Autenticazione Kerberos

Utilizzare questa pagina per configurare e verificare Kerberos come meccanismo di autenticazione del server delle applicazioni.

Una volta fornite le informazioni richieste e applicate alla configurazione, il nome principal del server viene creato dal nome servizio, dal nome ambito e dal nome host e viene utilizzato per verificare automaticamente l'autenticazione al servizio Kerberos.

Quando è configurato, Kerberos è il meccanismo di autenticazione principale. Configurare l'autenticazione EJB (Enterprise JavaBeans) sulle risorse mediante l'accesso di link di riferimenti di risorsa al pannello dei dettagli di applicazione.

Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza > Sicurezza globale. In Autenticazione, fare clic su Configurazione Kerberos.

Nome ambito Kerberos

Il nome dell'ambito Kerberos. Nella maggior parte dei casi, l'ambito corrisponde al nome del dominio in leggere maiuscole. Ad esempio, una macchina con il nome di dominio di test.austin.ibm.com generalmente ha un nome realm Kerberos AUSTIN.IBM.COM. Se questo campo viene lasciato vuoto, viene usato il nome realm specificato nel file di configurazione Kerberos.

Tipo di dati: String
Nome servizio Kerberos

Per convenzione, un principal del servizio Kerberos è suddiviso in tre parti: la parte principale, l'istanza e il nome dell'ambito Kerberos. Il formato dell'SPN Kerberos è service/<fully qualified hostname>@KERBEROS_REALM.. Il nome del servizio è la prima parte del nome principal del servizio Kerberos. Ad esempio, in WAS/test.austin.ibm.com@AUSTIN.IBM.COM, il nome di servizio è WAS.

Valore predefinito: String
File di configurazione Kerberos con il percorso completo

Il file di configurazione Kerberos, krb5.conf o krb5.ini, contiene informazioni di configurazione client, incluse le posizioni dei KDC (Key Distribution Center) per l'ambito desiderato. Il file krb5.conf è utilizzato per tutte le piattaforme tranne Windows, che utilizza il file krb5.ini file.

Tipo di dati: String
Nome file keytab Kerberos con il percorso completo

Specifica il nome file keytab Kerberos con il percorso completo. Per rilevarlo, è possibile fare clic su Sfoglia. Se questo campo viene lasciato vuoto, viene usato il nome keytab specificato nel file di configurazione Kerberos.

Tipo di dati: String
Rimuovi ambito Kerberos dal nome principal

Specifica se Kerberos rimuove o meno il suffisso del nome utente principal, cominciando dal carattere @ che precede il nome ambito Kerberos. Se questo attributo è impostato su true, il suffisso del nome utente principal viene rimosso. Se questo attributo viene impostato su false, il suffisso del nome principal viene mantenuto. Il valore predefinito utilizzato è true.

Impostazione predefinita: Abilitato
Abilita la delega delle credenziali Kerberos

Specifica se occorre memorizzare le credenziali delegate di Kerberos nell'oggetto in base all'autenticazione Kerberos.

Questa opzione, inoltre, consente a un'applicazione di richiamare le credenziali memorizzate e di propagarle al downstream di altre applicazioni per un'ulteriore autenticazione Kerberos con la credenziale dal client Kerberos.

Nota: Se questo parametro è true e il runtime non è in grado di estrarre una credenziale di delega GSS del client, viene visualizzata un'avvertenza.
Impostazione predefinita: Abilitato
Utilizza modulo di associazione integrata per associare i principal Kerberos alle identità SAF

Specifica se utilizzare il modulo di associazione integrata per associare un nome principal Kerberos all'identità SAF su z/OS. Questa opzione si applica solo quando il registro utente attivo è il sistema operativo locale.

Nota: alcuni passaggi aggiuntivi sono obbligatori. Per ulteriori informazioni, consultare Associazione di un Kerberos principal a un'identità SAF in z/OS.
Impostazione predefinita: Disabilitato



I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Riferimenti correlati


Nome file: usec_kerb_auth_mech.html