SPNEGO Web 認証の使用可能化

WebSphere® Application Server 用 Web オーセンティケーターとして Simple and Protected GSS-API Negotiation (SPNEGO) を使用可能にすることができます。

SPNEGO Web 認証を使用すれば、SPNEGO トークンを使用をネゴシエーションすることによって、 クライアント/サーバー・シングル・サインオンを利用できます。

この管理コンソール・ページを表示するには、「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。 「認証」で「Web および SIP セキュリティー」を展開して、 「SPNEGO Web 認証 (SPNEGO Web Authentication)」をクリックします。

アプリケーション・サーバーのホスト別名を使用します。

アプリケーション・サーバーのホスト別名を SPNEGO シングル・サインオン用の実際のホスト名に解決できるようにします。 アプリケーション・サーバーのホスト別名がない場合は、この機能を使用不可にします。 また、アプリケーション・サーバーにホスト別名があるものの、ホスト別名を実際のホスト名に解決できない場合にも、この機能を使用不可にする必要があります。

このオプションが使用可能になっていると、アプリケーション・サーバーの構成を変更せずに DNS で別名の追加と変更を動的に行うことができます。SPNEGO 構成によって別名のホスト名を設定する必要はありません。 HTTP 要求が出されるとアプリケーション・サーバーは DNS 検索を実行し、別名ホスト名が既に SPNEGO シングル・サインオン用に構成されているホスト名として解決されれば、アプリケーション・サーバーは処理を続行します。

アプリケーション・サーバーは、実際のホスト名に対する Kerberos サービス・プリンシパル名 (SPN) が Kerberos キータブ・ファイルに含まれていることを想定しています。

ホスト別名があり、このオプションを使用不可に設定している場合に、ホスト別名に対する SPN がキータブ・ファイルにあれば SPNEGO 構成によってホスト別名を設定します

通知
デフォルト: 使用不可

SPNEGO を動的に更新する

SPNEGO の変更があった場合、アプリケーション・サーバーを再始動せずに、SPNEGO ランタイムを動的に更新することができます。

注:SPNEGO を使用可能にする (Enable SPNEGO)」オプションが選択されていない場合、このオプションは使用不可です。
通知
デフォルト: 使用不可

SPNEGO を使用可能にする (Enable SPNEGO)

アプリケーション・サーバー用 Web オーセンティケーターとして Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を指定します。

通知
デフォルト: 使用不可

アプリケーション認証メカニズムに対するフォールバックを許可する (Allow fall back to application authentication mechanism)

WebSphere Application Server へのログインに、最初に SPNEGO を Web オーセンティケーターとして使用することを指定します。ただし、ログインに失敗した場合、アプリケーション認証メカニズムが WebSphere Application Server へのログインに使用されます。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): フォールバックの許可は、SPNEGO トークンを受信した場合にのみ行われます。 SPNEGO トークンが送信されなかった場合、フォールバックは行われません。gotcha

SPNEGO を使用可能にする (Enable SPNEGO)」オプションが選択されていない場合、このオプションは使用不可です。

通知
デフォルト: 使用不可

絶対パス付き Kerberos 構成ファイル (Kerberos configuration file with full path)

絶対パス付きの Kerberos 構成ファイル名です。 このファイルは「参照」をクリックして見つけることができます。

Kerberos クライアント構成ファイル krb5.conf または krb5.ini には、対象となるレルム用の鍵配布センター (KDC) のロケーションを含む、Kerberos の構成情報が入っています。 krb5.ini ファイルを使用する Windows オペレーティング・システムを除くすべてのプラットフォームで、デフォルト名は krb5.conf ファイルになります。

通知
データ型: ストリング

絶対パス付き Kerberos キータブ・ファイル名 (Kerberos keytab file name with full path)

絶対パス付きの Kerberos キータブ・ファイル名です。このファイルは「参照」をクリックして見つけることができます。

Kerberos キータブ・ファイルには 1 つ以上の Kerberos サービス・プリンシパル名およびキーがあります。デフォルトのキータブ・ファイルは krb5.keytab です。ホストでは、Kerberos キータブ・ファイルをローカル・ディスクに保管し、 許可ユーザーのみが読み取れるようにして、このファイルを保護することが重要です。詳しくは、Kerberos サービス・プリンシパル名とキータブ・ファイルの作成を参照してください。

Kerberos キータブ・ファイルを指定しない場合、Kerberos 構成ファイル内に定義されたデフォルトのキータブ・ファイルが使用されます。

通知
データ型: ストリング

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_kerb_SPNEGO_config
ファイル名:usec_kerb_SPNEGO_config.html