Kerberos 認証コマンド
wsadmin コマンドを使用することにより、WebSphere® Application Server の認証メカニズムとして Kerberos の作成、変更、削除を行います。
Kerberos 認証メカニズムの作成
createKrbAuthMechanism コマンドを使用して KRB5 認証メカニズムのセキュリティー・オブジェクト・フィールドをセキュリティー構成ファイルに作成するには、 次の事項が必要です。
- Kerberos 構成ファイル (krb5.ini または krb5.conf) がない場合は、createkrbConfigFile コマンド・タスクを使用して、Kerberos 構成ファイルを作成します。詳しくは、Kerberos 構成ファイルの作成について参照してください。
- WebSphere アプリケーション・サーバーが実行されているそれぞれのマシンごとに、
Kerberos サービス・プリンシパル名 (SPN) <service name>/<完全修飾ホスト名>@KerberosRealm が含まれる Kerberos キータブ・ファイル (krb5.keytab) が必要です。サービス名は任意のものでかまいません。デフォルト値は WAS です。
例えば、2 つのアプリケーション・サーバー・マシン host1.austin.ibm.com と host2.austin.ibm.com がある場合、 Kerberos キータブ・ファイルには <service name>/host1.austin.ibm.com と service name>/host2.austin.ibm.com SPN およびそれらの Kerberos キーが含まれている必要があります。
createKrbAuthMechanism コマンドを使用して KRB5 認証メカニズムのセキュリティー・オブジェクト・フィールドをセキュリティー構成ファイルに作成します。
wsadmin プロンプトで、次のコマンドを入力します。
$AdminTask help createKrbAuthMechanism
オプション | 説明 |
---|---|
<krb5Realm> | このパラメーターはオプションです。 Kerberos レルム名を示します。このパラメーターを指定しない場合は、Kerberos 構成ファイルにあるデフォルトの Kerberos レルム名が使用されます。 |
<krb5Config> | このパラメーターは必須です。 構成 (krb5.ini または krb5.conf) ファイルのディレクトリー・ロケーションとファイル名を示します。 |
<krb5Keytab> | このパラメーターはオプションです。 Kerberos キータブ・ファイルのディレクトリー・ロケーションとファイル名を示します。このパラメーターを指定しない場合は、Kerberos 構成ファイルにあるデフォルトの keytab が使用されます。 |
<serviceName> | このパラメーターは必須です。 Kerberos サービス名を示します。デフォルトの Kerberos サービス名は WAS です。 |
<trimUserName> | このパラメーターはオプションです。
Kerberos レルム名に先行する、「@」で始まるプリンシパル・ユーザー名の
サフィックスを除去します。このパラメーターはオプションです。
デフォルト値は true です。![]() |
<enabledGssCredDelegate> | このパラメーターは必須ではありません。これにより、GSS 委任クレデンシャルを抽出してサブジェクト内に配置するかどうかを指示します。 デフォルト値は true です。 |
<allowKrbAuthForCsiInbound> | このパラメーターはオプションです。 Common Secure Interoperability (CSI) のインバウンドに対して Kerberos 認証メカニズムを有効にします。デフォルト値は true です。 |
<allowKrbAuthForCsiOutbound> | このパラメーターは必須です。 CSI のアウトバウンドに対して Kerberos 認証メカニズムを有効にします。デフォルト値は true です。 |
${WAS_INSTALL_ROOT}¥etc¥krb5¥krb5.${CFG_OR_INI}
wsadmin>$AdminTask createKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:¥¥WINNT¥¥krb5.ini
-krb5Keytab C:¥¥WINNT¥¥krb5.keytab
-serviceName WAS }
Kerberos 認証メカニズムの変更
modifyKrbAuthMechanism コマンドを使用して セキュリティー構成ファイルの KRB5 認証メカニズムのセキュリティー・オブジェクト・フィールドを変更します。
wsadmin プロンプトで、次のコマンドを入力します。
$AdminTask help modifyKrbAuthMechanism
オプション | 説明 |
---|---|
<krb5Realm> | このパラメーターはオプションです。 Kerberos レルム名を示します。このパラメーターを指定しない場合は、Kerberos 構成ファイルにあるデフォルトの Kerberos レルム名が使用されます。 |
<krb5Config> | このパラメーターは必須です。 構成 (krb5.ini または krb5.conf) ファイルのディレクトリー・ロケーションとファイル名を示します。 |
<krb5Keytab> | このパラメーターはオプションです。 Kerberos キータブ・ファイルのディレクトリー・ロケーションとファイル名を示します。このパラメーターを指定しない場合は、Kerberos 構成ファイルにあるデフォルトの keytab が使用されます。 |
<serviceName> | このパラメーターは必須です。 Kerberos サービス名を示します。デフォルトの Kerberos サービス名は WAS です。 |
<trimUserName> | このパラメーターはオプションです。 Kerberos レルム名に先行する、「@」で始まるプリンシパル・ユーザー名の サフィックスを除去します。このパラメーターはオプションです。 デフォルト値は true です。 |
<enabledGssCredDelegate> | このパラメーターは必須ではありません。クライアントの Kerberos および GSS 委任クレデンシャルを抽出して、Kerberos 認証トークン (KRBAuthnToken) 内に配置するかどうかを指定する場合に使用してください。デフォルト値は true です。 注: このパラメーターが true で、ランタイムが Kerberos GSS 委任クレデンシャルを抽出できない場合、ランタイムは警告メッセージをログに記録します。
|
<allowKrbAuthForCsiInbound> | このパラメーターはオプションです。 Common Secure Interoperability (CSI) のインバウンドに対して Kerberos 認証メカニズムを有効にします。デフォルト値は true です。 |
<allowKrbAuthForCsiOutbound> | このパラメーターはオプションです。 CSI のアウトバウンドに対して Kerberos 認証メカニズムを有効にします。デフォルト値は true です。 |
${WAS_INSTALL_ROOT}¥etc¥krb5¥krb5.${CFG_OR_INI}
以下に、modifyKrbAuthMechanism コマンドの例を示します。
wsadmin>$AdminTask modifyKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:¥¥WINNT¥¥krb5.ini
-krb5Keytab C:¥¥WINNT¥¥krb5.keytab
-serviceName WAS }
Kerberos 認証メカニズムの削除
deleteKrbAuthMechanism コマンドを使用して セキュリティー構成ファイルの KRB5 認証メカニズムのセキュリティー・オブジェクト・フィールドを削除します。
wsadmin プロンプトで、次のコマンドを入力します。
$AdminTask help deleteKrbAuthMechanism
以下に、deleteKrbAuthMechanism コマンドの例を示します。
wsadmin>$AdminTask deleteKrbAuthMechanism
アクティブな認証メカニズムの設定
setActiveAuthMechanism コマンドを使用して、 セキュリティー構成のアクティブな認証メカニズム属性を設定します。
wsadmin プロンプトで、次のコマンドを入力します。
$AdminTask help setActiveAuthMechanism
オプション | 説明 |
---|---|
<authMechanismType> | このパラメーターは必須ではありません。認証メカニズムのタイプを示します。デフォルトは KRB5 です。 |
以下に、setActiveAuthMechanism コマンドの例を示します。
wsadmin> $AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }