スクリプトによる Common Secure Interoperability 認証の構成
このトピックでは、wsadmin ツールを使用して、Common Secure Interoperability プロトコルを使用したインバウンド通信とアウトバウンド通信を構成します。 Common Secure Interoperability Version 2 (CSIv2) は、ベンダー・インターオペラビリティーの向上と追加機能をサポートしています。
始める前に
ローカル・オペレーティング・システムのユーザー・レジストリーを構成する前に、以下の要件を満たしている必要があります。
- 管理者ロールまたは新規の管理ロールを所有している必要があります。
- ご使用の環境で、グローバル・セキュリティーを使用可能にします。
- ご使用の環境で、セキュリティー・ドメインを使用して複数レルムを構成します。
手順
- CSI インバウンド通信認証を構成します。
インバウンド認証とは、インバウンド要求に対して受け入れられる認証タイプを決定する構成のことを指します。この認証は、クライアントがネーム・サーバーから取り出す相互運用オブジェクト参照 (IOR) で公示されます。
- Jython スクリプト言語を使用する wsadmin スクリプト・ツールを起動します。詳しくは、『wsadmin スクリプト・クライアントの開始』の項目を参照してください。
- CSI インバウンド通信で指定する設定を決定します。 configureCSIInbound コマンドにより、CSI インバウンド通信のさまざまな設定を構成します。
表 1. コマンドのパラメーター. 以下のオプション・パラメーターのリストを見て、構成で設定する属性を判断してください。 パラメーター 説明 -securityDomainName セキュリティー構成の名前を指定します。セキュリティー・ドメイン名を 指定しない場合は、このコマンドによってグローバル・セキュリティー構成が 変更されます。 (ストリング) -messageLevelAuth このサーバーに接続するクライアントがユーザー ID とパスワードを指定する必要があるかどうかを指定します。 ユーザー ID とパスワードの要件を無効にする場合は、Never と指定します。ユーザー ID とパスワードを受け入れる場合は、Supported と指定します。ユーザー ID とパスワードを必須にする場合は、Required と指定します。 (ストリング) -supportedAuthMechList 使用する認証メカニズムを指定します。Kerberos 認証の場合は KRB5、Lightweight Third-Party Authentication の場合は LTPA、基本認証の場合は BasicAuth、独自の認証トークン実装を使用する場合は custom と指定します。 認証メカニズムは、パイプ文字 (|) で区切って複数指定することができます。 (ストリング) -clientCertAuth クライアントがサーバーに接続する際に SSL 証明書を使用する必要があるかどうかを指定します。 SSL 証明書を使用せずにクライアントに接続を許可する場合は、Never と指定します。 クライアントが SSL 証明書を使用するかどうかにかかわらず接続できるようにするには、Supported を指定します。 クライアントに対して SSL 証明書の使用を必須にする場合は、Required と指定します。(ストリング) -transportLayer トランスポート層のサポート・レベルを指定します。 トランスポート層のサポートを使用不可にする場合は、Never と指定します。トランスポート層のサポートを使用可能にする場合は、Supported と指定します。トランスポート層のサポートを必須にする場合は、Required と指定します。 (ストリング) -sslConfiguration インバウンド・トランスポートで使用する SSL 構成の別名を指定します。(ストリング) -enableIdentityAssertion ID アサーションを使用可能にするかどうかを指定します。ID アサーション認証メソッドを使用する場合、生成されるセキュリティー・トークンは、<wsse:Username> 要素が内在する <wsse:UsernameToken> 要素です。ID アサーションを有効にするには、-enableIdentityAssertion パラメーターに true を指定します。(ブール値) -trustedIdentities パイプ文字 (|) で区切られたトラステッド・サーバー ID のリストを指定します。NULL 値を指定する場合は、-trustedIdentities パラメーターの値を空ストリング ("") として指定します。 (ストリング) -statefulSession ステートフル・セッションを使用可能にするかどうかを指定します。ステートフル・セッションを使用可能にする場合は、true と指定します。(ブール値) -enableAttributePropagation セキュリティー属性の伝搬を有効にするかどうかを指定します。 セキュリティー属性の伝搬により、アプリケーション・サーバーは、ご使用の構成内の 1 つのサーバーから別のサーバーに認証済みサブジェクト内容とセキュリティー・コンテキスト情報をトランスポートできます。セキュリティー属性の伝搬を使用可能にする場合は、true と指定します。(ブール値) - CSI インバウンド通信認証を構成します。
