WebSphere Application Server, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

Kerberos 構成ファイル

WebSphere Application Server で Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) のトラスト・アソシエーション・インターセプター (TAI) を使用するには、Kerberos 構成プロパティー、 すなわち krb5.ini ファイルまたは krb5.conf ファイルを、 セル内のすべての WebSphere Application Server インスタンスに構成する必要があります。

WebSphere ランタイム・コードは、以下の順で Kerberos 構成ファイルを検索します。
  1. Java プロパティー java.security.krb5.conf が参照しているファイル
  2. <java.home>/lib/security/krb5.conf
  3. Microsoft Windows プラットフォームの場合は c:¥winnt¥krb5.ini
  4. UNIX プラットフォームの場合は /etc/krb5/krb5.conf
  5. /etc/krb5.conf on Linux™ platforms
WebSphere Application Server 用に SPNEGO TAI を構成するには、以下のように wsadmin ユーティリティーを使用します。
  1. WebSphere Application Server を始動します。
  2. app_server_root/bin ディレクトリーから、wsadmin コマンドを実行して、コマンド行ユーティリティーを開始します。
  3. wsadmin プロンプトで、次のコマンドを入力します。

    $AdminTask createKrbConfigFile

    このコマンドでは、以下のパラメーターを使用できます。
    オプション 説明
    <krbPath> このパラメーターは必須です。このパラメーターは、Kerberos 構成ファイル (krb5.ini または krb5.conf) の完全修飾システム・ロケーションを提供します。
    <realm> このパラメーターは必須です。このパラメーターは、Kerberos レルム名を提供します。この属性の値は、com.ibm.ws.security.spnego.SPN<id>.hostName プロパティーで指定されている各ホストの Kerberos サービス・プリンシパル名を構成するために、SPNEGO TAI によって使用されます。
    <kdcHost> このパラメーターは必須です。このパラメーターは、Kerberos 鍵配布センター (KDC) のホスト名を提供します。
    <kdcPort> このパラメーターはオプションです。このパラメーターは、KDC のポート番号を提供します。このオプションが指定されていない場合のデフォルト値は 88 です。
    <dns> このパラメーターは必須です。このパラメーターは、完全修飾ホスト名の作成に使用されるデフォルトのドメイン名サービス (DNS) を提供します。
    <keytabPath> このパラメーターは必須です。このパラメーターは、Kerberos キー・タブ・ファイルのファイル・システム・ロケーションを提供します。
    <encryption> このパラメーターはオプションです。このパラメーターは、サポートされている暗号化タイプをスペースで区切ったリストを示します。 指定された値は、default_tkt_enctypes および default_tgs_enctypes に使用されます。 このパラメーターが指定されていない場合のデフォルトの暗号タイプは des-cbc-md5 および rc4-hmac です。

以下の例では、wsadmin コマンドによって krb5.ini ファイルが c:¥winnt ディレクトリーに作成されます。 デフォルトの Kerberos キー・タブ・ファイルも c:¥winnt にあります。 実際の Kerberos レルム名は WSSEC.AUSTIN.IBM.COM で、KDC ホスト名は host1.austin.ibm.com です。

wsadmin>$AdminTask createKrbConfigFile {-krbPath 
c:¥winnt¥krb5.ini -realm WSSEC.AUSTIN.IBM.COM -kdcHost host1.austin.ibm.com
 -dns austin.ibm.com -keytabPath c:¥winnt¥krb5.keytab}
上記の wsadmin コマンドは、以下の krb5.ini ファイルを作成します。
[libdefaults]
 default_realm = WSSEC.AUSTIN.IBM.COM
        default_keytab_name = FILE:c:¥winnt¥krb5.keytab
        default_tkt_enctypes = des-cbc-md5 rc4-hmac
        default_tgs_enctypes = des-cbc-md5 rc4-hmac
[realms]
        WSSEC.AUSTIN.IBM.COM = {
  kdc = host1.austin.ibm.com:88
              default_domain = austin.ibm.com
}
[domain_realm]
        .austin.ibm.com = WSSEC.AUSTIN.IBM.COM
注: Kerberos キー・タブ・ファイルには、ユーザー・パスワードに類似した鍵のリストが含まれています。 ホストでは、Kerberos キー・タブ・ファイルをローカル・ディスクに保管することにより保護することが重要です。 krb5.conf ファイルの許可は 644 でなければなりません。 これは、このファイルの読み取りと書き込みが可能であることを意味します。 ただし、このファイルが属するグループのメンバーと、その他すべてのユーザーは、 このファイルの読み取りのみが可能となります。

Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・ アソシエーション・インターセプター (TAI) の Kerberos 構成設定、Kerberos 鍵配布センター (KDC) 名、 およびレルム設定は、Kerberos 構成ファイル、 またはシステム・プロパティー・ファイルの java.security.krb5.kdc および java.security.krb5.realm を 通じて提供されます。




関連タスク
SPNEGO TAI を使用した HTTP 要求のシングル・サインオンの作成
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:05:53 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/rsec_SPNEGO_config_krb5.html