Autenticação Kerberos

Utilize essa página para configurar e verificar o Kerberos como o mecanismo de autenticação para o servidor de aplicativos.

Depois que você tiver digitado e aplicado as informações necessárias para a configuração, o nome do proprietário do servidor será criado a partir do nome do serviço, nome da região e nome do host, além de ser utilizado para verificar automaticamente a autenticação para o serviço Kerberos.

Quando configurado, o Kerberos é o mecanismo de autenticação primário. Configure a autenticação EJB (Enterprise JavaBeans) para recursos, acessando os links de referências de recursos no painel de detalhes do aplicativo.

Para exibir essa página do console administrativo, clique em Segurança > Segurança global. Em Autenticação, clique em Configuração do Kerberos.

Nota: Durante a configuração do Kerberos, se a configuração falhar com uma exceção como no exemplo a seguir:
org.ietf.jgss.GSSException,
código principal: 11, código secundário: 0 cadeia principal: Falha geral,
não especificada na cadeia de nível inferior GSSAPI: Não é possível obter
credencial para 
serviço do proprietário WAS/test@AUSTIN.IBM.COM
O serviço do proprietário deve estar no formato: <service name>/<nome completo do host>@KerberosRealm. No exemplo de exceção, o nome completo do host não está especificado, o que é a razão da falha. Para essa falha, o nome do host do sistema geralmente é obtido do arquivo /etc/hosts, e não do Domain Name Server (DNS). Nos sistemas UNIX ou Linux, se a linha "hosts": no arquivo /etc/nsswitch.conf estiver configurada para procurar primeiro no arquivo de hosts antes de procurar no DNS, a configuração do Kerberos falhará se o arquivo de hosts contiver uma entrada para o sistema que não seja o nome completo do host.
Nome da Região do Kerberos

O nome da região do Kerberos. Na maioria dos casos, a região é o nome do domínio em letras maiúsculas. Por exemplo, uma máquina com o nome de domínio de test.austin.ibm.com possui um nome de região do Kerberos de AUSTIN.IBM.COM.

Existem dois componentes que utilizam nome da região. O componente IBM Java Generic Security Service (JGSS) obtém o nome da região do arquivo krb5.conf. O WebSphere Application Server também mantém um nome de região, que geralmente é o mesmo que o JGSS utiliza. Se você deixar o campo de nome da região do Kerberos em branco, o WebSphere Application Server herdará o nome da região do JGSS.

Você pode desejar que o WebSphere Application Server use um nome de região diferente, e pode usar o campo Nome da região Kerberos para alterá-lo. No entanto, saiba que se você alterar o nome da região no console administrativo, somente o nome da região do WebSphere Application Server será alterado.

Tipo de dados: Cadeia
Nome do Serviço Kerberos

Por convenção, um proprietário do serviço Kerberos é dividido em três partes: o nome principal, o da instância e o da região do Kerberos. O formato do nome principal do serviço Kerberos é service/<nome do host completo>@KERBEROS_REALM.. O nome do serviço é a primeira parte do nome principal do serviço Kerberos. Por exemplo, em WAS/test.austin.ibm.com@AUSTIN.IBM.COM, o nome do serviço é WAS.

Padrão: Cadeia
Arquivo de Configuração do Kerberos com Caminho Completo

O arquivo de configuração do Kerberos, krb5.conf ou krb5.ini, contém informações de configuração do cliente, incluindo os locais dos KDCs (Key Distribution Centers) para a região de interesse. O arquivo krb5.conf é utilizado para todas as plataformas, exceto o sistema operacional Windows, que utiliza o arquivo krb5.ini.

Tipo de dados: Cadeia
Nome do Arquivo keytab do Kerberos com Caminho Completo

Especifica o nome do arquivo keytab do Kerberos com seu caminho completo. Você pode clicar em Procurar para localizá-lo. Se esse campo for deixado vazio, o nome do arquivo keytab especificado no arquivo de configuração do Kerberos será utilizado.

Tipo de dados: Cadeia
Remover Região do Kerberos do Nome do Proprietário

Especifica se o Kerberos removerá o sufixo do nome de usuário do proprietário, iniciando a partir do @ que precede o nome da região do Kerberos. Se esse atributo for configurado como true, o sufixo do nome do usuário do proprietário será removido. Se esse atributo estiver configurado como false, o sufixo do nome do proprietário será retido. O valor padrão utilizado é true.

Nota: É necessário configurar esse campo para true se você estiver usando o registro do Sistema Operacional Local no z/OS e o módulo de mapeamento integrado para mapear os proprietários Kerberos para as identidades SAF.
Padrão:: Ativado
Ativar Delegação de Credenciais Kerberos

Especifica se as credenciais delegadas pelo Kerberos serão armazenadas no assunto pela autenticação Kerberos.

Essa opção também permite que um aplicativo recupere as credenciais armazenadas e as propague para outro recebimento de dados de aplicativo, para a autenticação adicional do Kerberos com a credencial do cliente Kerberos.

Nota: Se esse parâmetro for true, e o tempo de execução não puder extrair uma credencial de delegação GSS do cliente, uma mensagem de aviso será registrada.
Padrão:: Ativado
Utilizar o Módulo de Mapeamento Integrado para Mapear Proprietários do Kerberos para Identidades System Authorization Facility (SAF)

Especifica se você deve utilizar o módulo de mapeamento integrado para mapear um nome de proprietário do Kerberos para uma identidade SAF no z/OS. Essa opção aplica-se apenas quando o registro do usuário ativo é S.O. Local.

Nota: É necessária alguma configuração adicional. Leia Mapeando um Kerberos principal para uma identidade System Authorization Facility (SAF) no z/OS para obter informações adicionais.
Evitar Problemas: Se você selecionar a opção para usar o módulo de mapeamento integrado, você não deverá configurar outros módulos de login JAAS customizados para mapear o proprietário Kerberos para uma identidade SAF.gotcha
Nota: O módulo de mapeamento integrado usa o nome principal integral do Kerberos e a região do Kerberos para mapeamento, independente de como for configurado o campo Cortar a região Kerberos a partir do nome principal.
Padrão: Desativado



Links marcados (on-line) requerem acesso à Internet.

Referências relacionadas
Ativação de Autenticação da Web SPNEGO
Valores do Filtro de Autenticação da Web SPNEGO


Nome do arquivo: usec_kerb_auth_mech.html