WebSphere Application Server for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

SPNEGO TAI を使用した HTTP 要求のシングル・サインオンの作成

WebSphere Application Server の Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・アソシエーション・インターセプター (TAI) を 使用して HTTP 要求のシングル・サインオンを作成するには、個別の、しかし互いに関連のある いくつかの機能を実行する必要があります。これが完了すると、HTTP ユーザーは、 デスクトップで一度ログインおよび認証するだけで、WebSphere Application Server からの自動認証を 受けられるようになります。

始める前に

このタスクを開始する前に、次のチェックリストを確認してください。

このタスクについて

このマシン調整の目的は、ユーザーが 再認証を受けなくても WebSphere Application Server リソースに正常にアクセスできるようにすること、 すなわち Microsoft Windows デスクトップのシングル・サインオン機能を 有効にすることです。

この環境のメンバーを、 Microsoft Windows シングル・サインオンを設定するように構成するには、次の 3 種類のマシンでそれぞれ 固有のアクティビティーを実行する必要があります。
  • Active Directory ドメイン・コントローラーおよび関連する Kerberos 鍵配布センター (KDC) が 稼働している Microsoft Windows 2000 または Windows 2003 Server。
  • ブラウザーや .NET クライアントなど、Microsoft Windows 2000 または Windows 2003 の ドメイン・メンバー (クライアント・アプリケーション)。
  • WebSphere Application Server が稼働しているサーバー・プラットフォーム。

SPNEGO を使用して HTTP 要求のシングル・サインオンを作成するには、 該当するマシンで以下のステップを実行します。

プロシージャー

  1. ドメイン・コントローラー・マシン - Active Directory ドメイン・コントローラー および関連する Kerberos 鍵配布センター (KDC) が稼働している Microsoft Windows 2000 または Windows 2003 Server を 構成します。 この構成アクティビティーの手順は次のとおりです。
    • Microsoft Active Directory に WebSphere Application Server のユーザー・アカウントを作成します。 このアカウントは、最終的には Kerberos サービス・プリンシパル名 (SPN) に マップされます。
    • Kerberos 鍵配布センター (KDC) がアクティブである Microsoft Active Directory マシンで、 そのユーザー・アカウントを Kerberos サービス・プリンシパル名 (SPN) に マップします。このユーザー・アカウントは、WebSphere Application Server を、KDC を使用した Kerberos 認証をサポートしているサービスとして表します。 setspn コマンドを使用して、Kerberos サービス・プリンシパル名を、 Microsoft ユーザー・アカウントにマップします。setspn コマンドの使用について詳しくは、 トピック WebSphere Application Server SPNEGO TAI で使用する Kerberos サービス・プリンシパルと キー・タブ・ファイルの作成 で説明しています。
    • Kerberos キー・タブ・ファイルを作成し、WebSphere Application Server で使用できるようにします。 ktpass ツールを使用して、Kerberos キー・タブ・ファイル (krb5.keytab) を作成します。ktpass コマンドを 使用してキー・タブ・ファイルを作成する方法について詳しくは、トピック WebSphere Application Server SPNEGO TAI で使用する Kerberos サービス・プリンシパルと キー・タブ・ファイルの作成 で 説明しています。
      注: krb5.keytab ファイルを ドメイン・コントローラー (LDAP マシン) から WebSphere Application Server マシンに コピーすると、WebSphere Application Server でキー・タブ・ファイルを 使用できるようになります。詳しくは 、Kerberos キー・タブ・ファイルを管理するための ktab コマンドの使用 を参照してください。
    重要: ドメイン・コントローラー操作を行うと、 以下の結果が得られます。
    • ユーザー・アカウントが Microsoft Active Directory に作成され、 Kerberos サービス・プリンシパル名にマップされている。
    • Kerberos キー・タブ・ファイル (krb5.keytab) が作成され、WebSphere Application Server で使用可能になっている。 Kerberos キー・タブ・ファイルには、 Microsoft Active Directory でユーザーを認証するために WebSphere Application Server が 使用する Kerberos サービス・プリンシパル鍵と、Kerberos アカウントが含まれています。
  2. クライアント・アプリケーション・マシン - クライアント・アプリケーションを構成します。 クライアント・サイドのアプリケーションは、SPNEGO TAI が使用する SPNEGO トークンの生成を担当します。 この構成プロセスを開始するには、SPNEGO 認証を使用するように Web ブラウザーを 構成します。ブラウザーで必要な手順について詳しくは、SPNEGO を使用するためのクライアント・ブラウザーの構成 を参照してください。
  3. WebSphere Application Server マシン - 以下のタスクを実行して、 Application Server および関連のある SPNEGO TAI を構成し、 使用可能にします。



サブトピック
WebSphere Application Server SPNEGO TAI で使用する Kerberos サービス・プリンシパルと キー・タブ・ファイルの作成
WebSphere Application Server 環境の構成と SPNEGO TAI の使用可能化
SPNEGO を使用するためのクライアント・ブラウザーの構成
WebSphere Application Server における JVM カスタム・プロパティーの構成、 HTTP 要求のフィルタリング、および SPNEGO TAI の使用可能化
Kerberos 構成ファイル
Kerberos クライアント・プリンシパル名の WebSphere ユーザー・レジストリー ID (SPNEGO 用) への マッピング
SPNEGO TAI のシングル・サインオン機能 - チェックリスト
SPNEGO TAI に対する HTTP 要求のフィルター処理
関連タスク
スクリプトを使用した SPNEGO TAI の使用可能化 (JVM カスタム・プロパティーとして)
Lightweight Third Party Authentication メカニズムの構成
Web ユーザー認証を最小化するためのシングル・サインオンのインプリメント
関連資料
SPNEGO TAI JVM 構成カスタム・プロパティー
SPNEGO TAI カスタム・プロパティー構成
Kerberos キー・タブ・ファイルを管理するための ktab コマンドの使用
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:46:14 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.iseries.doc/info/iseries/ae/tsec_SPNEGO_tai.html