Kerberos 認証

このページを使用して、 アプリケーション・サーバーの認証メカニズムとして Kerberos を構成および検査します。

必要な情報を入力して構成に適用すると、 サーバーのプリンシパル名がサービス名、レルム名、およびホスト名から作成され、 Kerberos サービスに対する認証の自動的な検査に使用されます。

構成された Kerberos は、プライマリー認証メカニズムとなります。アプリケーションの詳細パネルのリソース参照リンクにアクセスし、 Enterprise JavaBeans™ (EJB) 認証をリソースに対して構成します。

この管理コンソール・ページを表示するには、 「セキュリティー」>「グローバル・ セキュリティー」とクリックします。「認証」の下の、「Kerberos 構成 (Kerberos configuration)」をクリックします。

注: Kerberos の構成中に、次のような例外が発生して構成に失敗する場合があります。
org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure,
unspecified at GSSAPI level minor string: Cannot get credential for
principal service WAS/test@AUSTIN.IBM.COM
この場合、principal service の形式は <サービス名>/<完全修飾ホスト名>@KerberosRealm でなければなりません。上記の例外の例では、完全修飾ホスト名が指定されていません。これが失敗の原因です。 このような失敗が発生する場合、システムのホスト名が通常、ドメイン・ネーム・サーバー (DNS) からではなく、/etc/hosts ファイルから取得されています。 UNIX® または Linux® システムで、/etc/nsswitch.conf ファイル内の「hosts」行が、まずホスト・ファイルを調べてから DNS を調べるように構成されている場合、そのホスト・ファイルに完全修飾ホスト名以外のシステムに関する項目が含まれていると、Kerberos 構成は失敗します。
Kerberos レルム名

Kerberos レルムの名前。ほとんどの場合、レルムはドメイン・ネームを大文字にしたものです。例えば、 ドメイン名が test.austin.ibm.com のマシンの Kerberos レルム名は、通常は AUSTIN.IBM.COM です。

レルム名を使用するコンポーネントは 2 つあります。 IBM Java Generic Security Service (JGSS) コンポーネントでは、レルム名を krb5.conf ファイルから取得します。 WebSphere Application Server でもレルム名を保持します。このレルム名は通常、JGSS で使用するものと同じです。 Kerberos レルム名フィールドをブランクのままにすると、WebSphere Application Server はレルム名を JGSS から継承します。

WebSphere Application Server で別のレルム名を使用する場合は、Kerberos レルム名フィールドで名前を変更することができます。ただし、管理コンソールでレルム名を変更すると、WebSphere Application Server のレルム名のみが変更されることに注意してください。

データ型: ストリング
Kerberos サービス名

Kerberos サービス・プリンシパルは、規則として、プライマリー、インスタンス、Kerberos レルム名 の 3 つの部分に分かれています。Kerberos サービス・プリンシパル名のフォーマットは、サービス名/<完全修飾ホスト名>@KERBEROS_REALM. です。サービス名は、Kerberos サービス・プリンシパル名の最初の部分です。 例えば、WAS/test.austin.ibm.com@AUSTIN.IBM.COM では、サービス名は WAS です。

デフォルト: ストリング
絶対パス付き Kerberos 構成ファイル

Kerberos 構成ファイル krb5.conf または krb5.ini には、 当該レルムの鍵配布センター (KDC) のロケーションを含むクライアント構成情報が 含まれます。krb5.conf ファイルは Windows® オペレーティング・システム以外のすべてのプラットフォームで 使用されます。Windows では krb5.ini ファイルが使用されます。

データ型: ストリング
絶対パス付き Kerberos キータブ・ファイル名

絶対パス付き Kerberos キータブ・ファイル名を指定します。「参照」をクリックして指定できます。このフィールドが空のままの場合は、Kerberos 構成ファイルに指定されているキータブ・ファイル名が使用されます。

データ型: ストリング
プリンシパル名からの Kerberos レルムの切り取り

Kerberos が、Kerberos レルム名に先行する、「@」で始まるプリンシパル・ユーザー名の サフィックスを除去するかどうかを指定します。この属性が true に設定されている場合、プリンシパル・ユーザー名のサフィックスは除去されます。 この属性を false に設定すると、 プリンシパル名のサフィックスは保存されます。使用されるデフォルト値は true です。

注: z/OS のローカル・オペレーティング・システム・レジストリーと組み込みマッピング・モジュールの両方を使用して Kerberos プリンシパルを SAF ID にマップする場合、このフィールドには true を設定してください。
デフォルト: 使用可能
Kerberos クレデンシャルの代行を有効にする

Kerberos 代行クレデンシャルが、Kerberos 認証によってサブジェクト内に保管されるかどうかを指定します。

このオプションを使用すると、アプリケーションは保管されたクレデンシャルを取得し、Kerberos クライアントからのクレデンシャルによって、取得したクレデンシャルを追加の Kerberos 認証用として他のダウンストリームのアプリケーションに伝搬させることができます。

注: このパラメーターが true で、ランタイムがクライアント GSS 代行クレデンシャルを抽出できない場合は、警告メッセージがログに記録されます。
デフォルト: 使用可能
組み込みマッピング・モジュールを使用して Kerberos プリンシパルを System Authorization Facility (SAF) ID にマップする

Kerberos プリンシパル名を z/OS® 上の SAF ID にマップするために 、組み込みマッピング・モジュールを使用するかどうかを指定します。このオプションは、アクティブなユーザー・レジストリーがローカル OS である場合にのみ適用されます。

注: いくつかの追加のセットアップが必要です。 詳しくは、Kerberos プリンシパルの z/OS 上の System Authorization Facility (SAF) ID へのマッピングを参照してください。
トラブルの回避 (Avoid trouble): 組み込みマッピング・モジュールを使用するオプションを選択する場合は、Kerberos プリンシパルを SAF ID にマップする他のカスタム JAAS ログイン・モジュールを構成しないでください。gotcha
注: 組み込みマッピング・モジュールは、「プリンシパル名からの Kerberos レルムの切り取り」フィールドの設定内容に関係なく、 完全な Kerberos プリンシパル名と Kerberos レルムをマッピングに使用します。
デフォルト: 使用不可



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連資料
SPNEGO Web 認証の使用可能化
SPNEGO Web 認証フィルター値


ファイル名: usec_kerb_auth_mech.html