Page d'authentification Kerberos

Cette page permet de configurer et de vérifier Kerberos en tant que mécanisme d'authentification pour le serveur d'applications.

Une fois les informations requises entrées et appliquées à la configuration, le nom principal du serveur est créé à partir du nom de service, du nom de domaine et du nom d'hôte. Il permet de vérifier automatiquement l'authentification auprès du service Kerberos.

Une fois configuré, Kerberos est le mécanisme d'authentification principal. Configurez l'authentification Enterprise JavaBeans (EJB) auprès des ressources en accédant aux liens des références des ressources sur le panneau des détails de l'application.

Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Sécurité globale. Sous Authentification, cliquez sur Configuration de Kerberos.

Remarque : Pendant la configuration de Kerberos, si cette configuration échoue avec une exception telle que :
org.ietf.jgss.GSSException ; code d'événement majeur :11 ; code
d'événement mineur : 0 ; chaîne de l'événement majeur : Echec
général,
informations non spécifiées au niveau de GSSAPI ; chaîne de
l'événement mineur : Impossible d'obtenir les données
d'identification pour 
le service principal service
WAS/test@AUSTIN.IBM.COM
Le service principal doit avoir le format <nom du service>>/<nom d'hôte qualifié complet>@KerberosRealm. Dans cet exemple d'exception, le nom d'hôte qualifié complet n'a pas été indiqué, ce qui a causé l'échec. Pour ce type d'échec, on obtient généralement le nom d'hôte du système depuis le fichier /etc/hosts au lieu du serveur DNS (Domain Name Server). Sur les systèmes UNIX ou Linux, si la ligne "hosts:" du fichier /etc/nsswitch.conf est configurée pour rechercher d'abord dans le fichier des hôtes au lieu du DNS, la configuration de Kerberos échoue si ce fichier contient une entrée pour le système qui n'est pas un nom d'hôte qualifié complet.
Nom du domaine Kerberos

Nom du domaine Kerberos. Dans la plupart des cas, votre domaine Kerberos correspond au nom de domaine en majuscules. Par exemple, une machine portant le nom de domaine test.austin.ibm.com possède généralement le nom de domaine Kerberos AUSTIN.IBM.COM.

Il existe deux composants qui utilisent un nom de domaine. Le composant IBM JGSS (Java Generic Security Service) obtient le nom de domaine à partir du fichier krb5.conf. WebSphere Application Server utilise également un nom de domaine, habituellement le même que JGSS. Si vous laissez vide la zone du nom de domaine Kerberos, WebSphere Application Server obtient le nom de domaine à partir de JGSS.

Peut-être souhaiterez-vous que WebSphere Application Server utilise un autre nom de domaine. Toutefois, notez que si vous changez le nom de domaine dans la console d'administration, seul le nom de domaine de WebSphere Application Server change.

Type de données : Chaîne
Nom du service Kerberos

Par convention, un principal de service Kerberos est divisé en trois parties : l'élément principal, l'instance et le nom de domaine Kerberos. Le format du nom de principal du service Kerberos est service<nom service/nom hôte qualifié complet>>@KERBEROS_REALM. Le nom de service constitue la première partie du nom de principal de service Kerberos. Par exemple, dans WAS/test.austin.ibm.com@AUSTIN.IBM.COM, le nom de service est WAS.

Valeur par défaut Chaîne
Fichier de configuration Kerberos avec chemin complet

Le fichier de configuration Kerberos, krb5.conf ou krb5.ini, contient les informations de configuration client, incluant les emplacements des centres KDC (Key Distribution Center) du domaine concerné. Le fichier krb5.conf est utilisé pour toutes les plateformes à l'exception de Windows qui utilise le fichier krb5.ini.

Type de données : Chaîne
Nom du fichier de clés Kerberos avec chemin complet

Indique le nom du fichier de clés Kerberos avec son chemin complet. Vous pouvez cliquer sur Parcourir pour le localiser. Si cette zone reste vide, le nom du fichier de clés spécifié dans le fichier de configuration Kerberos est utilisé.

Type de données : Chaîne
Retirer le domaine Kerberos du nom de principal

Indique si Kerberos supprime le suffixe du nom d'utilisateur principal, à partir du caractère @ précédant le nom de domaine Kerberos. Si la valeur true est attribuée à cet attribut, le suffixe du nom d'utilisateur principal est supprimé. Si cet attribut est défini sur false, le suffixe du nom de principal est conservé. La valeur utilisée par défaut est true.

Remarque : Vous devez entrer true dans cette zone si vous utilisez le registre du système d'exploitation local sur z/OS et le module de mappage intégré pour mapper les principaux Kerberos aux identités SAF.
Valeur par défaut : Activé
Activer la délégation des justificatifs Kerberos

Indique si les données d'identification déléguées de Kerberos doivent être stockées dans le sujet par l'authentification Kerberos.

Cette option permet également à une application de récupérer les justificatifs stockés et de les propager vers d'autres applications en aval pour une authentification Kerberos supplémentaire avec le justificatif du client Kerberos.

Remarque : Si ce paramètre est défini sur true et si aucun justificatif de délégation GSS client n'est extrait au cours de l'exécution, un message d'avertissement est consigné.
Valeur par défaut : Activé
Utiliser le module de mappage intégré pour mapper les principaux Kerberos aux identités SAF (System Authorization Facility).

Indique si l'utilisation du module de mappage intégré est requise pour mapper un nom de principal Kerberos à une identité SAF sous z/OS. Cette option ne s'applique que lorsque le registre d'utilisateurs actif est le système d'exploitation local.

Remarque : Une configuration supplémentaire est requise. Pour plus d'informations, voir Mappage d'un principal Kerberos à une identité SAF (System Authorization Facility) sur z/OS.
Eviter les incidents : Si vous sélectionnez l'option pour utiliser le module de mappage intégré, il est préférable de ne pas configurer d'autres modules de connexion JAAS personnalisés pour mapper le principal kerberos à l'identité SAF.gotcha
Remarque : Le module de mappage intégré utilise le nom de principal Kerberos complet et le domaine Kerberos, quelle que soit la valeur dans la zone Retirer le domaine Kerberos du nom de principal.
Valeur par défaut : Désactivé



Les liens marqués (en ligne) requièrent un accès à Internet.

Référence associée
Activation de l'authentification Web SPNEGO
Valeurs du filtre d'authentification Web SPNEGO


Nom du fichier : usec_kerb_auth_mech.html