configureCSIInbound コマンドにより、セキュリティー・ドメインまたはグローバル・セキュリティー構成で CSIv2 インバウンド認証を構成します。セキュリティー・ドメインで CSI インバウンドを初めて構成する場合は、CSI オブジェクトがグローバル・セキュリティーからコピーされます。その後、変更点をその構成に適用します。
configureCSIInbound コマンドを使用して、以下の Jython の例に示されるように、セキュリティー・ドメインまたはグローバル・セキュリティー構成で CSI インバウンド認証を構成します。AdminTask.configureCSIInbound('-securityDomainName testDomain -messageLevelAuth Supported -supportedAuthMechList KRB5|LTPA -clientCertAuth Supported -statefulSession true')
- 構成の変更を保存します。 以下のコマンド例を使用して、構成変更を保存します。
AdminConfig.save()
- CSI アウトバウンド通信認証を構成します。
アウトバウンド認証とは、ダウンストリーム・サーバーへのアウトバウンド要求に対して実行される認証タイプを 決定する構成のことを指します。
- wsadmin スクリプト・ツールを開始します。
- CSI アウトバウンド通信で指定する設定を決定します。 configureCSIOutbound コマンドにより、CSI アウトバウンド通信のさまざまな設定を構成します。
表 2. コマンドのパラメーター. 以下のオプション・パラメーターのリストを見て、構成で設定する属性を判断してください。 パラメーター 説明 -securityDomainName セキュリティー構成の名前を指定します。セキュリティー・ドメイン名を 指定しない場合は、このコマンドによってグローバル・セキュリティー構成が 変更されます。 (ストリング) -enableAttributePropagation セキュリティー属性の伝搬を有効にするかどうかを指定します。 セキュリティー属性の伝搬により、アプリケーション・サーバーは、ご使用の構成内の 1 つのサーバーから別のサーバーに認証済みサブジェクト内容とセキュリティー・コンテキスト情報をトランスポートできます。セキュリティー属性の伝搬を使用可能にする場合は、true と指定します。(ブール値) -enableIdentityAssertion ID アサーションを使用可能にするかどうかを指定します。ID アサーション認証メソッドを使用する場合、生成されるセキュリティー・トークンは、<wsse:Username> 要素が内在する <wsse:UsernameToken> 要素です。ID アサーションを有効にするには、-enableIdentityAssertion パラメーターに true を指定します。(ブール値) -useServerIdentity ターゲット・サーバーとのトラストを確立するためにサーバー ID を使用するかどうかを指定します。サーバー ID を使用するには、true を指定します。(ブール値) -trustedId アプリケーション・サーバーがターゲット・サーバーとのトラストの確立に使用するトラステッド ID を指定します。(ストリング) -trustedIdentityPassword トラステッド・サーバー ID のパスワードを指定します。 (ストリング) -messageLevelAuth このサーバーに接続するクライアントがユーザー ID とパスワードを指定する必要があるかどうかを指定します。 ユーザー ID とパスワードの要件を無効にする場合は、Never と指定します。ユーザー ID とパスワードを受け入れる場合は、Supported と指定します。ユーザー ID とパスワードを必須にする場合は、Required と指定します。 (ストリング) -supportedAuthMechList 使用する認証メカニズムを指定します。Kerberos 認証の場合は KRB5、Lightweight Third-Party Authentication の場合は LTPA、基本認証の場合は BasicAuth、独自の認証トークン実装を使用する場合は custom と指定します。 認証メカニズムは、パイプ文字 (|) で区切って複数指定することができます。 (ストリング) -clientCertAuth クライアントがサーバーに接続する際に SSL 証明書を使用する必要があるかどうかを指定します。 SSL 証明書を使用せずにクライアントに接続を許可する場合は、Never と指定します。 クライアントが SSL 証明書を使用するかどうかにかかわらず接続できるようにするには、Supported を指定します。 クライアントに対して SSL 証明書の使用を必須にする場合は、Required と指定します。(ストリング) -transportLayer トランスポート層のサポート・レベルを指定します。 トランスポート層のサポートを使用不可にする場合は、Never と指定します。トランスポート層のサポートを使用可能にする場合は、Supported と指定します。トランスポート層のサポートを必須にする場合は、Required と指定します。 (ストリング) -sslConfiguration インバウンド・トランスポートで使用する SSL 構成の別名を指定します。(ストリング) -statefulSession ステートフル・セッションを使用可能にするかどうかを指定します。ステートフル・セッションを使用可能にする場合は、true と指定します。(ブール値) -enableCacheLimit CSIv2 セッション・キャッシュのサイズを制限するかどうかを指定します。値を true に指定すると、キャッシュ・サイズに制限が追加されます。制限の値は、-maxCacheSize パラメーターおよび -idleSessionTimeout パラメーターに設定した値で決まります。デフォルト値の false では、キャッシュ・サイズは制限されません。ご使用の環境で Kerberos 認証を使用していて、構成されている鍵配布センター (KDC) のクロック・スキューが小さい場合、このパラメーターに true 値を追加することを検討してください。小さいクロック・スキューとは、20 分未満として定義されています。このパラメーターは、-statefulSession パラメーターを true に設定した場合に適用されます。 (ブール値) -maxCacheSize セッション・キャッシュの最大サイズを指定します。これを超えると、期限切れセッションがキャッシュから削除されます。期限切れセッションとは、-idleSessionTimeout パラメーターに指定した時間より長い時間アイドル状態にあるセッションのことです。ご使用の環境で Kerberos 認証を使用していて、構成されている鍵配布センター (KDC) のクロック・スキューが小さい場合、このパラメーターに値を指定することを検討してください。小さいクロック・スキューとは、20 分未満として定義されています。キャッシュ・サイズが小さいためにガーベッジ・コレクションが頻繁に実行されて、アプリケーション・サーバーのパフォーマンスに影響する場合には、このパラメーターの値を増やすことを検討してください。-statefulSession パラメーターおよび -enableCacheLimit パラメーターを true に設定し、-idleSessionTimeout パラメーターに値を設定した場合に、このパラメーターが適用されます。このパラメーターの値の有効範囲は、100 から 1000 です。(整数) -idleSessionTimeout CSIv2 セッションが削除されずにアイドルであることが可能な時間を、ミリ秒単位で指定します。-enableCacheLimit パラメーターが true に設定された場合、-maxCacheSize パラメーターの値を超過すると、セッションが削除されます。ご使用の環境で Kerberos 認証を使用していて、KDC のクロック・スキューが小さい場合、このパラメーターの値を減らすことを検討してください。クロック・スキューが小さいと、拒否される CSIv2 セッションの数が増える可能性があります。ただし、このパラメーターの値を小さくすることで、拒否されたセッションがアプリケーション・サーバーによって頻繁にクリーンアップされ、リソース不足を削減できることもあります。このパラメーターの値の有効範囲は、60,000 ミリ秒から 86,400,000 ミリ秒です。(整数) -enableOutboundMapping カスタム・アウトバウンド ID マッピングを使用可能にするかどうかを指定します。カスタム・アウトバウンド ID マッピングを使用可能にする場合は、true と指定します。 (ブール値) -trustedTargetRealms 信頼するターゲット・レルムのリストを指定します。 各レルム名はパイプ文字 (|) で区切ります。 (ストリング) - CSI アウトバウンド通信認証を構成します。
configureCSIOutbound コマンドにより、セキュリティー・ドメインまたはグローバル・セキュリティー構成で CSIv2 アウトバウンド認証を構成します。セキュリティー・ドメインで CSI アウトバウンド認証を初めて構成する場合、アプリケーション・サーバーは CSI オブジェクトを グローバル・セキュリティーからコピーします。次いでアプリケーション・サーバーは、変更点をその構成に適用します。
configureCSIOutbound コマンドを使用して、以下の Jython の例に示されるように、セキュリティー・ドメインまたはグローバル・セキュリティー構成で CSI アウトバウンド認証を構成します。AdminTask.configureCSIOutbound('-securityDomainName testDomain -enableIdentityAssertion true -trustedId myID -trustedIdentityPassword myPassword123 -messageLevelAuth Required -trustedTargetRealms realm1|realm2|realm3')
- 構成の変更を保存します。 以下のコマンド例を使用して、構成変更を保存します。
AdminConfig.save()
関連タスク:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7configcsi
ファイル名:txml_7configcsi.html