Kerberos 认证

使用此页面来配置 Kerberos 并验证它是否是应用程序服务器的认证机制。

在输入了必需信息并且应用于配置之后,就会使用服务名称、域名和主机名来创建服务器主体名称,并将服务器主体名称用来自动验证对 Kerberos 服务的认证。

配置了此项时,Kerberos 是主要的认证机制。通过访问应用程序详细信息面板上的资源引用链接,配置对资源的 Enterprise JavaBeans™(EJB)认证。

要查看此管理控制台页面,单击安全性 > 全局安全性。在“认证”下,单击 Kerberos 配置

“配置”选项卡

Kerberos 域名

kerberos 域的名称。大多数情况下,您的域是用大写字母表示的域名。例如,如果一台机器具有域名 test.austin.ibm.com,那么它的 Kerberos 域名通常为 AUSTIN.IBM.COM。如果此字段保留为空白,那么将使用在 Kerberos 配置文件中指定的域名。

数据类型: 字符串
Kerberos 服务名称

按照惯例,Kerberos 服务主体分成以下三部分:主体、实例和 kerberos 域名。Kerberos 服务主体名称的格式为 service/<fully qualified hostname>@KERBEROS_REALM。Kerberos 服务主体名称的第一部分是服务名称。例如,在 WAS/test.austin.ibm.com@AUSTIN.IBM.COM 中,服务名称是 WAS

缺省值: 字符串
具有完整路径的 Kerberos 配置文件

Kerberos 配置文件 krb5.conf 或 krb5.ini 包含客户机配置信息,其中包括感兴趣域的密钥分发中心(KDC)的位置。除 Windows® 之外的所有其他平台将使用 krb5.conf 文件,而 Windows 平台将使用 krb5.ini 文件。

数据类型: 字符串
具有完整路径的 Kerberos 密钥表文件名

指定 Kerberos 密钥表文件名及其完整路径。可以单击浏览以查找此文件。如果此字段保留为空白,那么将使用在 Kerberos 配置文件中指定的密钥表文件名。

数据类型: 字符串
调整主体名称中的 kerberos 域

指定 Kerberos 是否要从 Kerberos 域名前面的 @ 开始除去主体用户名的后缀。如果此属性设置为 true,那么将除去主体用户名的后缀。如果此属性设置为 false,那么将保留主体名称的后缀。使用的缺省值为 true

缺省值: 已启用
启用 Kerberos 凭证的授权

指定 Kerberos 已授权的凭证是否将由 Kerberos 认证存储在主体集中。

此选项还允许应用程序检索已存储的凭证并将它们传播至其他应用程序下游,以使用 Kerberos 客户机中的凭证进行其他 Kerberos 认证。

注: 如果此参数为 true,而运行时无法抽取客户机 GSS 授权凭证,那么将记录一条警告消息。
缺省值: 已启用
使用内置映射模块将 kerberos 主体映射至 SAF 标识

指定在 z/OS 上是否使用内置映射模块将 kerberos 主体名称映射至 SAF 标识。仅当活动用户注册表是“本地操作系统”时才会应用此选项。

注: 还需要进行其他设置。请参阅映射 Kerberos 主体至 z/OS 上的 SAF 标识,以了解更多信息。
缺省值: 已禁用



标有(在线)的链接要求访问因特网。

相关参考


文件名: usec_kerb_auth_mech.html