Kerberos パスチケット認証を行う IBM i5/OS または OS/400 ホスト

現在、Web Express Logon では、Kerberos 認証を使用可能にした、i5/OS または OS/400 (V5R4 およびそれ以降のバージョン) の Telnet 折衝環境をサポートしています。この方式では、CMS、ログイン・マクロ、Network Security プラグイン、または HCM データベースのいずれも使用する必要がありません。代わりに、i5/OS および OS/400 オペレーティング・システムの既存のシングル・サインオン機能を拡張します。

接続ベースの自動化をこの環境で機能させるためには、適所に以下の前提条件が必要です。
  • Windows Domain Controller (Microsoft Active Directory)
  • 鍵配布センター (KDC)
  • 各ターゲット i5/OS システムまたは OS/400 システムで、Kerberos ネットワーク認証が使用可能になっていること
  • ホスト・オペレーティング・システムとして使用する、i5/OS または OS/400 V5R4 以降のバージョン
  • 変更の始まりクライアント・オペレーティング・システムとしての Windows変更の終わり

接続ベースのログオン自動化をインプリメントするためには、 i5/OS または OS/400 環境をシングル・サインオン機能を使用するように構成する必要があります。i5/OS または OS/400 環境では、ネットワーク認証サービスと、Enterprise Identity Mapping (EIM) と呼ばれる IBM テクノロジーとの組み合わせによって、シングル・サインオン機能を提供します。Z and I Emulator for Web は、信任状の取得のためにこの既存の方法を使用して、ユーザーが 5250 セッション・ログイン画面をバイパスできるようにします。ネットワーク認証サービスと EIM テクノロジーは、いずれも i5/OS または OS/400 (V5R4 およびそれ以降のバージョン) オペレーティング・システムで使用可能です。

図 1 は、Kerberos 認証が使用可能になっている i5/OS または OS/400 環境 における接続ベースの自動化の全体プロセスを表しています。
図 1. i5/OS または OS/400 環境、および Kerberos 環境における Web Express Logon
 Environment 5
  1. ユーザーが、Windows ドメインにログオンする。Windows ドメインから、 ユーザーにネットワークへのアクセス権が与えられます。
  2. ユーザーが、Z and I Emulator for Web セッションを Z and I Emulator for Web サーバーに要求する。
  3. Z and I Emulator for Web セッションが、初期化を行い、KDC から Kerberos チケットを要求する。
  4. ユーザーが、Kerberos チケットを信任状として使用して、識別済みセッションとの接続の確立を試みる。
  5. i5/OS または OS/400 ホストは、KDC でチケットを検証する。
  6. ユーザーが、正常にログインする。