Kerberos hitelesítés

Ezen az oldalon a Kerberos az alkalmazáskiszolgáló hitelesítési mechanizmusaként állítható be és ellenőrizhető.

Miután a konfigurációbaj megadta és alkalmazta a kötelező információkat, a kiszolgáló azonosítóneve a szolgáltatás nevéből, a tartomány nevéből és a hoszt nevéből kerül létrehozásra, majd a Kerberos szolgáltatás hitelesítésének automatikus ellenőrzésére lesz felhasználva.

Beállítása után a Kerberos lesz az elsődleges hitelesítési mechanizmus. Erőforrások Enterprise JavaBeans (EJB) hitelesítésének konfigurálásához használja az erőforrás-hivatkozásokat az alkalmazás részletei panelen.

Az alábbi adminisztrációs konzol oldal megtekintéséhez kattintson a Biztonság > Globális biztonság elemre. A Hitelesítés szakaszban kattintson a Kerberos konfiguráció lehetőségre.

Megjegyzés: A Kerberos beállításakor ha a konfiguráció az alábbi példához hasonló kivétellel meghiúsul:
org.ietf.jgss.GSSException, főkód: 11, alkód: 0 fő karaktersorozat: Általános hiba,
nincs megadva a GSSAPI szint al karaktersorozatban: Nem szerezhetők meg a hitelesítő adatok 
a WAS/test@AUSTIN.IBM.COM azonosított szereplő szolgáltatáshoz
az azonosított szereplő szolgáltatásnak az alábbi formátumúnak kell lennie: <szolgáltatás neve>/<teljes képzésű hosztnév>@KerberosTartomány. A kivételpéldában nincs megadva a teljes képzésű hosztnév, és ez okozza a hibát. A hibánál a rendszer hosztnevét általában az /etc/hosts fájlból szerzi meg a rendszer a tartománynév-kiszolgáló (DNS) helyett. UNIX vagy Linux rendszereken ha az /etc/nsswitch.conf fájl "hosts" sora úgy van beállítva, hogy előbb a hosztfájlban keressen és csak utána a DNS kiszolgálón, akkor a Kerberos konfiguráció meghiúsul, amennyiben a hosztfájl olyan bejegyzést tartalmaz a rendszerhez, ami nem a teljes képzésű hosztnév.
Kerberos tartománynév

A Kerberos tartomány neve. A legtöbb esetben a tartomány a tartománynév nagybetűs formátumban. Egy test.austin.ibm.com tartománynevű számítógép Kerberos tartományneve jellemzően AUSTIN.IBM.COM.

Két olyan összetevő van, ami tartománynevet használ. Az IBM Java Generic Security Service (JGSS) összetevő a krb5.conf fájlból szerzi meg a tartománynevet. A WebSphere Application Server is fenntart egy tartománynevet, ami általában ugyanaz, mint amit a JGSS használ. Ha üresen hagyja a Kerberos tartománynév mezőt, akkor a WebSphere Application Server a JGSS szolgáltatástól örökli a tartománynevet.

Célszerű lehet azonban, hogy a WebSphere Application Server eltérő tartománynevet használjon. Ekkor a Kerberos tartománynév mező segítségével módosíthatja azt. Fontos azonban tudnia, hogy ha módosítja a tartománynevet az adminisztrációs konzolon, akkor csak a WebSphere Application Server tartománynév változik meg.

Adattípus: Karaktersorozat
Kerberos szolgáltatás neve

Megállapodás alapján a Kerberos szolgáltatásazonosító három részre van felosztva: az elsődleges, a példány és a Kerberos tartománynévre. A Kerberos szolgáltatás azonosító neve szolgáltatás/<teljes képzésű hosztnév>@KERBEROS_TARTOMÁNY.. A szolgáltatásnév a Kerberos szolgáltatásazonosító név első része. A WAS/test.austin.ibm.com@AUSTIN.IBM.COM névben például a szolgáltatás neve: WAS.

