Kerberos パスチケット認証を行う IBM i5/OS または OS/400 ホスト
現在、Web Express Logon では、Kerberos 認証を使用可能にした、i5/OS または OS/400 (V5R4 およびそれ以降のバージョン) の Telnet 折衝環境をサポートしています。この方式では、CMS、ログイン・マクロ、Network Security プラグイン、または HCM データベースのいずれも使用する必要がありません。代わりに、i5/OS および OS/400 オペレーティング・システムの既存のシングル・サインオン機能を拡張します。
接続ベースの自動化をこの環境で機能させるためには、適所に以下の前提条件が必要です。
- Windows Domain Controller (Microsoft Active Directory)
- 鍵配布センター (KDC)
- 各ターゲット i5/OS システムまたは OS/400 システムで、Kerberos ネットワーク認証が使用可能になっていること
- ホスト・オペレーティング・システムとして使用する、i5/OS または OS/400 V5R4 以降のバージョン
- クライアント・オペレーティング・システムとしての Windows
接続ベースのログオン自動化をインプリメントするためには、 i5/OS または OS/400 環境をシングル・サインオン機能を使用するように構成する必要があります。i5/OS または OS/400 環境では、ネットワーク認証サービスと、Enterprise Identity Mapping (EIM) と呼ばれる IBM テクノロジーとの組み合わせによって、シングル・サインオン機能を提供します。Z and I Emulator for Web は、信任状の取得のためにこの既存の方法を使用して、ユーザーが 5250 セッション・ログイン画面をバイパスできるようにします。ネットワーク認証サービスと EIM テクノロジーは、いずれも i5/OS または OS/400 (V5R4 およびそれ以降のバージョン) オペレーティング・システムで使用可能です。
図 1 は、Kerberos 認証が使用可能になっている i5/OS または OS/400 環境 における接続ベースの自動化の全体プロセスを表しています。
図 1. i5/OS または OS/400 環境、および Kerberos 環境における Web Express Logon
- ユーザーが、Windows ドメインにログオンする。Windows ドメインから、 ユーザーにネットワークへのアクセス権が与えられます。
- ユーザーが、Z and I Emulator for Web セッションを Z and I Emulator for Web サーバーに要求する。
- Z and I Emulator for Web セッションが、初期化を行い、KDC から Kerberos チケットを要求する。
- ユーザーが、Kerberos チケットを信任状として使用して、識別済みセッションとの接続の確立を試みる。
- i5/OS または OS/400 ホストは、KDC でチケットを検証する。
- ユーザーが、正常にログインする。