Kerberos-Authentifizierung

Verwenden Sie diese Seite, um Kerberos als Authentifizierungsverfahren für den Anwendungsserver zu konfigurieren und zu bestätigen.

Wenn Sie die erforderlichen Informationen für die Konfiguration eingegeben und angewendet haben, wird der Name des Principals für den Server aus dem Servicenamen, dem Realm-Namen und dem Hostnamen erstellt und verwendet, um die Authentifizierung für den Kerberos-Service automatisch zu bestätigen.

Kerberos ist, sofern konfiguriert, das primäre Authentifizierungsverfahren. Konfigurieren Sie die EJB-Authentifizierung für Ressourcen, indem Sie in der Anzeige "Anwendungsdetails" auf die Links für die Ressourcenreferenzen zugreifen.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Globale Sicherheit. Klicken Sie unter "Authentifizierung" auf Kerberos-Konfiguration.

Anmerkung: Wenn eine Ausnahme wie
org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure,
unspecified at GSSAPI level minor string: Cannot get credential for 
principal service WAS/test@AUSTIN.IBM.COM
ausgegeben wird, muss der Principal-Service das folgende Format haben: <Servicename>/<vollständig_qualifizierter_Hostname>@KerberosRealm. In der Beispielausnahme ist der vollständig qualifizierte Hostname nicht angegeben. Deshalb tritt der Fehler auf. Bei diesem Fehler wird der Hostname des Systems gewöhnlich aus der Datei /etc/hosts und nicht vom Domänennamensserver (DNS) abgerufen. Wenn die Zeile "hosts": in der Datei /etc/nsswitch.conf auf UNIX- oder Linux-Systemen so konfiguriert ist, dass zuerst in der Datei "hosts" und dann erst im DNS gesucht wird, scheitert die Kerberos-Konfiguration, wenn die Datei "hosts" einen Eintrag für das System enthält, der nicht der vollständig qualifizierte Hostname ist.
Name des Kerberos-Realms

Der Name Ihres Kerberos-Realms. In den meisten Fällen ist der Realm der Domänenname in Großbuchstaben. Beispielsweise verwendet eine Maschine mit dem Domänennamen test.austin.ibm.com in der Regel den Kerberos-Realm-Namen AUSTIN.IBM.COM.

Es gibt zwei Komponenten, die einen Realm-Namen verwenden. Die Komponente IBM Java Generic Security Service (JGSS) ruft den Realm-Namen aus der Datei krb5.conf ab. Auch WebSphere Application Server verwaltet einen Realm-Namen, der gewöhnlich derselbe ist, der von JGSS verwendet wird. Wenn Sie das Feld für den Kerberos-Realm-Namen leer lassen, übernimmt WebSphere Application Server den Realm-Namen von JGSS.

Wenn Sie jedoch möchten, dass WebSphere Application Server einen anderen Realm-Namen verwendet, können Sie das Feld "Name des Kerberos-Realm" verwenden, um den Realm-Namen zu ändern. Sie müssen jedoch beachten, dass bei einer Änderung des Realm-Namens in der Administrationskonsole nur der Realm-Name von WebSphere Application Server geändert wird.

Datentyp String
Name des Kerberos-Service

Gemäß der Konvention setzt sich ein Kerberos-Service-Principal aus drei Komponenten zusammen: primäre Komponente, Instanz und Kerberos-Realm-Name. Der Name des Kerberos-Service-Principals hat das Format service/<vollständig qualifizierter Hostname>@KERBEROS_REALM.. Der Servicename ist der erste Teil des Kerberos-SPN. In WAS/test.austin.ibm.com@AUSTIN.IBM.COM, ist der Servicename beispielsweise WAS.

Standardeinstellung String
Kerberos-Konfigurationsdatei mit vollständigem Pfad

Die Kerberos-Konfigurationsdatei, krb5.conf oder krb5.ini, enthält Clientkonfigurationsdaten, die unter anderem die Speicherpositionen für die KDCs (Key Distribution Center) des betreffenden Realms angeben. Die Datei "krb5.conf" wird für alle Plattformen mit Ausnahme des Betriebssystems Windows verwendet, für das die Datei "krb5.ini" verwendet wird.

Datentyp String
Name der Kerberos-Chiffrierschlüsseldatei mit vollständigem Pfad

Gibt den Namen der Kerberos-Chiffrierschlüsseldatei mit dem vollständigen Pfad an. Sie können auf Durchsuchen klicke, um diese Datei zu suchen. Wenn dieses Feld leer bleibt, wird der in der Kerberos-Konfigurationsdatei angegebene Chiffrierschlüsseldateiname verwendet.

Datentyp String
Kerberos-Realm vom Namen des Principals abtrennen

Gibt an, ob Kerberos das Suffix des Principal-Benutzernamens (ab dem Zeichen @) vor dem Kerberos-Realm-Namen entfernt. Wenn dieses Attribut auf true gesetzt ist, wird das Suffix des Principal-Benutzernamens entfernt. Das Suffix des Principal-Namens bleibt erhalten, wenn dieses Attribut auf false gesetzt ist. Der verwendete Standardwert ist true.

Anmerkung: Sie müssen das Feld auf true setzen, wenn Sie die Registry des lokalen Betriebssystems unter z/OS und das integrierte Zuordnungsmodul verwenden, um SAF-Identitäten Kerberos-Principals zuzuordnen.
Standardeinstellung Aktiviert
Übertragung der Kerberos-Berechtigungsnachweise aktivieren

Gibt an, ob die übertragenen Kerberos-Berechtigungsnachweise von der Kerberos-Authentifizierung im Subjekt gespeichert werden sollen.

Diese Option bietet einer Anwendung außerdem die Möglichkeit, die gespeicherten Berechtigungsnachweise abzurufen und an andere nachgeordnete Anwendungen für eine zusätzliche Kerberos-Authentifizierung mit dem Berechtigungsnachweis des Kerberos-Clients weiterzugeben.

Anmerkung: Wenn dieser Parameter auf true gesetzt ist und die Laufzeitumgebung keinen übertragenen GSS-Clientberechtigungsnachweise extrahieren kann, wird eine Warnung protokolliert.
Standardeinstellung Aktiviert
Integriertes Zuordnungsmodul für die Zuordnung von Kerberos-Principal-Namen zu SAF-Identitäten verwenden

Gibt an, ob das integrierte Zuordnungsmodul verwendet werden soll, um einen Kerberos-Principal-Namen einer SAF-Identität unter z/OS zuzuordnen. Diese Option gilt nur, wenn die Registry des lokalen Betriebssystems die aktive Benutzer-Registry ist.

Anmerkung: Es sind weitere Konfigurationsschritte erforderlich. Nähere Informationen finden Sie im Artikel Kerberos-Principal unter z/OS einer SAF-ID zuordnen.
Fehler vermeiden: Wenn Sie diese Option auswählen, um das integrierte Zuordnungsmodul zu verwenden, dürfen Sie keine anderen angepassten JAAS-Anmeldemodule für die Zuordnung des Kerberos-Principals zu einer SAF-Identität konfigurieren. gotcha
Anmerkung: Das integrierte Zuordnungsmodul verwendet den vollständigen Kerberos-Principal-Namen und Kerberos-Realm für die Zuordnung, unabhängig davon, auf welchen Wert das Feld Kerberos-Realm vom Namen des Principals abtrennen gesetzt ist.
Standardeinstellung Inaktiviert



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Verweise
Aktivierung der SPNEGO-Webauthentifizierung
Filterwerte für SPNEGO-Webauthentifizierung


Dateiname: usec_kerb_auth_mech.html