Идентификация Kerberos

На этой странице можно настроить и проверить механизм идентификации на основе Kerberos для сервера приложений.

Когда требуемая информация добавлена в конфигурацию, из служебного имени, имени области и имени хоста создается имя субъекта сервера, которое используется для автоматической проверки идентификации службы Kerberos.

После настройки Kerberos становится основным механизмом идентификации. Пользуясь ссылками на ресурсы в окне сведений о приложении, настройте идентификацию Enterprise JavaBeans (EJB).

Для того чтобы открыть эту страницу административной консоли, выберите Защита > Глобальная защита. В разделе Идентификация выберите Конфигурация Kerberos.

Конфигурация

Имя области Kerberos

Имя области Kerberos.В большинстве случаев область - это имя домена, состоящее из букв в верхнем регистре. Например, для системы с именем домена test.austin.ibm.com имя области Kerberos обычно выглядит как AUSTIN.IBM.COM. Если поле останется незаполненным, то будет использовано имя области, заданное в файле конфигурации Kerberos.

Тип данных:

Строка

Имя службы Kerberos

По традиции, служебный субъект Kerberos (SPN) состоит из трех частей: первичная, экземпляр и имя области Kerberos. Формат имени служебного субъекта Kerberos следующий служба/<полное имя хоста>@KERBEROS_REALM.. Служебное имя - это первая часть имени служебного субъекта Kerberos. Например, в WAS/test.austin.ibm.com@AUSTIN.IBM.COM служебным именем является WAS.

По умолчанию:

Строка

Файл конфигурации Kerberos с полным путем

В файле конфигурации Kerberos, krb5.conf или krb5.ini, содержится информация о конфигурации клиента, включая расположения центров распределения ключей (KDCs) для области интересов. Файл krb5.conf используется на всех платформах, кроме Windows, для которой используется файл krb5.ini.

Тип данных:

Строка

Файл таблицы ключей Kerberos с полным путем

Файл таблицы ключей Kerberos с полным путем. Для поиска файла нажмите кнопку Выбрать. Если поле останется незаполненным, то будет использовано имя файла таблицы ключей, заданное в файле конфигурации Kerberos.

Тип данных:

Строка

Извлечение области Kerberos из имени субъекта

Указывает, следует ли Kerberos удалять суффикс имени субъекта, начинающийся с символа @ и содержащий имя области Kerberos. Если атрибут установлен в true, то суффикс имени пользователя субъекта удаляется. Если же атрибут установлен в false, суффикс имени субъекта остается целиком. Значение по умолчанию - true.

По умолчанию:

Включена

Включить делегирование идентификационных данных Kerberos

Указывает, следует ли идентификации Kerberos сохранить в субъекте идентификационные данные, переданные Kerberos.

Это свойство также позволяет приложению извлечь сохраненные идентификационные данные и разослать их другим приложениям для дополнительной идентификации из клиента Kerberos.

Прим.: Если свойство имеет значение true, но делегированные идентификационные данные GSS клиента извлечь не удается, будет выдано предупреждение.

По умолчанию:

Включена

Преобразование субъектов Kerberos в субъекты SAF с помощью встроенных модулей преобразования

Указывает, следует ли преобразовывать имя субъекта Kerberos в субъект SAF в системе z/OS с помощью встроенного модуля. Параметр применяется только в том случае, если применяется реестр пользователей локальной операционной системы.

Прим.: Необходима дополнительная настройка. Дополнительная информация приведена в разделе Mapping a Kerberos principal to a SAF identity on z/OS.

По умолчанию:

Выключен

Ссылки, помеченные как (в сети), требуют подключения к Internet.