本文へジャンプ

Microsoft Windows Server 2003環境でのWindows統合認証設定の考慮点 (Tivoli-08-030)

Unixサーバーで稼動するTAMのWindows統合認証で、Microsoft Windows Server 2003をドメイン・コントローラーとして設定する場合に、マニュアル通りに設定すると、エラーになる可能性があります。TAMのWindows統合認証の設定の一部を修正する必要があります。

内容/目次

【概要】
Unixサーバーで稼動するTAM(Tivoli Access Manager)のWindows統合認証で、Microsoft Windows Server 2003をドメイン・コントローラーとして設定する場合に、マニュアル通りに設定すると、エラーになる可能性があります。
原因は異なるバージョンのWindowsサーバーが発行するKerberosチケットの暗号化方式の違いによるものです。

Windows Server 2003のKerberosチケット暗号化方式をデフォルトでRC4-HMACに変更しました。
それに伴い、TAMのWindows統合認証の設定の一部を修正する必要があります。
2008年4月28日現在、TAM V6.1のドキュメントはWindows Server 2003に対応するようになっていますが、TAM V5.1とTAM V6.0のドキュメントは対応していないようです。

【現象】
Windows統合認証設定後にアクセスすると、WebSEALのメッセージログに以下のエラーが記録されます。


    HPDIA0100E an internal error has occurred.

同じ状態で、WebSEALサーバーの認証ユーザーのチケットを取得するコマンド

    "kinit -k -t <keytab file> <HTTP/xxxx@aaa.bbb.ccc>

を発行すると、以下のエラーが表示されます。
    Unable to obtain initial credentials.
    Status 0x96c73ab5 - key table entry not found.
【対応策】
1. AD環境のドメイン・コントローラーがMicrosoft Windows 2000 Serverの場合
マニュアル通りの設定で問題がありません。
暗号化方式はDESになります。

2. AD環境のドメイン・コントローラーがMicrosoft Windows Server 2003のみの場合
暗号化方式にRC4-HMACを使用します。
TAM V5.1とTAM V6.0のマニュアルの該当手順を以下の手順に置き換えてください。

(a) WebSEALサーバーのkrb5.confを修正して、RC4-HMAC方式を使用するように設定します。
    [libdefaults]
    default_tkt_enctypes =  rc4-hmac
    default_tgs_enctypes =  rc4-hmac

(b) ドメイン・コントローラー上で以下のように暗号化方式を指定してktpassコマンドを発行します。
コマンド例:
    ktpass -princ HTTP/linux.ise.co.jp@TIVOLI.IBM.COM -pass <password> -mapuser <webseal_user> -out C:\webseal_HTTP.keytab -mapOp set -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL

他の手順はマニュアル通りです。

3. AD環境のドメイン・コントローラーでWindows Server 2003とWindows 2000 Serverが混在する場合
互換性のために、暗号化方式にDESを使用する必要があります。
マニュアルの該当手順を以下の手順に置き換えてください。

(a) WebSEALサーバーのkrb5.confを修正して、DES暗号化方式を使用するように設定します。
    [libdefaults]
    default_tkt_enctypes =  des-cbc-md5 des-cbc-crc
    default_tgs_enctypes =  des-cbc-md5 des-cbc-crc

(b) ドメイン・コントローラーで作成したWebSEAL用ユーザーの属性を修正してDES暗号化を使用するように設定します。
WebSEALユーザーの「プロパティ」->「アカウント」->「アカウントオプション」->"このアカウントにDES暗号化を使う”項目にチェックを入れます。

(c) ドメイン・コントローラー上で以下のように暗号化方式を指定してktpassコマンドを発行します。
コマンド例:
    ktpass -princ HTTP/linux.ise.co.jp@TIVOLI.IBM.COM -pass <password> -mapuser <webseal_user> -out C:\webseal_HTTP.keytab -mapOp set -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL

他の手順はマニュアル通りです。

文書情報

有効期限: 2013年4月28日
資料番号: Tivoli-2008-030

掲載内容について

当サイトは、お客様の問題解決のためのヒントとしてご利用ください。 当サイトにおける記載内容は、お客様固有の問題に対し、適切であるかどうか、また、正確であるかどうかは十分検証されていません。 結果について、いかなる保証も責任も負いかねますので、あらかじめご了承ください。

商標について

IBM、IBM(logo)、developerWorks、Lotus、PartnerWorld、Rational、Tivoli、 WebSphereはIBM Corporationの商標です。 他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。

ソフトウェアサポート

ソフトウェア製品のサポート技術情報

ハードウェアサポート

ハードウェア製品のサポート技術情報