Kerberos キータブ・ファイルを管理するための ktab コマンドの使用
Kerberos キー・テーブル・マネージャー・コマンド (Ktab) を使用すると、製品管理者は、ローカルの Kerberos キータブ・ファイルに保管されている Kerberos サービス・プリンシパル名と鍵を管理できます。 IBM Software Development Kit (SDK) または Sun Java Development Kit (JDK) 1.6 以降では、ktab コマンドを使用して 2 つの Kerberos キータブ・ファイルをマージすることができます。
これらのキータブ・ファイルをマージするには、Java Development Kit (JDK) バージョン 1.6 SR3 累積修正をインストールする必要があります。これにより、JDK はバージョン 1.6.0_07 にアップグレードされます。
これらのキータブ・ファイルをマージするには、Software Development Kit (SDK) バージョン 1.6 SR3 累積修正をインストールする必要があります。これにより、JDK はバージョン 1.6.0.02 にアップグレードされます。
これらのキータブ・ファイルをマージするには、Java Development Kit (JDK) バージョン 1.6 SR3 累積修正をインストールする必要があります。これにより、SDK はバージョン 1.6.0 Java Technology Edition SR3 にアップグレードされます。

WebSphere Application Server バージョン 6.1 では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されたリソースへの HTTP 要求を安全にネゴシエーションし、認証する、トラスト・アソシエーション・インターセプター (TAI) が導入されています。 WebSphere Application Server バージョン 7.0 では、この機能は現在推奨されていません。
代わりに SPNEGO Web 認証が導入され、以下の機能拡張が提供されるようになりました。
- 管理コンソールを使用して、WebSphere Application Server 側で SPNEGO Web 認証およびフィルターを構成したり使用可能にすることができます。
- WebSphere Application Server を停止して再始動することなく、SPNEGO を動的に再ロードできます。
- SPNEGO Web 認証が失敗した場合に、アプリケーション・ログイン・メソッドへのフォールバックが可能です。
- キータブ・ファイルを保護し、それらを読み取り可能にするのは、許可されたプロダクト・ユーザーだけであることが重要です。
- Ktab を使用した Kerberos キータブ・ファイルの更新は、Kerberos データベースに影響を与えません。 Kerberos キータブ・ファイルの鍵を変更した場合は、対応する変更を Kerberos データベースに対しても行う必要があります。
$ ktab -help
Usage: java com.ibm.security.krb5.internal.tools.Ktab [options]
Available options:
-l list the keytab name and entries
-a <principal_name> [password] add an entry to the keytab
-d <principal_name> delete an entry from the keytab
-k <keytab_name> specify keytab name and path with FILE: prefix
-m <source_keytab_name> <destination_keytab_name> specify merging source keytab file name and destination keytab file name
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Merging keytab files: source=krb5Host1.keytab destination=krb5.keytab
Done!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
[root@wssecjibe bin]# ./ktab -a
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Done!
Service key for principal HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM saved
[root@wssecjibe bin]# ./ktab
KVNO Principal
---- ---------
1 HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf
/etc/krb5.keytab
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)