Autenticazione Kerberos

Utilizzare questa pagina per configurare e verificare Kerberos come meccanismo di autenticazione del server delle applicazioni.

Una volta fornite le informazioni richieste e applicate alla configurazione, il nome principal del server viene creato dal nome servizio, dal nome ambito e dal nome host e viene utilizzato per verificare automaticamente l'autenticazione al servizio Kerberos.

Quando è configurato, Kerberos è il meccanismo di autenticazione principale. Configurare l'autenticazione EJB (Enterprise JavaBeans) sulle risorse mediante l'accesso di link di riferimenti di risorsa al pannello dei dettagli di applicazione.

Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza > Sicurezza globale. In Autenticazione, fare clic su Configurazione Kerberos.

Nota: durante la configurazione di Kerberos, se la configurazione non riesce con un'eccezione come quella riportata nel seguente esempio:
org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure,
unspecified at GSSAPI level minor string: Cannot get credential for 
principal service WAS/test@AUSTIN.IBM.COM
il servizio principal deve avere il formato: <service name>/<fully qualified hostname>@KerberosRealm. Nell'esempio di eccezione, non viene specificato il nome host completo, ovvero il motivo dell'errore. Per questo errore, il nome host del sistema si ottiene generalmente dal file /etc/hosts anziché dal DNS (Domain Name Server). Su sistemi UNIX o Linux, se la riga "hosts": nel file /etc/nsswitch.conf è configurata per esaminare innanzitutto il file di host prima di eseguire una ricerca in DNS, la configurazione Kerberos non riesce se il suddetto file contiene una voce per il sistema che non sia il nome host completo.
Nome ambito Kerberos

Il nome dell'ambito Kerberos. Nella maggior parte dei casi, l'ambito corrisponde al nome del dominio in leggere maiuscole. Ad esempio, una macchina con il nome di dominio di test.austin.ibm.com generalmente ha un nome realm Kerberos AUSTIN.IBM.COM.

Esistono due componenti che utilizzano un nome realm. Il componente IBM JGSS (Java Generic Security Service) ottiene il nome realm dal file krb5.conf. Anche WebSphere Application Server mantiene un nome realm che generalmente è uguale a quello utilizzato da JGSS. Se si lascia vuoto il campo del nome realm Kerberos, WebSphere Application Server eredita il nome realm da JGSS.

È possibile fare in modo che WebSphere Application Server utilizzi un nome realm differente e possa utilizzare il campo del nome Kerberos per modificarlo. Tuttavia tenere presente che, se si modifica il nome realm nella console di gestione, viene modificato soltanto il nome realm di WebSphere Application Server.

Tipo di dati: Stringa
Nome servizio Kerberos

Per convenzione, un principal del servizio Kerberos è suddiviso in tre parti: la parte principale, l'istanza e il nome dell'ambito Kerberos. Il formato dell'SPN Kerberos è service/<fully qualified hostname>@KERBEROS_REALM.. Il nome del servizio è la prima parte del nome principal del servizio Kerberos. Ad esempio, in WAS/test.austin.ibm.com@AUSTIN.IBM.COM, il nome di servizio è WAS.

Valore predefinito: Stringa
File di configurazione Kerberos con il percorso completo

Il file di configurazione Kerberos, krb5.conf o krb5.ini, contiene informazioni di configurazione client, incluse le posizioni dei KDC (Key Distribution Center) per l'ambito desiderato. Il file krb5.conf è utilizzato per tutte le piattaforme tranne Windows, che utilizza il file krb5.ini file.

Tipo di dati: Stringa
Nome file keytab Kerberos con il percorso completo

Specifica il nome file keytab Kerberos con il percorso completo. Per rilevarlo, è possibile fare clic su Sfoglia. Se questo campo viene lasciato vuoto, viene usato il nome file keytab specificato nel file di configurazione Kerberos.

Tipo di dati: Stringa
Rimuovi ambito Kerberos dal nome principal

Specifica se Kerberos rimuove o meno il suffisso del nome utente principal, cominciando dal carattere @ che precede il nome ambito Kerberos. Se questo attributo è impostato su true, il suffisso del nome utente principal viene rimosso. Se questo attributo viene impostato su false, il suffisso del nome principal viene mantenuto. Il valore predefinito utilizzato è true.

Impostazione predefinita: Abilitato
Abilita la delega delle credenziali Kerberos

Specifica se occorre memorizzare le credenziali delegate di Kerberos nell'oggetto in base all'autenticazione Kerberos.

Questa opzione, inoltre, consente a un'applicazione di richiamare le credenziali memorizzate e di propagarle ad altre applicazioni a valle per un'ulteriore autenticazione Kerberos con la credenziale dal client Kerberos.

Nota: Se questo parametro è true e il runtime non è in grado di estrarre una credenziale di delega GSS del client, viene visualizzata un'avvertenza.
Impostazione predefinita: Abilitato
Utilizza modulo di associazione integrata per associare i principal Kerberos alle identità SAF (System Authorization Facility)

Specifica se utilizzare il modulo di associazione integrata per associare un nome principal Kerberos all'identità SAF su z/OS. Questa opzione si applica solo quando il registro utente attivo è il sistema operativo locale.

Nota: alcuni passaggi aggiuntivi sono obbligatori. Per ulteriori informazioni, consultare Associazione di un principal Kerberos a un'identità SAF (System Authorization Facility) in z/OS.
Impostazione predefinita: Disabilitato



I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Riferimenti correlati


Nome file: usec_kerb_auth_mech.html