Autenticación de Kerberos

Utilice esta página para configurar y verificar Kerberos como el mecanismo de autenticación para el servidor de aplicaciones.

Cuando ha entrado la información necesaria y la ha aplicado a la configuración, el nombre de principal del servidor se crea a partir del nombre de servicio, nombre de reino y nombre de host y se utiliza para verificar automáticamente la autenticación del servicio Kerberos.

Cuando está configurado, Kerberos es el mecanismo de autenticación primario. Configure la autenticación de EJB (Enterprise JavaBeans) en los recursos accediendo a los enlaces de referencias de recursos en el panel de detalles de la aplicación.

Para ver esta página de la consola administrativa, pulse Seguridad > Seguridad global. En Autenticación, pulse Configuración Kerberos.

Pestaña Configuración

Nombre de reino Kerberos

El nombre del reino Kerberos. En la mayoría de los casos, el reino es el nombre de dominio en letras mayúsculas. Por ejemplo, una máquina con el nombre de dominio test.austin.ibm.com normalmente tiene un nombre de reino Kerberos de AUSTIN.IBM.COM.Si este campo se deja en blanco, se utiliza el nombre de reino especificado en el archivo de configuración de Kerberos.

Tipo de datos: Serie
Nombre de servicio Kerberos

Por convenio, un principal de servicio Kerberos se divide en tres partes: el primario, la instancia y el nombre de reino de Kerberos. El formato del nombre principal del servicio Kerberos es service/<nombre de host completo>@KERBEROS_REALM.. El nombre de servicio es la primera parte del nombre de principal del servicio Kerberos. Por ejemplo, en WAS/test.austin.ibm.com@AUSTIN.IBM.COM, el nombre de servicio es WAS.

Valor predeterminado: Serie
Archivo de configuración Kerberos con la vía de acceso completa

El archivo de configuración Kerberos, krb5.conf o krb5.ini, contiene la información de configuración de cliente, que incluye las ubicaciones de los centros de distribución de claves (KDC) para el reino de interés. El archivo krb5.conf se utiliza para todas las plataformas excepto Windows, que utiliza el archivo krb5.ini.

Tipo de datos: Serie
El nombre del archivo de tabla de claves Kerberos con la vía de acceso completa

Especifica el nombre de archivo de la tabla de claves Kerberos con su vía de acceso completa. Puede pulsar Examinar para localizarlo. Si este campo se deja en blanco, se utiliza el nombre de archivo de la tabla de claves especificado en el archivo de configuración de Kerberos.

Tipo de datos: Serie
Recortar el reino Kerberos del nombre de principal

Especifica si Kerberos debe eliminar el sufijo del nombre de usuario principal, empezando desde el símbolo @ que precede al nombre de reino Kerberos. Si este atributo se establece en true, el sufijo del nombre de usuario del principal se eliminará. Si este atributo se establece en false, se mantiene el sufijo del nombre principal. El valor predeterminado utilizado es true.

Valor predeterminado: Habilitado
Habilitar la delegación de credenciales Kerberos

Especifica si la autenticación Kerberos debe almacenar las credenciales delegadas de Kerberos en el asunto.

Esta opción también permite que una aplicación recupere las credenciales almacenadas y las propague a otras aplicaciones en sentido descendente para la autenticación Kerberos adicional con la credencial del cliente Kerberos.

Nota: Si este parámetro es true, y en tiempo de ejecución no se puede extraer una credencial de delegación GSS del cliente, se registra un mensaje de aviso.
Valor predeterminado: Habilitado
Utilizar el módulo de correlación incorporado para correlacionar principales Kerberos con identidades SAF

Especifica si se debe utilizar el módulo de correlación incorporado para correlacionar el nombre de principal Kerberos con la identidad SAF en z/OS. Esta opción sólo se utiliza cuando el registro de usuarios activo es sistema operativo local.

Nota: Es necesario realizar una configuración adicional. Consulte Mapping a Kerberos principal to a SAF identity on z/OS si desea más información.
Valor predeterminado: Inhabilitado



Los enlaces marcados (en línea) requieren acceso a Internet.

Referencia relacionada


Nombre de fichero: usec_kerb_auth_mech.html