Autentificare Kerberos

Utilizaţi această pagină pentru a configura şi a verifica Kerberos ca mecanism de autentificare pentru serverul de aplicaţii.

Când aţi introdus şi aţi aplicat informaţiile necesare asupra configuraţiei, numele principal de server este creat din numele serviciului, numele regiunii şi numele gazdă şi este utilizat pentru a verifica automat autentificarea la serviciul Kerberos.

Când este configurat, Kerberos este mecanismul de autentificare primar. Configuraţi autentificarea Enterprise JavaBeans (EJB) la resurse accesând legăturile de referinţă ale resurselor pe panoul de detalii al aplicaţiei.

Pentru a vizualiza această pagină de consolă administrativă, apăsaţi pe Securitate > Securitate globală. Din Autentificare, apăsaţi pe configuraţie Kerberos.

Note: Când configuraţi Kerberos, dacă configuraţia eşuează cu o excepţie ca în următorul exemplu:
org.ietf.jgss.GSSException, cod major: 11, cod minor: 0 şir major: Defectare generală,
nespecificat la nivelul GSSAPI şir minor: Nu se poate obţine acreditarea pentru
serviciul principal WAS/test@AUSTIN.IBM.COM
serviciul principal trebuie să fie în formatul: <nume serviciu>/<nume gazdă complet calificat>@KerberosRealm. În exemplul excepţiei, numele gazdă complet calificat nu este specificat, motiv pentru care apare defectarea. Pentru această defectare, numele gazdă al sistemului este obţinut de obicei de la fişierul /etc/hosts şi nu de la Domain Name Server (DNS). Pe sistemele UNIX sau Linux, dacă linia "hosts": din fişierul /etc/nsswitch.conf este configurată să se uite mai întâi în fişierul de gazde înainte de a se uita în DNS, configuraţia Kerberos eşuează dacă fişierul de gazde conţine o intrare pentru sistem care nu este un nume gazdă complet calificat.
Numele regiunii Kerberos

Numele regiunii dumneavoastră Kerberos. În majoritatea cazurilor, regiunea dumneavoastră este numele dumneavoastră de domeniu cu litere mari. De exemplu, o maşină cu numele de domeniu test.austin.ibm.com are de obicei un nume de regiune Kerberos AUSTIN.IBM.COM.

Sunt două componente care utilizează un nume de regiune. Componenta IBM Java Generic Security Service (JGSS) obţine numele regiunii din fişierul krb5.conf. De asemenea, WebSphere Application Server menţine un nume de regiune, care este de obicei acelaşi pe care-l utilizează JGSS. Dacă lăsaţi gol câmpul numelui de regiune Kerberos, WebSphere Application Server moşteneşte numele de regiune de la JGSS.

Aţi putea dori ca WebSphere Application Server să utilizeze un alt nume de regiune şi puteţi utiliza câmpul numelui de regiune Kerberos pentru a-l modifica. Totuşi, aveţi grijă că dacă modificaţi numele regiunii în consola administrativă, se modifică numai numele regiunii WebSphere Application Server.

Tip date: Şir
Nume serviciu Kerberos

Prin convenţie, un principal de serviciu Kerberos este împărţit în trei părţi: primar, instanţă şi numele regiunii Kerberos. Formatul numelui principa serviciu Kerberos este service/<nume gazdă complet calificat>@KERBEROS_REALM.. Numele serviciului este prima parte din numele principal al serviciului Kerberos. De exemplu, în WAS/test.austin.ibm.com@AUSTIN.IBM.COM, numele serviciului este WAS.

Implicit: Şir
Fişier de configurare Kerberos cu cale completă

Fişierul de configurare Kerberos, krb5.conf sau krb5.ini, conţine informaţiile de configurare client, inclusiv locaţiile KDC-urilor (Centre de distribuţie chei) pentru regiunea de interes. Fişierul krb5.conf este utilizat pentru toate platformele cu excepţia sistemului de operare Windows, care utilizează fişierul krb5.ini.

Tip date: Şir
Nume fişier tabelă de chei Kerberos cu cale completă

Specifică umele fişierului tabelă de chei Kerberos cu calea sa completă. Puteţi apăsa pe Răsfoire pentru a-l localiza. Dacă acest câmp este gol, atunci se utilizează numele de fişier tabelă de chei Kerberos specificat în fişierul de configurare Kerberos.

Tip date: Şir
Retezare regiune Kerberos din numele principal

Specifică dacă Kerberos înlătură sufixul numelui de utilizator principal din @ care precedă numele de regiune Kerberos. Dacă acest atribut este setat la true, se înlătură sufixul numelui de utilizator principal. Dacă acest atribut este setat la false, se reţine sufixul numelui principal. Valoarea implicită utilizată este true.

Note: Trebuie să setaţi acest câmp la true dacă utilizaţi atât registrul Sistemului de operare local pe z/OS, cât şi modulul de mapare încorporat pentru a mapa principalul Kerberos la identităţi SAF.
Implicit: Activat
Permite delegaţia acreditărilor Kerberos

Specifică dacă acreditările delegate Kerberos urmează să fie stocate în subiectul autentificării Kerberos.

De asemenea, această opţiune permite unei aplicaţii să extragă acreditările stocate şi să le propage la alte aplicaţii în aval pentru autentificare Kerberos suplimentară cu acreditarea de la clientul Kerberos.

Note: Dacă acest parametru este true şi runtime-ul nu poate extrage o acreditare de delegaţie GSS client, atunci se înregistrează în istoric un mesaj de avertisment.
Implicit: Activat
Utilizare modul de mapare încorporat pentru a mapa principaluri Kerberos la identităţi SAF (System Authorization Facility)

Specifică dacă să se utilizeze modulul de mapare încorporat pentru a mapa numele principalului Kerberos la identitatea SAF pe z/OS. Această opţiune se aplică numai când registrul de utilizatori activi este OS local.

Note: Este necesară o setare suplimentară. Citiţi Maparea unui principal Kerberos la o identitate System Authorization Facility (SAF) în z/OS pentru informaţii suplimentare.
Evitare probleme: Dacă selectaţi opţiunea să se utilizeze modulul de mapare încorporat, nu ar trebui să configuraţi alte module de logare JAAS personalizate pentru a mapa principalul Kerberos la o identitate SAF.gotcha
Note: Modulul de mapare încorporat utilizează numele principal Kerberos şi regiunea Kerberos pentru mapare, indiferent la ce este setat câmpul Retezare regiune Kerberos din numele principal.
Implicit: Dezactivat



Legăturile marcate (online) necesită acces la internet.

Related reference
Activarea autentificării web SPNEGO
Valorile filtrului de autentificare web SPNEGO


Nume fişier: usec_kerb_auth_mech.html