Autenticação Kerberos

Utilize essa página para configurar e verificar o Kerberos como o mecanismo de autenticação para o servidor de aplicativos.

Depois que você tiver digitado e aplicado as informações necessárias para a configuração, o nome do proprietário do servidor será criado a partir do nome do serviço, nome da região e nome do host, além de ser utilizado para verificar automaticamente a autenticação para o serviço Kerberos.

Quando configurado, o Kerberos é o mecanismo de autenticação primário. Configure a autenticação EJB (Enterprise JavaBeans) para recursos, acessando os links de referências de recursos no painel de detalhes do aplicativo.

Para visualizar essa página do console administrativo, clique em Segurança > Segurança Global. Em Autenticação, clique em Configuração do Kerberos.

Guia Configuração

Nome da Região do Kerberos

O nome da região do Kerberos. Na maioria dos casos, a região é o nome do domínio em letras maiúsculas. Por exemplo, uma máquina com o nome de domínio de test.austin.ibm.com possui um nome de região do Kerberos de AUSTIN.IBM.COM.

Tipo de dados: Cadeia
Nome do Serviço Kerberos

Por convenção, um proprietário de serviço Kerberos é dividido em três partes: o nome principal, o da instância e o da região do Kerberos. O formato do nome do proprietário do serviço kerberos é service/host@KERBEROS_REALM. O nome do serviço é a primeira parte do nome do proprietário do serviço Kerberos. Por exemplo, em WAS/test.austin.ibm.com@AUSTIN.IBM.COM, o nome do serviço é WAS.

Padrão: Cadeia
Arquivo de Configuração do Kerberos com Caminho Completo

O arquivo de configuração do Kerberos, krb5.conf ou krb5.ini, contém informações de configuração do cliente, incluindo os locais dos KDCs (Key Distribution Centers) para a região de interesse. O arquivo krb5.conf é utilizado para todas as plataformas, exceto o sistema operacional Windows, que utiliza o arquivo krb5.ini.

Tipo de dados: Cadeia
Nome do Arquivo keytab do Kerberos com Caminho Completo

Especifica o arquivo keytab do Kerberos, que contém um ou mais nomes e chaves de proprietário de serviço Kerberos.

Tipo de dados: Cadeia
Remover Região do Kerberos do Nome do Proprietário

Especifica se o Kerberos removerá o sufixo do nome de usuário do proprietário, iniciando a partir do @ que precede o nome da região do Kerberos. Se esse atributo for configurado como true, o sufixo do nome do usuário do proprietário será removido. Se esse atributo estiver configurado como false, o sufixo do nome do proprietário será retido. O valor padrão utilizado é true.

Padrão:: Ativado
Ativar Delegação de Credenciais Kerberos

Especifica se as credenciais delegadas pelo Kerberos serão armazenadas no assunto pela autenticação Kerberos.

Essa opção também permite que um aplicativo recupere as credenciais armazenadas e propague-as para outros aplicativos de recebimento de dados para autenticação Kerberos adicional com a credencial do cliente do Kerberos.

Note: A autenticação Kerberos sempre tenta extrair a credencial de delegação GSS do cliente e os bilhetes Kerberos e colocá-los no assunto. Se esse parâmetro for true, e o tempo de execução não puder extrair uma credencial de delegação GSS do cliente, uma mensagem de aviso será exibida.
Padrão:: Ativado
Utilizar o Módulo de Mapeamento Integrado para Mapear Proprietários do Kerberos para Identidades SAF

Especifica se o módulo de mapeamento integrado deve ser utilizado para mapear um nome de proprietário do Kerberos para a identidade SAF no z/OS. Essa opção aplica-se apenas quando o registro do usuário ativo é S.O. Local.

Note: É necessária alguma configuração adicional. Leia Mapeando um proprietário do Kerberos para uma identidade de SAF no z/OS para obter informações adicionais.
Padrão:: Desativado



Links marcados (on-line) requerem acesso à Internet.

Referências relacionadas


Nome do arquivo: usec_kerb_auth_mech.html