        これらの選択値は、鍵配布センター (KDC) によって生成される Kerberos トークンの仕様レベルに応じて異なります。 これらの値の使用方法詳細については、保護トークンの設定 (生成プログラムまたはコンシューマー) についての説明を参照してください。

      5. 名前空間 URI」フィールドの値は指定しないでください。
      6. JAAS ログイン・ドロップダウン・メニューから、値「wss.consume.KRB5BST」を選択します。
        以前に独自の Java 認証・承認サービス (JAAS) ログイン・モジュールを定義している場合は、 このログイン・モジュールを選択して、Kerberos カスタム・トークンを処理できます。 カスタム JAAS ログイン・モジュールを定義するには、「新規アプリケーションのログイン」 > 「新規」をクリックし、新規モジュールの別名を指定して「適用」をクリックします。 詳しくは、『Java Authentication and Authorization Service 用のログイン・モジュール設定』を参照してください。
        重要: 『Java Authentication and Authorization Service 用のログイン・モジュール設定』トピックの説明ではセキュリティーについて言及し、Web Services Security については言及していませんが、Web Services Security のログイン・モジュールの構成はセキュリティーと同じです。
      7. 適用」をクリックします。
      8. 「追加バインディング」見出しから「コールバック・ハンドラー」をクリックします。
      9. 「クラス名」見出しから「カスタムの使用」オプションを選択し、 関連付けるフィールドに com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler を指定します。
      10. 適用」と「OK」をクリックします。
      次のステップで「認証と保護」パネルに戻ると、トークン・コンシューマー用に新規の保護トークンが定義されています。 この新規トークンの構成を編集するには、パネルでその名前をクリックします。
    6. オプション: 「認証と保護」パネルに戻り、トークン生成プログラム用の認証トークン構成を定義します。 「認証と保護」パネルに戻るには、パネルのメッセージ・セクションの後の「認証と保護」リンクをクリックします。

      認証トークンは、ID を証明または表明するために、メッセージで送信されます。

      重要: トークン生成プログラム用の認証トークンを構成する場合、 補完的なトークン・コンシューマー用の認証トークンを定義する必要があります。
      1. 「認証トークン」見出しから「新規」をクリックして、 「トークン生成プログラム」を選択します。
      2. 名前」フィールドで、認証トークンの名前を指定します。
      3. トークン・タイプ」メニュー・リストの値から「カスタム」を選択します。
      4. ローカル名」フィールドで、ローカル名値を指定します。
        他の Web サービス・テクノロジーとのインターオペラビリティーのために、次のローカル名を指定します。http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ インターオペラビリティーの問題を考慮しない場合は、以下のいずれかのローカル名値を指定できます。
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        これらの選択値は、鍵配布センター (KDC) によって生成される Kerberos トークンの仕様レベルに応じて異なります。 これらの値の使用方法詳細については、生成プログラムまたはコンシューマーの認証トークンの設定についての説明を参照してください。

      5. 名前空間 URI」フィールドの値は指定しないでください。
      6. JAAS ログイン・メニュー・リストから、値「wss.generate.KRB5BST」を選択します。
        以前に独自の Java 認証・承認サービス (JAAS) ログイン・モジュールを定義している場合は、 このログイン・モジュールを選択して、Kerberos カスタム・トークンを処理できます。 カスタム JAAS ログイン・モジュールを定義するには、「新規アプリケーションのログイン」 > 「新規」をクリックし、新規モジュールの別名を指定して「適用」をクリックします。 詳しくは、『Java Authentication and Authorization Service 用のログイン・モジュール設定』を参照してください。
        重要: 『Java Authentication and Authorization Service 用のログイン・モジュール設定』トピックの説明ではセキュリティーについて言及し、Web Services Security については言及していませんが、Web Services Security のログイン・モジュールの構成はセキュリティーと同じです。
      7. ターゲット・サービスの名前、ホスト、およびレルムについて、トークン生成プログラムのカスタム・プロパティーを指定します。
        ターゲット・サービスの名前とホスト値の組み合わせにより、サービス・プリンシパル名 (SPN) が形成されます。 これはターゲット Kerberos サービス・プリンシパル名を表します。 Kerberos クライアントは、この SPN の初期の Kerberos AP_REQ トークンを要求します。以下のカスタム・プロパティーを指定します。
        表 3. ターゲット・サービスのカスタム・プロパティー. 以下のカスタム・プロパティーを使用して、トークン生成プログラムの情報を 指定します。
        名前 タイプ
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceName ターゲット・サービスの名前を指定します。 必須
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost ターゲット・サービスに関連付けられるホスト名を指定します (フォーマットは myhost.mycompany.com)。 必須
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm ターゲット・サービスに関連付けられるレルムの名前を指定します。 オプション

        複数のカスタム・プロパティーの名前と値のペアを指定するには、 「新規」をクリックします。

      8. 適用」をクリックします。
      9. 「追加バインディング」見出しから「コールバック・ハンドラー」をクリックします。
      10. 「クラス名」見出しから「カスタムの使用」オプションを選択し、 関連付けるフィールドに com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler を指定します。
      11. 「基本認証」見出しで「ユーザー名」、「パスワード」、 および「確認パスワード」フィールドに適切な値を指定します。

