Uwierzytelnianie przy użyciu protokołu Kerberos

Ta strona umożliwia konfigurowanie i sprawdzanie protokołu Kerberos jako mechanizmu uwierzytelniania serwera aplikacji.

Po podaniu wymaganych informacji i zastosowaniu ich w konfiguracji na podstawie nazwy usługi, nazwy dziedziny oraz nazwy hosta zostanie utworzona nazwa użytkownika serwera, która następnie zostanie użyta do automatycznej weryfikacji uwierzytelniania w usłudze protokołu Kerberos.

Po skonfigurowaniu protokół Kerberos jest podstawowym mechanizmem uwierzytelniania. Należy skonfigurować uwierzytelnianie EJB (Enterprise JavaBeans) na potrzeby dostępu do zasobów przez uzyskanie dostępu do odsyłaczy odwołujących się do zasobów, które znajdują się na panelu szczegółów aplikacji.

Aby wyświetlić tę stronę Konsoli administracyjnej, należy kliknąć opcję Zabezpieczenia > Zabezpieczenia globalne. W obszarze Uwierzytelnianie należy kliknąć opcję Konfiguracja protokołu Kerberos.

Uwaga: Jeśli konfigurowanie protokołu Kerberos zakończy się niepowodzeniem i wygenerowany zostanie wyjątek, taki jak w poniższym przykładzie:
org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure,
unspecified at GSSAPI level minor string: Cannot get credential for 
principal service WAS/test@AUSTIN.IBM.COM
to usługa nazwy użytkownika musi mieć format: <nazwa_usługi>/<pełna_nazwa_hosta>@DZIEDZINA_PROTOKOŁU_KERBEROS. W przykładowym wyjątku pełna nazwa hosta nie jest określona, co jest powodem występowania niepowodzenia. W przypadku tego niepowodzenia nazwa hosta systemu jest zwykle uzyskiwana z pliku /etc/hosts, a nie z serwera DNS. Jeśli w systemach UNIX i Linux wiersz hosts znajdujący się w pliku /etc/nsswitch.conf jest skonfigurowany do przeszukiwania pliku hostów przed serwerami DNS, to konfiguracja protokołu Kerberos zakończy się niepowodzeniem w przypadku, gdy plik hostów zawiera pozycję systemu, która nie jest pełną nazwą hosta.
Nazwa dziedziny protokołu Kerberos

Nazwa używanej dziedziny protokołu Kerberos. Zazwyczaj jest to nazwa domeny pisana wielkimi literami. Na przykład komputer, którego nazwa domeny ma postać test.austin.ibm.com, zazwyczaj będzie miał następującą nazwę dziedziny protokołu Kerberos: AUSTIN.IBM.COM.

Istnieją dwa komponenty, które używają nazwy dziedziny. W przypadku komponentu IBM Java Generic Security Service (JGSS) nazwa dziedziny jest uzyskiwana z pliku krb5.conf. Serwer WebSphere Application Server także korzysta z nazwy dziedziny, która jest zwykle taka sama, jak ta używana przez komponent JGSS. Jeśli pole nazwy dziedziny protokołu Kerberos pozostanie puste, to serwer WebSphere Application Server dziedziczy nazwę dziedziny z komponentu JGSS.

Kiedy zaistnieje potrzeba, aby serwer WebSphere Application Server używał innej nazwy dziedziny, można ją zmienić w polu Nazwa dziedziny protokołu Kerberos. Należy jednak pamiętać, że jeśli nazwa dziedziny zostanie zmieniona w Konsoli administracyjnej, to zostanie zmieniona tylko nazwa dziedziny serwera WebSphere Application Server.

Typ danych: String
Nazwa usługi Kerberos

Zgodnie z konwencją nazwa użytkownika usługi Kerberos jest podzielona na trzy części: podstawową, instancję oraz nazwę dziedziny protokołu Kerberos. Format nazwy użytkownika usługi Kerberos ma następującą postać: usługa/<pełna_nazwa_hosta>@DZIEDZINA_PROTOKOŁU_KERBEROS. Nazwa usługi to pierwsza część nazwy użytkownika usługi Kerberos. Na przykład dla nazwy użytkownika WAS/test.austin.ibm.com@AUSTIN.IBM.COM nazwa usługi to WAS.

