Ověřování Kerberos

Tato stránka slouží ke konfigurování a kontrole služby Kerberos jako mechanismu ověřování pro aplikační server.

Po zadání požadovaných informací a jejich použití v konfiguraci je z názvu služby, názvu sféry a názvu hostitele vytvořen název činitele serveru, který poté slouží k automatickému ověřování přístupu ke službě Kerberos.

Je-li konfigurováno ověřování Kerberos, je primárním mechanismem ověřování. Ověřování objektů EJB (JavaBeans) pro prostředky lze konfigurovat prostřednictvím odkazů na prostředky na panelu podrobností aplikací.

Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení. V části Ověřování klepněte na volbu Konfigurace Kerberos.

Karta Konfigurace

Název sféry Kerberos

Název sféry Kerberos. Ve většině případů je názvem sféry název domény zapsaný velkými písmeny. Počítači s názvem domény test.austin.ibm.com by za normálních okolností odpovídal název domény ověřování Kerberos AUSTIN.IBM.COM.

Datový typ: Řetězec
Název služby Kerberos

Činitel služby Kerberos se standardně dělí na tři části: primární název, název instance a název sféry Kerberos. Název činitele služby Kerberos má tvar služba/hostitel@SFÉRA_KERBEROS. První část názvu činitele služby Kerberos tedy tvoří název služby. V řetězci WAS/test.austin.ibm.com@AUSTIN.IBM.COM je například názvem služby řetězec WAS.

Výchozí hodnota: Řetězec
Úplná cesta ke konfiguračnímu souboru služby Kerberos

Konfigurační soubor služby Kerberos krb5.conf nebo krb5.ini obsahuje informace o konfiguraci klienta včetně umístění středisek distribuce klíčů (KDC) pro sféru zájmu. Soubor krb5.conf se používá pro všechny platformy s výjimkou platformy Windows, pro kterou se používá soubor krb5.ini.

Datový typ: Řetězec
Název souboru tabulky klíčů Kerberos s úplnou cestou

Určuje tabulku klíčů služby Kerberos, která obsahuje jeden nebo více názvů činitelů služby Kerberos a příslušných klíčů.

Datový typ: Řetězec
Oříznutí sféry Kerberos z názvu činitele

Určuje, zda mechanismus Kerberos odebere příponu jména uživatele činitele, počínaje znakem @ uvedeným před názvem sféry Kerberos. Je-li tento atribut nastaven na hodnotu true, bude předpona jména uživatele činitele odebrána. Je-li tento atribut nastaven na hodnotu false, bude předpona jména uživatele činitele zachována. Výchozí použitá hodnota je true.

Výchozí:: Povoleno
Povolit delegování pověření Kerberos

Určuje, zda delegovaná pověření Kerberos budou uložena v předmětu ověření Kerberos.

Tato vlastnost povoluje možnost aplikace načítat uložená pověření a šířit je do dalších aplikací ve směru zpracování s cílem provádění dalšího ověřování Kerberos s ověřením od klienta Kerberos.

Poznámka: Ověřování Kerberos se vždy pokusí extrahovat delegovaná ověření klienta GSS a lístky pověření Kerberos a vložit je do předmětu. Pokud je tento parametr nastaven na hodnotu true a za běhu se nezdaří extrahovat delegované pověření klienta GSS, zobrazí se varovná zpráva.
Výchozí:: Povoleno
Použít vestavěný modul mapování pro mapování činitelů ověřování Kerberos na identity SAF

Určuje, zda má být pro mapování názvu činitele ověřování Kerberos na identitu SAF v systému z/OS použit vestavěný modul mapování. Tato volba je platná pouze tehdy, je-li aktivním registrem uživatelů lokální operační systém.

Poznámka: Je vyžadováno další nastavení. Další informace naleznete v tématu Mapping a Kerberos principal to a SAF identity on z/OS.
Výchozí:: Zakázáno



Odkazy s označením (online) vyžadují přístup k Internetu.

Související odkazy


Název souboru: usec_kerb_auth_mech.html