Alapértelmezett: Karaktersorozat
Kerberos konfigurációs fájl teljes elérési úttal

A Kerberos konfigurációs fájl a krb5.conf or krb5.ini, ügyfél-konfigurációs információkat tartalmaz, beleértve a kulcselosztó központok helyét a kívánt tartományhoz. A krb5.conf fájl a Windows kivételével minden platformhoz használható, a Windows a krb5.ini fájlt használja.

Adattípus: Karaktersorozat
Kerberos kulcscímke fájlnév teljes elérési úttal

A Kerberos kulcscímke fájl neve teljes elérési útvonalával. A fájlt a Tallóz gomb segítségével is megkeresheti. Ha üresen hagyja ezt a mezőt, akkor a Kerberos konfigurációs fájlban megadott kulcscímkefájl-név kerül felhasználásra.

Adattípus: Karaktersorozat
Kerberos tartomány levágása az azonosítónévből

Megadja, hogy a Kerberos eltávolítja-e az azonosító felhasználónév utótagját, a @ karaktertől kezdve, amely megelőzi a Kerberos tartománynevet. Ha ez az attribútum igaz értékre van beállítva, akkor az azonosító felhasználónév utótagja eltávolításra kerül. Ha ez az attribútum hamis értékre van beállítva, akkor az azonosítónév megmarad. A használt alapértelmezett érték az igaz.

Megjegyzés: Ezt a mezőt true értékre kell állítani, ha z/OS rendszeren a helyi operációs rendszert és a beépített leképzési modult egyaránt használja Kerberos azonosított szereplők leképzésére SAF azonosságokra.
Alapértelmezés: Engedélyezett
Kerberos hitelesítési adatok delegálásának engedélyezése

Megadja, hogy a Kerberos által delegált hitelesítési adatokat a Kerberos hitelesítés tárolja-e a tárgyban.

Ez a beállítás lehetővé teszi továbbá egy alkalmazás számára a tárolt hitelesítési adatok lekérését, majd továbbítását egyéb alkalmazásfolyamokhoz további hitelesítéshez a Kerberos ügyféltől származó hitelesítési adatok segítségével.

Megjegyzés: Ha ez a paraméter igaz értékű, és a futási környezet nem tudja kibontani az ügyfél GSS delegálási hitelesítési adatait, akkor egy figyelmeztetés kerül a naplóba.
Alapértelmezés: Engedélyezett
Kerberos azonosított szereplők leképzése rendszerjogosultsági szolgáltatás (SAF) azonosságokra a beépített leképzési modul segítségével

Megadja, hogy a beépített leképzési modul leképezze a Kerberos azonosított szereplő nevet SAF azonosságra a z/OS rendszeren. Ez a beállítás csak akkor alkalmazható, ha az aktív felhasználói nyilvántartás a helyi operációs rendszer.

Megjegyzés: További beállításokra van még szükség. Bővebb információkért lásd: Kerberos azonosító leképezése rendszerjogosultsági szolgáltatás (SAF) azonosságra z/OS rendszeren.
Hiba elkerülése: Ha kiválasztja a beépített leképező modul használatának beállítását, akkor ne állítson be egyéb egyéni JAAS bejelentkezési modult a Kerberos azonosító SAF azonosságra leképezéséhez.gotcha
Megjegyzés: A beépített leképzési modul a teljes Kerberos azonosított szereplő nevet és Kerberos tartományt használja a leképzéshez, függetlenül attól, hogy a Kerberos tartomány kivágása az azonosító névből mező milyen értékre van állítva.
Alapértelmezés: Tiltott



A jelzett hivatkozások (online) Internet-hozzáférést igényelnek.

Kapcsolódó hivatkozás
SPNEGO webes hitelesítés engedélyezése
SPNEGO webes hitelesítés szűrőértékei


Fájlnév: usec_kerb_auth_mech.html