Wartość domyślna: String
Plik konfiguracyjny protokołu Kerberos z pełną ścieżką

Plik konfiguracyjny protokołu Kerberos (krb5.conf lub krb5.ini) zawiera informacje o konfiguracji klienta, w tym położenia centrów dystrybucji kluczy używanej dziedziny. Plik krb5.conf jest używany na wszystkich platformach oprócz systemu operacyjnego Windows, w którym używany jest plik krb5.ini.

Typ danych: String
Nazwa pliku tabeli kluczy protokołu Kerberos z pełną ścieżką

Służy do określania pliku tabeli kluczy protokołu Kerberos z pełną ścieżką. Aby go znaleźć, można kliknąć przycisk Przeglądaj. Jeśli to pole pozostanie puste, zostanie użyta nazwa pliku tabeli kluczy określona w pliku konfiguracyjnym protokołu Kerberos.

Typ danych: String
Obcinanie dziedziny protokołu Kerberos z nazwy użytkownika

Określa, czy protokół Kerberos ma usunąć przyrostek nazwy użytkownika, zaczynając od znaku @, który znajduje się przed nazwą dziedziny protokołu Kerberos. Jeśli ten atrybut ma wartość true, przyrostek nazwy użytkownika jest usuwany. Jeśli ten atrybut ma wartość false, przyrostek nazwy użytkownika jest zachowywany. Wartością domyślną jest wartość true.

Uwaga: Wartość tego pola należy ustawić na true (prawda), jeśli używany jest rejestr lokalnego systemu operacyjnego w systemie z/OS oraz wbudowany moduł odwzorowywania w celu odwzorowania nazw użytkowników Kerberos na tożsamości SAF.
Wartość domyślna Włączony
Włącz delegowanie referencji protokołu Kerberos

Określa, czy delegowane referencje protokołu Kerberos mają być zapisywane w temacie przez uwierzytelnianie protokołu Kerberos.

Ta opcja umożliwia ponadto aplikacji pobieranie zapisanych referencji i propagowanie ich do innych aplikacji znajdujących się dalej w celu przeprowadzenia dodatkowego uwierzytelniania protokołu Kerberos przy użyciu referencji od klienta protokołu Kerberos.

Uwaga: Jeśli ten parametr ma wartość true (prawda), a środowisko wykonawcze nie może wyodrębnić referencji delegacji GSS klienta, komunikat ostrzegawczy zostanie zarejestrowany w dzienniku.
Wartość domyślna Włączony
Użyj wbudowanego modułu odwzorowywania w celu odwzorowania nazw użytkowników protokołu Kerberos na tożsamości o System Authorization Facility (SAF)

Określa, czy w celu odwzorowania nazwy użytkownika protokołu Kerberos na tożsamości SAF w systemie z/OS zostanie użyty wbudowany moduł odwzorowywania. Ta opcja ma zastosowanie tylko wtedy, gdy aktywnym rejestrem użytkowników jest lokalny system operacyjny.

Uwaga: Wymagane są dodatkowe czynności konfiguracyjne. Więcej informacji zawiera sekcja Odwzorowywanie nazwy użytkownika protokołu Kerberos na tożsamość SAF (System Authorization Facility) w systemie z/OS.
Unikanie problemów: Jeśli została wybrana opcja używania wbudowanego modułu odwzorowywania, nie należy konfigurować innych niestandardowych modułów logowania JAAS w celu odwzorowania nazwy użytkownika protokołu Kerberos na tożsamość SAF. gotcha
Uwaga: Wbudowany moduł odwzorowywania używa na potrzeby odwzorowywania pełnych nazw użytkowników Kerberos i dziedziny Kerberos, niezależnie od ustawienia pola Usuń dziedzinę protokołu Kerberos z nazwy użytkownika.
Wartość domyślna Wyłączone



Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Odsyłacze pokrewne
Włączanie uwierzytelniania WWW SPNEGO
Wartości filtru uwierzytelniania WWW SPNEGO


Nazwa pliku: usec_kerb_auth_mech.html