Kerberos 鑑別

請利用這個頁面,將 Kerberos 作為應用程式伺服器的鑑別機制來進行配置和驗證。

當您輸入必要的資訊且套用到配置之後,便從服務名稱、網域範圍名稱和主機名稱建立起伺服器主體名稱,且用來自動驗證 Kerberos 服務的鑑別。

當配置時,Kerberos 是主要鑑別機制。 請在應用程式詳細資料畫面上,存取資源參照鏈結來配置 Enterprise JavaBeans™ (EJB) 的資源鑑別。

若要檢視這個管理主控台頁面,請按一下安全 > 廣域安全。 在「鑑別」之下,按一下 Kerberos 配置

「配置」標籤

Kerberos 網域範圍名稱

Kerberos 網域範圍的名稱。在大部分情況下,您的網域範圍就是您大寫字母的網域名稱。 比方說,網域名稱為 test.austin.ibm.com 的機器,其 Kerberos 網域範圍名稱通常便是 AUSTIN.IBM.COM。 如果這個欄位保留空白,便會使用 Kerberos 配置檔所指定的網域範圍名稱。

資料類型: 字串
Kerberos 服務名稱

依慣例,Kerberos 服務主體分成三部分:主要、實例和 Kerberos 網域範圍名稱。 Kerberos 服務主體名稱的格式是 service/<fully qualified hostname>@KERBEROS_REALM.。 服務名稱是 Kerberos 服務主體名稱的第一個部分。 比方說,在 WAS/test.austin.ibm.com@AUSTIN.IBM.COM 中,服務名稱是 WAS

預設值: 字串
含完整路徑的 Kerberos 配置檔

Kerberos 配置檔(krb5.conf 或 krb5.ini)含有用戶端配置資訊,其中包括相關網域範圍的「金鑰配送中心」(KDC) 的位置。 krb5.conf 檔適用於 Windows 作業系統以外的所有平台,Windows® 作業系統使用 krb5.ini 檔。

資料類型: 字串
含完整路徑的 Kerberos keytab 檔名稱

指定含有完整路徑的 Kerberos keytab 檔名稱。 您可以按一下瀏覽來尋找它。 如果這個欄位保留空白,便會使用 Kerberos 配置檔所指定的 keytab 檔名稱。

資料類型: 字串
從主體名稱修整 Kerberos 網域範圍

指定 Kerberos 是否從 Kerberos 網域範圍名稱前面的 @ 開始,移除主體使用者名稱的字尾。 如果這個屬性設為 true,便會移除主體使用者名稱的字尾。 如果這個屬性設為 false,便會保留主體名稱的字尾。 所用的預設值是 true

預設值: 啟用
啟用委派 Kerberos 認證

指定 Kerberos 鑑別是否將 Kerberos 委派認證儲存在主體中。

另外,這個選項也讓應用程式擷取儲存的認證,以及將這些認證傳播到其他下游應用程式,以進行 Kerberos 用戶端認證的其他 Kerberos 鑑別。

註: 如果這個參數是 true,執行時期便無法擷取用戶端 GSS 委派認證,之後,會記載一則警告訊息。
預設值: 啟用
利用內建對映模組,將 Kerberos 主體對映至 SAF 身分

指定是否利用內建對映模組,將 Kerberos 主體名稱對映至 z/OS 上的 SAF 身分。 只有在作用中的使用者登錄是本端 OS,這個選項才適用。

註: 需要進行一些其他設定。 如需相關資訊,請參閱將 Kerberos 主體對映至 z/OS 上的 SAF 身分。
預設值: 停用



標示(線上)的鏈結表示需要存取網際網路。

相關參考


檔名: usec_kerb_auth_mech.html