Kerberos キー・タブ・ファイルを作成し、WebSphere Application Server で使用できるようにします。Kerberos キー・タブ・ファイル (krb5.keytab) は、
ktpass コマンドを使用して作成します。
サーバー・プリンシパル名 (SPN) 用に Kerberos キー・タブ・ファイルを作成するには、Windows Server ツールキットの ktpass ツールを使用します。
ktpass ツールは、使用している Windows Server のレベルにあったものを使用します。
すなわち、Windows 2000 Server の場合は、Windows 2000 バージョンを、Windows 2003 Server の場合は、Windows 2003 バージョンを使用します。
Windows 2003 Server バージョンの ktpass ツールは、暗号化タイプ RC4-HMAC および シングル DES (データ暗号化規格) をサポートしています。
Windows 2000 Server バージョンの ktpass ツールはこれと類似していますが、RC4-HMAC 暗号化タイプおよびシングル DES には、異なるオプションが必要です。
ktpass ツールについて詳しくは、
Windows 2003 Technical Reference (Kerberos
keytab file and ktpass command) を参照してください。
以下に、コマンド行で
ktpass -? を入力したときに使用できる機能の要約を示します。
C:¥MS SDK>ktpass -?
Command line options:
---------------------most useful args
[- /] out : Keytab to produce
[- /] princ : Principal name (user@REALM)
[- /] pass : password to use
use "*" to prompt for password.
---------------------less useful stuff
[- /] mapuser : map princ (above) to this user account (default: don't)
[- /] mapOp : how to set the mapping attribute (default: add it)
[- /] mapOp : is one of:
[- /] mapOp : add : add value (default)
[- /] mapOp : set : set value
[- +] DesOnly : Set account for des-only encryption (default:no)
[- /] in : Keytab to read/digest
---------------------options for key generation
[- /] crypto : Cryptosystem to use
[- /] crypto : is one of:
[- /] crypto : DES-CBC-CRC : for compatibility
[- /] crypto : DES-CBC-MD5 : default
[- /] crypto : RC4 :
[- /] ptype : principal type in question
[- /] ptype : is one of:
[- /] ptype : KRB5_NT_PRINCIPAL : The general ptype-- recommended
[- /] ptype : KRB5_NT_SRV_INST : user service instance
[- /] ptype : KRB5_NT_SRV_HST : host service instance
[- /] kvno : Override Key Version Number
Default: query DC for kvno. Use /kvno 1 for Win2K compat.
[- +] Answer : +Answer answers YES to prompts. -Answer answers NO.
[- /] Target : Which DC to use. Default:detect
暗号化タイプにより異なりますが、以下の方法の 1 つで
ktpass ツールを使用して Kerberos キー・タブ・ファイルを作成します。
重要: ktpass コマンドで -pass スイッチを使用して Microsoft Windows サーバー・アカウントのパスワードをリセットしないでください。
詳しくは、Windows 2003 Technical Reference (Kerberos
keytab file and ktpass command) を参照してください。
- 単一 DES 暗号化タイプの場合
コマンド・プロンプトから
ktpass コマンドを実行します。
ktpass -out c:¥temp¥myappserver.keytab
-princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
-mapUser myappserv
-mapOp set -pass was1edu
-crypto DES-CBC-MD5
+DesOnly
表 1. 単一 DES 暗号化タイプの場合の ktpass の使い方
オプション |
説明 |
-out c:¥temp¥myappserver.keytab |
この出力ファイルに鍵が書き込まれます。 |
-princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
|
ユーザー・ログオン名とレルムは、大文字で連結する必要があります。 |
-mapUser |
この鍵はユーザー myappserver にマップされます。 |
-mapOp |
このオプションは、マッピングを設定します。 |
-pass was1edu |
このオプションは、ユーザー ID に対するパスワードです。 |
-crypto DES-CBC-MD5 |
このオプションはシングル DES の暗号化タイプを使用します。 |
+DesOnly |
このオプションは DES 暗号化のみを生成します。 |
- RC4-HMAC 暗号化タイプの場合
重要: RC4-HMAC 暗号化は、Windows 2003 Server を KDC として使用している場合にのみサポートされます。Windows 2000 Server を KDC としている場合、RC4-HMAC 暗号化はサポートされません。
コマンド・プロンプトから
ktpass コマンドを実行します。
ktpass -out c:¥temp¥myappserver.keytab
-princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
-mapUser myappserver
-mapOp set
-pass was1edu
-crypto RC4-HMAC
表 2. RC4-HMAC 暗号化タイプの場合の ktpass の使い方
オプション |
説明 |
-out c:¥temp¥myappserver.keytab |
この出力ファイルに鍵が書き込まれます。 |
-princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
|
ユーザー・ログオン名とレルムは、大文字で連結する必要があります。 |
-mapUser |
この鍵はユーザー myappserver にマップされます。 |
-mapOp |
このオプションは、マッピングを設定します。 |
-pass was1edu |
このオプションは、ユーザー ID に対するパスワードです。 |
-crypto RC4-HMAC |
このオプションを指定すると、RC4-HMAC 暗号化タイプが選択されます。 |
SPNEGO TAI とともに使用するための Kerberos キー・タブ・ファイルが作成されます。![[i5/OS]](../../iseries.gif)
krb5.conf 構成ファイルは、{、}、[、および ] 文字を表す 3 文字表記をサポートします。
これらの文字は、言語セットに依存します。
生成されたままのキー・タブは、Kerberos クライアントが読み取ることはできません。
ネイティブの krb5.conf ファイルまたは krb5.keytab ファイルを使用して SPNEGO TAI を構成することが困難な場合は、以下のシナリオの 1 つを実行して、3 文字表記の問題に対処します。
- krb5.conf ファイルの 3 文字表記を、それらが表す文字で置き換えます。
- WebSphere Application Server によって生成される krb5.conf ファイルを使用します。
- Microsoft Windows または鍵配布センター (KDC) で生成したキー・タブ・ファイルを使用します。
注: Kerberos キー・タブ構成ファイルには、ユーザー・パスワードに類似した
鍵のリストが含まれています。ホストでは、Kerberos キー・タブ・ファイルを保護するために、Kerberos キー・タブ・ファイルをローカル・ディスクに保管し、許可ユーザーのみが読み取れるようにすることが重要です。
krb5.keytab ファイルを
ドメイン・コントローラー (LDAP マシン) から WebSphere Application Server マシンに
コピーすると、WebSphere Application Server でキー・タブ・ファイルを
使用できるようになります。
ftp> bin
ftp> put c:¥temp¥KRB5_NT_SEV_HST\krb5.keytab