        このユーザー名により、 コールバック・ハンドラーのコンストラクターに渡されるデフォルトのユーザー ID が指定されます。例えば、kerberosuser などです。

      12. Kerberos ログインを開始するための Kerberos クライアントのプリンシパル名およびパスワードについて、 トークン生成プログラムのカスタム・プロパティーを指定します。
        これらのカスタム・プロパティーにより、プロンプトが制御され、 クレデンシャル・キャッシュに基づいたトークンが確立されます。以下のカスタム・プロパティーの名前と値のペアを指定します。
        表 4. Kerberos ログインのカスタム・プロパティー. カスタム・プロパティーを使用して、トークン生成プログラムの情報を 指定します。
        名前 タイプ
        com.ibm.wsspi.wssecurity.krbtoken.loginPrompt 値が True の場合、Kerberos ログインは使用可能です。 デフォルト値は False です。 オプション
        com.ibm.wsspi.wssecurity.krbtoken.clientRealm クライアントに関連付けられる Kerberos レルムの名前を指定します。 2
        Web Services Security を相互 Kerberos レルム環境またはトラステッド Kerberos レルム環境で実装する場合、clientRealm プロパティーの値を指定する必要があります。

        Web サービスの要求メッセージごとに Kerberos V5 AP_REQ トークンをアプリケーションで生成またはコンシュームする場合、 アプリケーションのトークン生成プログラム・バインディングおよびトークン・コンシューマー・バインディングで com.ibm.wsspi.wssecurity.kerberos.attach.apreq カスタム・プロパティーに true を設定します。

        複数のカスタム・プロパティーの名前と値のペアを指定するには、 「新規」をクリックします。

      13. 適用」と「OK」をクリックします。
      次のステップで「認証と保護」パネルに戻ると、トークン生成プログラム用に新規の認証トークンが定義されています。 この新規トークンの構成を編集するには、パネルでその名前をクリックします。
    7. オプション: 「認証と保護」パネルに戻り、トークン・コンシューマー用の認証トークン構成を定義します。 「認証と保護」パネルに戻るには、パネルのメッセージ・セクションの後の「認証と保護」リンクをクリックします。
      重要: トークン・コンシューマー用の認証トークンを構成する場合には、 トークン生成プログラム用の認証トークンが定義されていることを確認してください。
      1. 「認証トークン」見出しから「新規」をクリックして、 「トークン・コンシューマー」を選択します。
      2. 名前」フィールドで、認証トークンの名前を指定します。
      3. トークン・タイプ」メニュー・リストの値から「カスタム」を選択します。
      4. ローカル名」フィールドで、ローカル名値を指定します。
        他の Web サービス・テクノロジーとのインターオペラビリティーのために、次のローカル名を指定します。http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ インターオペラビリティーの問題を考慮しない場合は、以下のいずれかのローカル名値を指定できます。
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        これらの選択値は、鍵配布センター (KDC) によって生成される Kerberos トークンの仕様レベルに応じて異なります。 これらの値の使用条件詳細については、トピック『認証ジェネレーターまたはコンシューマーのトークン設定』関連リンクを参照してください。

      5. 名前空間 URI」フィールドの値は指定しないでください。
      6. JAAS ログイン・ドロップダウン・メニューから、値「wss.consume.KRB5BST」を選択します。
        以前に独自の Java 認証・承認サービス (JAAS) ログイン・モジュールを定義している場合は、 このログイン・モジュールを選択して、Kerberos カスタム・トークンを処理できます。 カスタム JAAS ログイン・モジュールを定義するには、「新規アプリケーションのログイン」 > 「新規」をクリックし、新規モジュールの別名を指定して「適用」をクリックします。 詳しくは、『Java Authentication and Authorization Service 用のログイン・モジュール設定』を参照してください。
        重要: 『Java Authentication and Authorization Service 用のログイン・モジュール設定』トピックの説明ではセキュリティーについて言及し、Web Services Security については言及していませんが、Web Services Security のログイン・モジュールの構成はセキュリティーと同じです。
      7. 適用」をクリックします。
      8. 「追加バインディング」見出しから「コールバック・ハンドラー」をクリックします。
      9. 「クラス名」見出しから「カスタムの使用」オプションを選択し、 関連付けるフィールドに com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler を指定します。
      10. 適用」と「OK」をクリックします。
      次のステップで「認証と保護」パネルに戻ると、トークン・コンシューマー用に新規の認証トークンが定義されています。 この新規トークンの構成を編集するには、パネルでその名前をクリックします。

次のタスク

オプションとして、要求メッセージ保護および応答メッセージ保護用の鍵バインディングを定義できます。 Kerberos トークンから鍵を派生させる場合は、シグニチャーおよび暗号化の鍵情報を構成するときに派生鍵情報を構成します。

Web Services Security 用の Kerberos トークンの構成のトピックの手順に戻り、Kerberos トークンを構成する手順を完了していることを確認します。

1 オプション: targetServiceRealm プロパティーが指定されていない場合、レルム名として、Kerberos 構成ファイルのデフォルト・レルム名が使用されます。
2 オプション: clientRealm プロパティーは、単一 Kerberos レルム環境の場合はオプションです。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confkerbbinding
ファイル名:twbs_confkerbbinding.html