Autenticación de Kerberos

Utilice esta página para configurar y verificar Kerberos como el mecanismo de autenticación para el servidor de aplicaciones.

Cuando ha entrado la información necesaria y la ha aplicado a la configuración, el nombre de principal del servidor se crea a partir del nombre de servicio, nombre de reino y nombre de host y se utiliza para verificar automáticamente la autenticación del servicio Kerberos.

Cuando está configurado, Kerberos es el mecanismo de autenticación primario. Configure la autenticación de EJB (Enterprise JavaBeans) en los recursos accediendo a los enlaces de referencias de recursos en el panel de detalles de la aplicación.

Para ver esta página de la consola administrativa, pulse Seguridad > Seguridad global. En Autenticación, pulse Configuración Kerberos.

Nota: Cuando configura Kerberos, si la configuración falla con una excepción como la del siguiente ejemplo:
´org.ietf.jgss.GSSException, código principal: 11, código menor: 0 series principales: fallo general,
no especificado en la serie menor de nivel GSSAPI: no puede conseguir credencial para 
servicio principal service WAS/test@AUSTIN.IBM.COM
el servicio principal debe tener el formato: <nombre de servicio>/<nombre de host completamente calificado>@KerberosRealm. En el ejemplo de excepción, la excepción ocurre porque no se espera el nombre de host totalmente calificado. En este fallo, el nombre de host del sistema se obtiene normalmente del fichero /etc/hosts en vez del DNS (Servidor de nombres de dominios). En sistemas UNIX o Linux, si la línea de "hosts": en el fichero /etc/nsswitch.conf está configurada para buscar primero en el fichero de hosts en vez de en el DNS, si el fichero de hosts del sistema contiene una entrada para el sistema que no sea un nombre de host totalmente calificado, la configuración de Kerberos falla.
Nombre de reino Kerberos

El nombre del reino Kerberos. En la mayoría de los casos, el reino es el nombre de dominio en letras mayúsculas. Por ejemplo, una máquina con el nombre de dominio test.austin.ibm.com normalmente tiene el nombre de reino Kerberos AUSTIN.IBM.COM.

Existen dos componentes que utilizan un nombre de reino. El componente JGSS (Java Generic Security Service) de IBM obtiene el nombre de reino del fichero krb5.conf. WebSphere Application Server también mantiene un nombre de reino, que normalmente es el mismo que el que utiliza el componente JGSS. Si deja el campo de nombre de reino de Kerberos en blanco, WebSphere Application Server hereda el nombre de reino del JGSS.

Si desea que WebSphere Application Server utilice un nombre de reino diferente, puede utilizar el campo de nombre de reino Kerberos para cambiarlo. No obstante, tenga en cuenta que si cambia el nombre de reino en la consola administrativa, sólo se cambia el nombre de reino de WebSphere Application Server.

Tipo de datos: Serie
Nombre de servicio Kerberos

Por convenio, un principal del servicio Kerberos se divide en tres partes : la primaria, la instancia y el nombre de reino Kerberos. El formato del nombre principal del servicio Kerberos es service/<nombre de host totalmente calificado>@KERBEROS_REALM.. El nombre de servicio es la primera parte del nombre principal del servicio Kerberos. Por ejemplo, en WAS/test.austin.ibm.com@AUSTIN.IBM.COM, el nombre de servicio es WAS.

Valor predeterminado: Serie
Archivo de configuración Kerberos con la vía de acceso completa

El archivo de configuración Kerberos, krb5.conf o krb5.ini, contiene la información de configuración de cliente, que incluye las ubicaciones de los centros de distribución de claves (KDC) para el reino de interés. El archivo krb5.conf se utiliza para todas las plataformas excepto Windows, que utiliza el archivo krb5.ini.

Tipo de datos: Serie
Nombre del archivo de tabla de claves Kerberos con la vía de acceso completa

Especifica el nombre de archivo de la tabla de claves Kerberos con su vía de acceso completa. Puede pulsar Examinar para localizarlo. Si este campo se deja en blanco, se utiliza el nombre de archivo de la tabla de claves especificado en el archivo de configuración de Kerberos.

Tipo de datos: Serie
Recortar el reino Kerberos del nombre de principal

Especifica si Kerberos debe eliminar el sufijo del nombre de usuario principal, empezando desde el símbolo @ que precede al nombre de reino Kerberos. Si este atributo se establece en true, el sufijo del nombre de usuario del principal se eliminará. Si este atributo se establece en false, se mantiene el sufijo del nombre principal. El valor predeterminado utilizado es true.

Nota: Debe establecer este campo en true si utiliza el registro del sistema operativo local en z/OS y el módulo de correlación incorporado para correlacionar principales Kerberos con identidades SAF.
Valor predeterminado: Habilitado
Habilitar la delegación de credenciales Kerberos

Especifica si la autenticación Kerberos debe almacenar las credenciales delegadas de Kerberos en el asunto.

Esta opción también permite que una aplicación recupere las credenciales almacenadas y las propague a otras aplicaciones en sentido descendente para la autenticación Kerberos adicional con la credencial del cliente Kerberos.

Nota: Si este parámetro es true, y en tiempo de ejecución no se puede extraer una credencial de delegación GSS del cliente, se registra un mensaje de aviso.
Valor predeterminado: Habilitado
Utilice el módulo de correlación incorporado para correlacionar principales Kerberos con identidades SAF (System Authorization Facility)

Especifica si se debe utilizar el módulo de correlación incorporado para correlacionar el nombre de principal Kerberos con la identidad SAF en z/OS. Esta opción sólo se utiliza cuando el registro de usuarios activo es sistema operativo local.

Nota: Es necesario realizar una configuración adicional. Consulte Correlación de un identificador individual de Kerberos con una identidad SAF (System Authorization Facility) en z/OS si desea más información.
Evite problemas: Si selecciona la opción para utilizar el módulo de correlación incorporado, no debe configurar otros módulos de inicio de sesión de JAAS personalizados para correlacionar el principal de Kerberos con una identidad SAF. gotcha
Nota: El módulo de correlación incorporado utiliza el nombre principal Kerberos completo y el reino Kerberos para la correlación, independientemente del valor establecido en el campo Recortar el reino Kerberos del nombre de principal.
Valor predeterminado: Inhabilitado



Los enlaces marcados (en línea) requieren acceso a Internet.

Referencia relacionada
Habilitación de la autenticación web SPNEGO
Valores del filtro de autenticación web SPNEGO


Nombre de archivo: usec_kerb_auth_mech.html