前のトピック: DevTest コンソールとの HTTPS 通信の使用次のトピック: アクセス制御(ACL)

管理セキュリティKerberos 認証の使用

Kerberos 認証の使用

Kerberos のサポートは、DevTest における基本認証および NTLM のサポートに似ています。 DevTest は、その手順の一部でアクセスするアプリケーションまたはリソースが Kerberos 認証で保護されている場合に Kerberos のサポートを使用します。 たとえば、HTTP/HTTPS、Web サービス XML は、NTLM および基本認証と同じ手順を使用します。 Kerberos のサポートは、local.properties ファイル内の以下のプロパティを使用します。

lisa.java.security.auth.login.config

ログイン設定ファイルの場所。

lisa.java.security.krb5.conf

事前設定された場所を上書きするために使用される Kerberos 設定ファイルの場所。

lisa.http.kerberos.principal

プリンシパル + パスワード認証の DevTest でのサポートを使用する場合にログインに使用されるプリンシパルの名前。 DevTest ワークステーション は、起動時にこのプリンシパルを暗号化します。

lisa.http.kerberos.pass

プリンシパル + パスワード認証の DevTest でのサポートを使用する場合にログインに使用されるパスワード。 DevTest ワークステーション は、起動時にこのプリンシパルを暗号化します。

lisa.java.security.auth.login.config および lisa.java.security.krb5.conf 設定のみを使用して認証できます。 これらのファイルおよびその設定は、DevTest が動作するオペレーティング システムよって異なります。 プリンシパル + パスワード認証の DevTest サポートを使用しない認証用にこの 2 つのファイルを設定する方法については、適切なドキュメントを参照してください。

 

プリンシパル + パスワード認証の DevTest サポート

DevTest に認証情報を提供することによってログ記録をサポートするには、DevTest のログイン設定ファイルを使用するようにユーザのログイン設定ファイルを設定する必要があります。 以下の例は、このファイルの内容を示しています。

com.sun.security.jgss.initiate {

  com.itko.lisa.http.LisaKrb5LoginModule required doNotPrompt=false;

};

カスタムの LisaKrb5LoginModule は、1 つの変更を含む標準の com.sun.security.auth.module.Krb5LoginModule の拡張です。 この拡張は、ユーザに認証情報を要求する代わりに、lisa.http.kerberos.principal および lisa.http.kerberos.pass に指定された認証情報をサブミットします。

 

サンプル krb5.conf ファイル

[libdefaults]

        default_realm = EXAMPLE.COM

        allow_weak_crypto = true

 

[realms]

        EXAMPLE.COM = {

                kdc = kdc.fakedomain.com:60088

        }

[domain_realm]

        .example.com = EXAMPLE.COM

        example.com = EXAMPLE.COM

[login]

        krb4_convert = true

 

Active Directory を KDC として持つサンプル krb5.conf ファイル

[libdefaults]

        default_realm = FAKEDOMAIN.COM

        allow_weak_crypto = false

        default_tkt_enctypes = arcfour-hmac-md5

        default_tgs_enctypes = arcfour-hmac-md5

        permitted_enctypes = RC4-HMAC arcfour-hmac-md5

[realms]

        FAKEDOMAIN.COM = {

            kdc = kdc.fakedomain.com

            master_kdc = kdc.fakedomain.com

            admin_server = kdc.fakedomain.com

            default_domain = FAKEDOMAIN.COM

        }

[domain_realm]

        fakedomain.com = FAKEDOMAIN.COM

[login]

        krb4_convert = true

 

サンプル login.config ファイル

com.sun.security.jgss.initiate {

  com.itko.lisa.http.LisaKrb5LoginModule required doNotPrompt=false;

};