WebSphere Application Server で Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) のトラスト・アソシエーション・インターセプター (TAI) を使用するには、Kerberos 構成プロパティー、 すなわち krb5.ini ファイルまたは krb5.conf ファイルを、 セル内のすべての WebSphere Application Server インスタンスに構成する必要があります。
$AdminTask createKrbConfigFile
オプション | 説明 |
---|---|
<krbPath> | このパラメーターは必須です。このパラメーターは、Kerberos 構成ファイル (krb5.ini または krb5.conf) の完全修飾システム・ロケーションを提供します。 |
<realm> | このパラメーターは必須です。このパラメーターは、Kerberos レルム名を提供します。この属性の値は、com.ibm.ws.security.spnego.SPN<id>.hostName プロパティーで指定されている各ホストの Kerberos サービス・プリンシパル名を構成するために、SPNEGO TAI によって使用されます。 |
<kdcHost> | このパラメーターは必須です。このパラメーターは、Kerberos 鍵配布センター (KDC) のホスト名を提供します。 |
<kdcPort> | このパラメーターはオプションです。このパラメーターは、KDC のポート番号を提供します。このオプションが指定されていない場合のデフォルト値は 88 です。 |
<dns> | このパラメーターは必須です。このパラメーターは、完全修飾ホスト名の作成に使用されるデフォルトのドメイン名サービス (DNS) を提供します。 |
<keytabPath> | このパラメーターは必須です。このパラメーターは、Kerberos キー・タブ・ファイルのファイル・システム・ロケーションを提供します。 |
<encryption> | このパラメーターはオプションです。このパラメーターは、サポートされている暗号化タイプをスペースで区切ったリストを示します。 指定された値は、default_tkt_enctypes および default_tgs_enctypes に使用されます。 このパラメーターが指定されていない場合のデフォルトの暗号タイプは des-cbc-md5 および rc4-hmac です。 |
以下の例では、wsadmin コマンドによって krb5.ini ファイルが c:¥winnt ディレクトリーに作成されます。 デフォルトの Kerberos キー・タブ・ファイルも c:¥winnt にあります。 実際の Kerberos レルム名は WSSEC.AUSTIN.IBM.COM で、KDC ホスト名は host1.austin.ibm.com です。
wsadmin>$AdminTask createKrbConfigFile {-krbPath c:¥winnt¥krb5.ini -realm WSSEC.AUSTIN.IBM.COM -kdcHost host1.austin.ibm.com -dns austin.ibm.com -keytabPath c:¥winnt¥krb5.keytab}
[libdefaults] default_realm = WSSEC.AUSTIN.IBM.COM default_keytab_name = FILE:c:¥winnt¥krb5.keytab default_tkt_enctypes = des-cbc-md5 rc4-hmac default_tgs_enctypes = des-cbc-md5 rc4-hmac [realms] WSSEC.AUSTIN.IBM.COM = { kdc = host1.austin.ibm.com:88 default_domain = austin.ibm.com } [domain_realm] .austin.ibm.com = WSSEC.AUSTIN.IBM.COM
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・ アソシエーション・インターセプター (TAI) の Kerberos 構成設定、Kerberos 鍵配布センター (KDC) 名、 およびレルム設定は、Kerberos 構成ファイル、 またはシステム・プロパティー・ファイルの java.security.krb5.kdc および java.security.krb5.realm を 通じて提供されます。