Kerberos 認証

このページを使用して、 アプリケーション・サーバーの認証メカニズムとして Kerberos を構成および検査します。

必要な情報を入力して構成に適用すると、 サーバーのプリンシパル名がサービス名、レルム名、およびホスト名から作成され、 Kerberos サービスに対する認証の自動的な検査に使用されます。

構成された Kerberos は、プライマリー認証メカニズムとなります。アプリケーションの詳細パネルのリソース参照リンクにアクセスし、 Enterprise JavaBeans™ (EJB) 認証をリソースに対して構成します。

この管理コンソール・ページを表示するには、 「セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下の、「Kerberos 構成 (Kerberos configuration)」をクリックします。

「構成」タブ

Kerberos レルム名

Kerberos レルムの名前。ほとんどの場合、レルムはドメイン・ネームを大文字にしたものです。例えば、ドメイン・ネームが test.austin.ibm.com のマシンの Kerberos レルム名は、通常は AUSTIN.IBM.COM です。このフィールドが空のままである場合は、Kerberos 構成ファイルに指定されているレルム名が使用されます。

データ型: ストリング
Kerberos サービス名

規則により、Kerberos サービス・プリンシパルは 3 つのパーツ (プライマリー、インスタンス、および Kerberos レルム名) に分割されます。Kerberos サービス・プリンシパル名のフォーマットは、service/<fully qualified hostname>@KERBEROS_REALM. です。 サービス名は、Kerberos サービス・プリンシパル名の最初の部分です。 例えば、WAS/test.austin.ibm.com@AUSTIN.IBM.COM の場合、 サービス名は WAS です。

デフォルト: ストリング
絶対パス付き Kerberos 構成ファイル

Kerberos 構成ファイル krb5.conf または krb5.ini には、 当該レルムの鍵配布センター (KDC) のロケーションを含むクライアント構成情報が 含まれます。krb5.conf ファイルは Windows® オペレーティング・システム以外のすべてのプラットフォームで 使用されます。Windows では krb5.ini ファイルが使用されます。

データ型: ストリング
絶対パス付き Kerberos キー・タブ・ファイル名

絶対パス付き Kerberos キー・タブ・ファイル名を指定します。「参照」をクリックして指定できます。このフィールドが空のままである場合は、Kerberos 構成ファイルに指定されているキー・タブ・ファイル名が使用されます。

データ型: ストリング
プリンシパル名からの Kerberos レルムの切り取り

Kerberos が、Kerberos レルム名に先行する、「@」で始まるプリンシパル・ユーザー名の サフィックスを除去するかどうかを指定します。この属性が true に設定されている場合、プリンシパル・ユーザー名のサフィックスは除去されます。 この属性を false に設定すると、 プリンシパル名のサフィックスは保存されます。使用されるデフォルト値は true です。

デフォルト: 使用可能
Kerberos クレデンシャルの代行を有効にする

Kerberos 代行クレデンシャルが、Kerberos 認証によってサブジェクト内に保管されるかどうかを指定します。

このオプションを使用すると、保管されているクレデンシャルをアプリケーションが取得し、 他のダウンストリームのアプリケーションに伝搬して、Kerberos クライアントのクレデンシャルを使用して 追加の Kerberos 認証を実行させることも可能になります。

注: このパラメーターが true で、ランタイムがクライアント GSS 代行クレデンシャルを抽出できない場合は、警告メッセージがログに記録されます。
デフォルト: 使用可能
組み込みマッピング・モジュールを使用して Kerberos プリンシパルを SAF ID にマップする

Kerberos プリンシパル名を z/OS 上の SAF ID にマップするために 、組み込みマッピング・モジュールを使用するかどうかを指定します。このオプションは、アクティブなユーザー・レジストリーがローカル OS である場合にのみ適用されます。

注: 追加のセットアップをいくつか行う必要があります。詳しくは、Kerberos プリンシパルと z/OS 上の SAF ID とのマッピングを参照してください。
デフォルト: 使用不可



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連資料


ファイル名: usec_kerb_auth_mech.html