[z/OS]

Kerberos プリンシパルの z/OS 上の System Authorization Facility (SAF) ID へのマッピング

WebSphere® Application Server 管理コンソールの Kerberos パネルで、「SAF ユーザー・プロファイルの KERB セグメントを使用」ラジオ・ボタンを選択する場合、ローカル OS のユーザーを特定の Kerberos プリンシパルにマップさせる必要があります。

始める前に

これらの文書では、z/OS® セキュリティー・サーバー (RACF®) の使用を想定しています。 別のセキュリティー製品を使用する場合、詳しくはベンダーにお問い合わせください。

Kerberos 管理コンソール・ページを表示するには、 「セキュリティー」>「グローバル・セキュリティー」をクリックします。 このページには、「SAF ユーザー・プロファイルの KERB セグメントを使用」ラジオ・ボタンが あります。「認証」の下の「Kerberos 構成」をクリックします。

Kerberos 管理コンソール・パネルでは、 「Kerberos プリンシパル名から SAF ID へのマッピング」の下にある最初のラジオ・ボタン 「Kerberos プリンシパルを SAF ID にマップするために SAF プロファイルを 使用しない」がデフォルトで選択されていますが、 マッピングに RACMAP または KERB セグメントは 使用されません。

注: Kerberos プリンシパルを SAF ID にマップするために、z/OS 上の ローカル・オペレーティング・システムのレジストリーと 組み込みマッピング・モジュールの両方を使用している場合は、 このラジオ・ボタンを選択する必要があります。

既に JAAS マッピング・モジュールがある場合は、 「Kerberos プリンシパル名から SAF ID へのマッピング」の下にある最後の 2 つのラジオ・ボタン 「SAF ユーザー・プロファイルの KERB セグメントを使用」および 「分散 ID マッピング対応の SAF 製品にある RACMAP プロファイルを使用」を 選択しないでください。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): 組み込まれたマッピング・モジュールを使用するオプションを選択した場合は、他のカスタム JAAS ログイン・モジュールを構成して Kerberos プリンシパルを SAF ID にマップしないでください。gotcha

このタスクについて

Kerberos プリンシパルを SAF ID にマップするには、Kerberos プリンシパルがローカルか外部かによって 2 つの方法あります。Kerberos プリンシパルが RACF データベースと同じ z/OS システムの z/OS KDC 内に存在する場合はローカルです。

ALTUSER コマンドを 使用して KDC を構成する方法について詳しくは、Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration を 参照してください。

ローカルの Kerberos プリンシパル名を指定する場合は、Kerberos レルム名を含めないでください。

ローカルの Kerberos プリンシパルのマッピング:

  1. 例えば、RACF ユーザー USER1 を kerberosUser1 というローカルの Kerberos プリンシパル名にマップする場合 (Kerberos プリンシパル名は大/小文字を区別することに注意してください)、以下の RACF コマンドを発行します。

    ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))

  2. Windows KDC での相互運用を計画している場合、以下の RACF コマンドを発行して、DES、DES3、DESD の暗号化タイプがサポートされていないことを指定します。
    ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
    トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): ALTUSER コマンドに指定する、サポートする暗号化タイプのリストが、krb5.conf Kerberos 構成ファイル内で指定されている暗号化タイプと整合していることを確認してください。例えば、krb5.conf 構成ファイルで aes256-cts-hmac-sha1-96 のみをサポートと指定している場合は、ENCRYPT オペランドで、AES256 を除く他のすべての暗号化タイプをサポート対象外に設定する必要があります。gotcha
  3. 上記のコマンドが正常に完了したことを検証するため、以下の RACF コマンドを実行します。

    LISTUSER USER1 KERB NORACF

出力の最後には、以下の例のような Kerberos 関連情報が表示されます。
KERB INFORMATION                         
----------------                         
KERBNAME= kerberosUser1
KEY VERSION= 001
KEY ENCRYPTION TYPE= DES NODES3 NODESD

ALTUSER コマンドは、WebSphere Application Server にログインする際に Kerberos を使用する必要がある RACF のすべてのユーザーに発行する必要があります。

注: プリンシパル名は大文字には変換されず、レルム名は含まれません。 大/小文字混合のパスワード・オプションが使用不可になっている場合は、ALTUSER コマンドにより、 パスワードが大文字に変換されます。このオプションが有効になっていない場合は、 Kerberos 初期チケット要求時に大文字の値が使用されていることを確認してください。 このオプションについて詳しくは、ローカル・オペレーティング・システム・レジストリーを使用したパスワードの大/小文字の区別を参照してください。Kerberos 秘密鍵を作成するには、 ユーザーのパスワードを変更する必要があります。

外部の Kerberos プリンシパルのマッピング:

外部レルム内にある各プリンシパルを RACF 内のそれ自体のユーザー ID にマップすることができ、また外部レルム内にあるすべてのプリンシパルを RACF 内の同じユーザー ID にマップすることもできます。外部の Kerberos プリンシパルを RACF ユーザーにマップするには、一般リソース・プロファイルを KERBLINK クラスに定義します。各マッピングは、RDEFINE コマンドと RALTER コマンドを使用して定義および変更されます。

注: 注: KERBLINK クラスのプロファイル名の文字は大文字に変換されないため、プロファイル名のレルム部分は、必ず大文字で入力し、外部プリンシパル名も、大文字小文字を正しく入力するようにしてください。

KERBLINK クラスの使用について詳しくは、「z/OS Security Server RACF Security Administrator's Guide (邦文資料: z/OS Security Server RACF セキュリティー管理者のガイド)」を参照してください。

  1. 例えば、外部レルム FOREIGN.REALM.IBM.COM の外部の Kerberos プリンシパル名 foreignKerberosUser2 を RACF ユーザー USER2 にマップする場合、次の RACF コマンドを発行します。

    RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')

  2. 上記のコマンドが正常に完了したことを検証するため、以下の RACF コマンドを実行します。

    RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

マップされた RACF ID が、以下の RLIST コマンドの出力例のように APPLICATION DATA フィールドに表示されます。
CLASS      NAME
-----      ----
KERBLINK   /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

LEVEL  OWNER      UNIVERSAL ACCESS  YOUR ACCESS  WARNING
-----  --------   ----------------  -----------  -------
00    IBMUSER         NONE              ALTER    NO

INSTALLATION DATA
-----------------
NONE

APPLICATION DATA
----------------
USER2

AUDITING
--------
FAILURES(READ)

NOTIFY
------
NO USER TO BE NOTIFIED

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_zmap
ファイル名:tsec_kerb_zmap.html