IBM App Connect Enterprise を Kerberos の保護対象サービスとして設定する

IBM® App Connect Enterprise を設定することで、メッセージの完全性、機密性、および真正性を確保するための、 Kerberos によるセキュリティ保護されたサービスとして運用することができます。

1. サービス・プリンシパルの秘密鍵を格納するキータブを KDC からエクスポートします。
   例:

   ktpass -out c:\Windows\krb5.keytab -princ SomePrincipal@YourDomain
    -crypto RC4-HMAC-NT mapUser Username -pass Password -mapOp set 

   ここで

   out ファイル名

   生成されるキータブ・ファイルの名前とパスを指定します。

   princ principal_name (プリンシパル名)

   プリンシパル名を指定します。

   暗号 encryption_type

   暗号化タイプを指定します。

   mapUser ユーザー名

   Kerberos プリンシパルの名前をローカル・アカウントにマップします。

   パスワード の受け渡し

   このプリンシパル名で使用するパスワードを指定します。

   mapOp 属性

   マッピング属性の設定方法を定義します。 代替属性は、 add または setのいずれかです。

2. サービスをホストするサーバーにキータブ・ファイルをコピーします。 このファイルをサーバーにコピーするには、FTP などを使用し、キータブ・ファイルをエクスポートしてサーバーに転送することができます。 Kerberos 構成ファイルには、 URL （例： /home/user/my.keytab ）という形式で、keytabファイルへの参照が含まれています。
   サーバー上の構成ファイルに参照があるため、サーバー・サービスは、キータブに定義されている Kerberos プリンシパルを取得できます。
3. ローカル・ワークステーションでのキータブ・ファイルの場所を指定する Kerberos 構成ファイルを作成します。
   各 Kerberos レルムの統合ノードごとに、複数のサービス・プリンシパル名を使用できます。 セキュリティーのために Kerberos を使用する場合は、ワークステーションのデフォルトの Kerberos 構成ファイルを使用します。 構成ファイルの場所はシステムによって異なります。 通常の場所は以下のとおりです。

   • Windows の場合: C:\Windows\krb5.ini and C:\WINNT\krb5.ini
   • Linux® : /etc/krb5.conf
   • UNIX ( AIX® )： /etc/krb5/krb5.conf
   • z/OS®: /krb5/krb5.conf

   統合ノードおよび統合サーバーで使用するために、別の Kerberos 構成ファイルを構成することができます。

   以下の Kerberos サンプル構成ファイルには、変数の標準的な値が示されています。 ネットワーク、および構成ファイルの場所に応じて構成ファイルで変更する値には、変数 default_realm、変数 default_keytab_name、realms に属する名前などがあります。

   [libdefaults]
   default_realm = MYREALM.EXAMPLE.COM
   default_keytab_name = FILE:c:\Windows\krb5.keytab
   default_tkt_enctypes = rc4-hmac
   default_tgs_enctypes = rc4-hmac
   dns_lookup_realm = false
   dns_lookup_kdc = false
   ticket_lifetime = 24h
   renew_lifetime = 7d
   forwardable = true
   [realms]
   MYREALM.EXAMPLE.COM = {
   kdc = kdc.myrealm.example.com
   admin_server = kdc.myrealm.example.com
   }

4. 新しい Kerberos 構成ファイルを作成すると、統合ノードまたは統合サーバーごとに固有の Kerberos サービス・プリンシパルを使用できます。 この作業は、必要なサービス・プリンシパルを格納するキータブ・ファイルを指定して行います。
5. 以下のいずれかの mqsichangeproperties コマンドを使用して、新規構成ファイルの場所を指定します。
   • 統合ノード・レベルの Kerberos 構成の場合は、以下のようになります。

     mqsichangeproperties integrationNodeName -o BrokerRegistry 
     -n brokerKerberosConfigFile -v kerberosConfigLocation

   • 統合サーバー・レベルの Kerberos 構成の場合は、以下のようになります。

     mqsichangeproperties integrationNodeName -e integrationServerName 
     -o ComIbmJVMManager -n brokerKerberosConfigFile -v kerberosConfigLocation

6. メッセージ・フローを格納する BAR に関して、SOAPInput ノードに関連付けられているポリシー・セットとバインディングを構成します。
   • ポリシー・セットを使用して Kerberos トークンを構成するには、 「ポリシー・セットおよびポリシー・セット・バインディング」エディター:「メッセージ・レベル保護」パネルを参照してください。
   • プロバイダー・メッセージ・パーツ・ポリシーを構成するには、 「ポリシー・セットとポリシー・セット・バインディング」エディター:「メッセージ・パーツ保護」パネルを参照してください。
   • オプションでポリシー・セットを使用してメッセージ・パーツの署名または暗号化を行うには、 「ポリシー・セットとポリシー・セット・バインディング」エディター:「メッセージ・パーツ・ポリシー」パネルを参照してください。
   • Kerberos 固有の設定 (ターゲット・サービス名やターゲット・サービス・レルムなど) を構成するには、 「ポリシー・セットおよびポリシー・セット・バインディング」エディター:「メッセージ・パーツ・ポリシー」パネルを参照してください。