Kerberos-Authentifizierung

Verwenden Sie diese Seite, um Kerberos als Authentifizierungsverfahren für den Anwendungsserver zu konfigurieren und zu bestätigen.

Wenn Sie die erforderlichen Informationen für die Konfiguration eingegeben und angewendet haben, wird der Name des Principals für den Server aus dem Servicenamen, dem Realm-Namen und dem Hostnamen erstellt und verwendet, um die Authentifizierung für den Kerberos-Service automatisch zu bestätigen.

Kerberos ist, sofern konfiguriert, das primäre Authentifizierungsverfahren. Konfigurieren Sie die EJB-Authentifizierung für Ressourcen, indem Sie in der Anzeige "Anwendungsdetails" auf die Links für die Ressourcenreferenzen zugreifen.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Globale Sicherheit. Klicken Sie unter "Authentifizierung" auf Kerberos-Konfiguration.

Register 'Konfiguration'

Name des Kerberos-Realms

Der Name Ihres Kerberos-Realms. In den meisten Fällen ist der Realm der Name Ihrer Domäne in Großbuchstaben. Eine Maschine mit dem Domänennamen test.austin.ibm.com hat beispielsweise gewöhnlich den Kerberos-Realm-Namen AUSTIN.IBM.COM. Wenn dieses Feld leer bleibt, wird der in der Kerberos-Konfigurationsdatei angegebene Realm-Name verwendet.

Datentyp String
Name des Kerberos-Service

Konventionsgemäß besteht ein Kerberos-Service-Principal aus drei Teilen: dem so genannten Primary (Benutzername oder das Wort "host"), der Instanz und dem Kerberos-Realm-Namen. Der Name des Kerberos-Service-Principals hat das Format service/<vollständig qualifizierter Hostname>@KERBEROS_REALM.. Der Servicename ist der erste Teil des Namens eines Kerberos-Service-Principals. In WAS/test.austin.ibm.com@AUSTIN.IBM.COM, ist der Servicename beispielsweise WAS.

Standardeinstellung String
Kerberos-Konfigurationsdatei mit vollständigem Pfad

Die Kerberos-Konfigurationsdatei, "krb5.conf" oder "krb5.ini", enthält Clientkonfigurationsdaten, z. B. die Positionen der Key Distribution Center (KDCs) für den betreffenden Realm. Die Datei "krb5.conf" wird für alle Plattformen mit Ausnahme des Betriebssystems Windows verwendet, für das die Datei "krb5.ini" verwendet wird.

Datentyp String
Name der Kerberos-Chiffrierschlüsseldatei mit vollständigem Pfad

Gibt den Namen der Kerberos-Chiffrierschlüsseldatei mit dem vollständigen Pfad an. Sie können auf Durchsuchen klicke, um diese Datei zu suchen. Wenn dieses Feld leer bleibt, wird der in der Kerberos-Konfigurationsdatei angegebene Chiffrierschlüsseldateiname verwendet.

Datentyp String
Kerberos-Realm vom Namen des Principals abtrennen

Gibt an, ob Kerberos das Suffix des Principal-Benutzernamens (ab dem Zeichen @) vor dem Kerberos-Realm-Namen entfernt. Ist dieses Attribut auf true gesetzt, wird das Suffix des Principal-Benutzernamens entfernt. Das Suffix des Principal-Namens bleibt erhalten, wenn dieses Attribut auf false gesetzt ist. Der verwendete Standardwert ist true.

Standardeinstellung Aktiviert
Delegierung der Kerberos-Berechtigungsnachweise aktivieren

Gibt an, ob die übertragenen Kerberos-Berechtigungsnachweise von der Kerberos-Authentifizierung im Subjekt gespeichert werden sollen.

Diese Option ermöglicht einer Anwendung auch, die gespeicherten Berechtigungsnachweise abzurufen und an nachgeordnete Anwendungen für weitere Authentifizierungen mit dem Berechtigungsnachweise vom Kerberos-Client weiterzugeben.

Anmerkung: Wenn dieser Parameter auf true gesetzt ist und die Laufzeitumgebung keinen übertragenen GSS-Clientberechtigungsnachweise extrahieren kann, wird eine Warnung protokolliert.
Standardeinstellung Aktiviert
Integriertes Zuordnungsmodul für die Zuordnung von Kerberos-Principal-Namen zu SAF-Identitäten verwenden

Gibt an, ob das integrierte Zuordnungsmodul verwendet werden soll, um einen Kerberos-Principal-Namen einer SAF-Identität unter z/OS zuzuordnen. Diese Option gilt nur, wenn die Registry des lokalen Betriebssystems die aktive Benutzer-Registry ist.

Anmerkung: Es sind weitere Konfigurationsschritte erforderlich. Weitere Informationen finden Sie im Artikel Kerberos-Principal einer SAF-Identität unter z/OS zuordnen.
Standardeinstellung Inaktiviert



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Verweise


Dateiname: usec_kerb_auth_mech.html