管理コンソールを介した SPNEGO TAI または SPENGO Web 認証での別名ホスト名の使用 (非推奨)

Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・アソシエーション・インターセプター (TAI) を認証のために使用し、かつアプリケーション・サーバーのホスト名として別名ホスト名を使用するときは、その別名ホスト名を SPNEGO シングル・サインオンのための実際のホスト名に解決するカスタム・プロパティーを構成する必要があります。 これにより、アプリケーション・サーバーの構成を変更せずに DNS で別名の追加と変更を動的に行うことができます。 このカスタム・プロパティーを使用可能にすれば、SPNEGO 構成によって別名ホスト名を設定する必要がなくなります。

始める前に

これらの設定が有効になる前に、SPNEGO TAI を使用した HTTP 要求のシングル・サインオンの作成 (非推奨)およびWebSphere Application Server の構成と SPNEGO TAI の使用可能化 (非推奨)に記載されているステップを完了していなければなりません。この構成では、SPNEGO-TAI シングル・サインオン環境が稼働している必要があります。

このタスクについて

HTTP 要求が出されるとアプリケーション・サーバーは DNS 検索を実行し、別名ホスト名が既に SPNEGO シングル・サインオン用に構成されているホスト名として解決されれば、アプリケーション・サーバーは処理を続行します。通常、SPNEGO アカウントに別名ホスト名を追加する必要はありません。

手順

  1. com.ibm.ws.security.spnego.SPNx.hostName 変数の実際のホスト名を定義します。
    1. 管理コンソールで、「グローバル・セキュリティー」 > 「Web および SIP セキュリティー」 > 「トラスト・アソシエーション」 > 「インターセプター」 > 「com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl」 > 「カスタム・プロパティー」とクリックします。
    2. com.ibm.ws.security.spnego.SPNx.hostName 変数を追加または変更します。 以下に例を示します。
      名前
      com.ibm.ws.security.spnego.SPNx.hostName
      real_host_name

      このカスタム・プロパティーは、SPNEGO シングル・サインオン用に アプリケーション・サーバーが別名のホスト名を解決できる実際のホスト名を 指定します。これにより、アプリケーション・サーバーの構成を変更せずに DNS で別名の追加と変更を動的に行うことができます。

      オプションで別名ホスト名を定義できますが、必須なのは実際のホスト名を定義することのみです。HTTP 要求を受信すると、 アプリケーション・サーバーが別名ホスト名を実際のホスト名に解決するからです。

  2. 正規サポート・フラグをオンにします。
    1. 管理コンソールで、「グローバル・セキュリティー」 > 「カスタム・プロパティー」とクリックします。
    2. com.ibm.websphere.security.krb.canonical_host 変数を追加または変更し、「true」に設定します。
      名前
      com.ibm.websphere.security.krb.canonical_host
      true
      このカスタム・プロパティーは、アプリケーション・サーバーが クライアントの認証で正規形式の URL/HTTP ホスト名を使用するかどうかを 指定します。このカスタム・プロパティーを false に 設定すると、Kerberos チケットに HTTP ホスト名ヘッダーと異なる ホスト名が入る場合があり、アプリケーション・サーバーが 以下のメッセージを出すことがあります。
      CWSPN0011E: An invalid SPNEGO token has been encountered while authenticating a HttpServletRequest

      このカスタム・プロパティーを true に設定すると、このエラー・メッセージを回避でき、アプリケーション・サーバーが正規形式の URL/HTTP ホスト名を使用して認証を行えるようにすることができます。

  3. ブラウザーを構成します。 クライアント・マシン用のブラウザーで、別名ホスト名をトラステッド・ホストとして構成する必要があります。
    • Internet Explorer の場合:
      1. 「ツール」 > 「インターネット オプション」を選択します。
      2. 「セキュリティー」タブを選択します。
      3. 「ローカル イントラネット」 > 「サイト」 > 「詳細設定」とクリックします。
      4. このパネルで別名ホスト名を追加します。
    • Mozilla Firefox の場合:
      1. アドレス・バーで 「About:config」 と入力し、ENTER キーを押して構成オプションにアクセスします。
      2. network.negotiate-auth.trusted-uris」設定名を探し、その設定を右クリックして、「変更」を選択します。 この設定がない場合は、パネル内を右クリックし、「新規」 > 「ストリング」を選択します。
      3. テキスト・ボックスで別名ホスト名を追加します (ホスト名の区切りにはコンマを使用します)。
  4. 実際のホスト名がキータブ・ファイルに追加されていることを確認します。
    config: 次の 2 通りの方法でキータブ・ファイルを構成することができます。
    • com.ibm.websphere.security.krb.canonical_host が「true」に設定されていると、アプリケーション・サーバーは実際のホスト名がキータブ・ファイルに入っていると想定します。別名は必要ありません。
    • com.ibm.websphere.security.krb.canonical_host が「false」に設定されていて、さらに別名が定義されている場合は、別名がキータブ・ファイルに存在していなければなりません。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_alias
ファイル名:tsec_SPNEGO_add_alias.html