![[Windows]](ngwin.gif)
Windows での SSPI チャネル出口プログラム
IBM® MQ for Windows には、メッセージ・チャネルと MQI チャネルの両方で使用できるセキュリティー出口プログラムが用意されています。 その出口のソース・コードとオブジェクト・コードが用意されており、片方向と両方向の認証が可能です。
このセキュリティー出口は、Windows プラットフォームの統合セキュリティー機能を提供するセキュリティー・サポート・プロバイダー・インターフェース (SSPI) を使用します。
セキュリティー出口は、次の識別と認証サービスを提供します。
- 単方向認証
- これは、Windows NT
LAN Manager (NTLM) の認証サポートを使用します。 NTLM により、サーバーは、クライアントを認証できるようになります。 クライアントがサーバーを認証したり、あるサーバーが別のサーバーを認証したりすることは許可しません。 NTLM は、サーバーが本物であることを前提とするネットワーク環境用に設計されています。 NTLM は、 IBM WebSphere® MQ 7.0でサポートされるすべての Windows プラットフォームでサポートされます。
このサービスは通常、サーバー・キュー・マネージャーが IBM MQ MQI client アプリケーションを認証できるようにするために MQI チャネルで使用されます。 クライアント・アプリケーションは、実行中のプロセスに関連したユーザー ID によって識別されます。
この認証を実行するには、チャネルのクライアント側にあるセキュリティー出口が、NTLM から認証トークンを取得し、そのトークンをセキュリティー・メッセージ内で、チャネルの相手側のセキュリティー出口に送信します。 相手側のセキュリティー出口は、そのトークンを NTLM に渡し、NTLM が、そのトークンが本物であるかどうかを検査します。 相手側のセキュリティー出口は、トークンの確実性を確信できない場合、チャネルをクローズするように MCA に指示します。
- 両方向認証または相互認証
- これは、Kerberos 認証サービスを使用します。 Kerberos プロトコルは、ネットワーク環境内のサーバーが本物であることを前提としません。 サーバーは、クライアントやその他のサーバーを認証することができ、クライアントはサーバーを認証できます。 Kerberos は、 IBM WebSphere MQ 7.0によってサポートされるすべての Windows プラットフォームでサポートされます。
このサービスは、メッセージ・チャネルと MQI チャネルの両方で使用できます。 メッセージ・チャネル上では、2 つのキュー・マネージャーの相互認証を提供します。 MQI チャネルでは、サーバー・キュー・マネージャーと IBM MQ MQI client アプリケーションが相互に認証できるようにします。 キュー・マネージャーは、ストリング
ibmMQSeries/を接頭部として持つ名前で識別されます。 クライアント・アプリケーションは、実行中のプロセスに関連したユーザー ID によって識別されます。この相互認証を実行するため、開始側のセキュリティー出口は Kerberos セキュリティー・サーバーから認証トークンを取得し、そのトークンをセキュリティー・メッセージ内で相手側に送信します。 相手側のセキュリティー出口は、トークンを Kerberos サーバーに渡し、本物であるかどうかを検査します。 Kerberos セキュリティー・サーバーは 2 番目のトークンを生成し、相手側はそれをセキュリティー・メッセージ内で開始側のセキュリティー出口に送信します。 次に、開始側のセキュリティー出口は、2 番目のトークンが本物であるかどうかを検査するよう Kerberos サーバーに要求します。 このやりとりの間、一方のセキュリティー出口が他方のセキュリティー出口によって送信されたトークンの確実性を確信できない場合、そのセキュリティー出口は、チャネルをクローズするように MCA に指示します。
セキュリティー出口は、ソース形式とオブジェクト形式の両方で提供されます。 独自のチャネル出口プログラムを作成するための開始点として、ソース・コードを使用するか、あるいは提供されたオブジェクト・モジュールを使用することができます。 オブジェクト・モジュールには、2 つの入り口点があります。1 つは、NTLM 認証サポートを使用する単方向認証用であり、もう 1 つは、Kerberos 認証サービスを使用する両方向認証用です。
SSPI チャネル出口プログラムの動作について、およびその実装方法について詳しくは、 Windows システムでの SSPI セキュリティー出口の使用を参照してください。