Ověřování Kerberos

Tato stránka slouží ke konfigurování a kontrole služby Kerberos jako mechanizmu ověřování pro aplikační server.

Po zadání požadovaných informací a jejich použití v konfiguraci je z názvu služby, názvu sféry a názvu hostitele vytvořen název činitele serveru, který poté slouží k automatickému ověřování přístupu ke službě Kerberos.

Je-li konfigurováno ověřování Kerberos, je primárním mechanismem ověřování. Ověřování objektů EJB (JavaBeans) pro prostředky lze konfigurovat prostřednictvím odkazů na prostředky na panelu podrobností aplikací.

Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení. V části Ověřování klepněte na volbu Konfigurace Kerberos.

Poznámka: Při nastavování konfigurace Kerberos může dojít k selhání a vygenerování výjimky podobné jako v následujícím příkladu:
org.ietf.jgss.GSSException, hlavní kód: 11, dílčí kód: 0 hlavní řetězec: Obecné selhání,
neurčeno na úrovni GSSAPI dílčí řetězec: Nelze získat pověření pro 
službu činitele WAS/test@AUSTIN.IBM.COM
Služba činitele musí mít následující formát: <název služby>/<úplný název hostitele>@KerberosRealm. V uvedeném příkladu není zadán úplný název hostitele a proto došlo k selhání. Hostitelský název systému je u tohoto selhání obvykle načítán ze souboru /etc/hosts, nikoli ze serveru DNS. Je-li v systému UNIX nebo Linux nakonfigurován řádek "hosts": v souboru /etc/nsswitch.conf tak, že se nejprve vyhledává v souboru hosts a teprve poté ve službě DNS, konfigurace Kerberos selže, jestliže soubor hosts obsahuje položku pro systém, která neobsahuje úplný název hostitele.
Název sféry Kerberos

Název sféry Kerberos. Ve většině případů je názvem sféry název domény zapsaný velkými písmeny. Počítači s názvem domény test.austin.ibm.com by za normálních okolností odpovídal název domény ověřování Kerberos AUSTIN.IBM.COM.

Existují dvě komponenty, které používají název sféry. Komponenta IBM JGSS (Java Generic Security Service) načítá název sféry ze souboru krb5.conf. Produkt WebSphere Application Server udržuje vlastní kopii názvu sféry, obvykle shodnou s kopií, kterou používá komponenta JGSS. Ponecháte-li pole názvu sféry Kerberos prázdné, produkt WebSphere Application Server převezme název sféry z komponenty JGSS.

V některých případech může být vhodné, aby produkt WebSphere Application Server používal jiný název sféry. K jeho změně lze použít pole názvu sféry Kerberos. Počítejte však s tím, že změníte-li název sféry v administrativní konzole, dojde ke změně pouze v produktu WebSphere Application Server.

Datový typ: Řetězec
Název služby Kerberos

Činitel služby Kerberos se standardně dělí na tři části: primární název, název instance a název sféry Kerberos. Název činitele služby Kerberos má tvar služba/<úplný název hostitele>@KERBEROS_REALM.. První část názvu činitele služby Kerberos tedy tvoří název služby. V řetězci WAS/test.austin.ibm.com@AUSTIN.IBM.COM je například názvem služby řetězec WAS.

Výchozí hodnota: Řetězec
Úplná cesta ke konfiguračnímu souboru služby Kerberos

Konfigurační soubor služby Kerberos krb5.conf nebo krb5.ini obsahuje informace o konfiguraci klienta včetně umístění středisek distribuce klíčů (KDC) pro sféru zájmu. Soubor krb5.conf se používá pro všechny platformy s výjimkou platformy Windows, pro kterou se používá soubor krb5.ini.

Datový typ: Řetězec
Název souboru tabulky klíčů Kerberos s úplnou cestou

Určuje název a úplnou cestu k souboru tabulky klíčů ověřování Kerberos. K vyhledání souboru klepněte na tlačítko Procházet. Pokud je toto pole ponecháno prázdné, bude použit název souboru tabulky klíčů určený v konfiguračním souboru ověřování Kerberos.

Datový typ: Řetězec
Oříznutí sféry Kerberos z názvu činitele

Určuje, zda mechanizmus Kerberos odebere příponu jména uživatele činitele, počínaje znakem @ uvedeným před názvem sféry Kerberos. Je-li tento atribut nastaven na hodnotu true, bude předpona jména uživatele činitele odebrána. Je-li tento atribut nastaven na hodnotu false, bude předpona jména uživatele činitele zachována. Výchozí použitá hodnota je true.

Poznámka: Toto pole je třeba nastavit na hodnotu true, používáte-li registr Lokální operační systém v systému z/OS a integrovaný modul mapování pro mapování činitelů ověřování Kerberos na identity autorizace SAF.
Výchozí:: Povoleno
Povolit delegování pověření Kerberos

Určuje, zda delegovaná pověření Kerberos budou uložena v předmětu ověření Kerberos.

Tato vlastnost povoluje možnost aplikace načítat uložená pověření a šířit je do dalších aplikací ve směru zpracování s cílem provádění dalšího ověřování Kerberos s ověřením od klienta Kerberos.

Poznámka: Pokud je tento parametr nastaven na hodnotu true a za běhu se nezdaří extrahovat delegované pověření klienta GSS, zobrazí se v protokolu varovná zpráva.
Výchozí:: Povoleno
Použít vestavěný modul mapování pro mapování činitelů ověřování Kerberos na identity SAF (System Authorization Facility)

Určuje, zda má být pro mapování názvu činitele ověřování Kerberos na identitu SAF v systému z/OS použit vestavěný modul mapování. Tato volba je platná pouze tehdy, je-li aktivním registrem uživatelů lokální operační systém.

Poznámka: Je vyžadováno další nastavení. Další informace naleznete v tématu Mapování činitele ověřování Kerberos na identitu prostředku SAF v systému z/OS.
Předcházení potížím: Pokud se rozhodnete použít vestavěný modul mapování, nekonfigurujte jiné vlastní přihlašovací moduly JAAS pro mapování činitele ověřování Kerberos na identitu SAF.gotcha
Poznámka: Vestavěný modul mapování používá pro mapování úplný název činitele ověřování Kerberos a sféru Kerberos bez ohledu na hodnotu v poli Oddělit sféru ověřování Kerberos od názvu činitele.
Výchozí:: Zakázáno



Odkazy s označením (online) vyžadují přístup k Internetu.

Související odkazy
Povolení webového ověřování SPNEGO
Hodnoty filtru webového ověřování SPNEGO


Název souboru: usec_kerb_auth_mech.html