Kerberos 鑑別

請利用這個頁面,將 Kerberos 作為應用程式伺服器的鑑別機制來進行配置和驗證。

當您輸入必要的資訊且套用到配置之後,便從服務名稱、網域範圍名稱和主機名稱建立起伺服器主體名稱,且用來自動驗證 Kerberos 服務的鑑別。

當配置時,Kerberos 是主要鑑別機制。 請在應用程式詳細資料畫面上,存取資源參照鏈結來配置 Enterprise JavaBeans™ (EJB) 的資源鑑別。

如果要檢視這個管理主控台頁面,請按一下安全 > 廣域安全。 在「鑑別」下,按一下 Kerberos 配置

註: 當配置 Kerberos 時,如果配置因為發生如下列範例所示的異常狀況而失敗:
org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure,
unspecified at GSSAPI level minor string: Cannot get credential for 
principal service WAS/test@AUSTIN.IBM.COM
主體服務的格式必須如下所示:<service name>/<fully qualified hostname>@KerberosRealm。 在異常狀況範例中,發生失敗的原因就是未指定完整主機名稱。以這項失敗而言,通常是從 /etc/hosts 檔取得系統的主機名稱,而不是從「網域名稱伺服器 (DNS)」取得。在 UNIX® 或 Linux® 系統上,如果 /etc/nsswitch.conf 檔中的 "hosts": 這一行配置成先查詢 hosts 檔,再查詢 DNS,則當 hosts 檔含有非完整主機名稱的系統項目時,Kerberos 配置會失敗。
Kerberos 網域範圍名稱

Kerberos 網域範圍名稱。在大部分情況下,您的網域範圍就是您大寫字母的網域名稱。 比方說,網域名稱為 test.austin.ibm.com 的機器,其 Kerberos 網域範圍名稱通常便是 AUSTIN.IBM.COM

使用網域範圍名稱的元件有兩個。IBM Java Generic Security Service (JGSS) 元件會從 krb5.conf 檔取得網域範圍名稱。 另外,WebSphere Application Server 也會維護網域範圍名稱,這通常是 JGSS 所使用的相同網域範圍名稱。 如果將 Kerberos 網域範圍名稱欄位保留空白,WebSphere Application Server 便會從 JGSS 繼承網域範圍名稱。

您可能會想要 WebSphere Application Server 使用不同的網域範圍名稱,並且可以利用 Kerberos 網域範圍名稱欄位來對其進行變更。 不過,請注意,如果是在管理主控台中變更網域範圍名稱,則只會變更 WebSphere Application Server 網域範圍名稱。

資料類型: 字串
Kerberos 服務名稱

依慣例,Kerberos 服務主體分成三部分:主要、實例和 Kerberos 網域範圍名稱。 Kerberos 服務主體名稱的格式是 service/<fully qualified hostname>@KERBEROS_REALM.。 服務名稱是 Kerberos 服務主體名稱的第一個部分。 例如,在 WAS/test.austin.ibm.com@AUSTIN.IBM.COM 中,服務名稱是 WAS

預設值: 字串
含完整路徑的 Kerberos 配置檔

Kerberos 配置檔(krb5.conf 或 krb5.ini)含有用戶端配置資訊,其中包括相關網域範圍的「金鑰配送中心」(KDC) 的位置。 krb5.conf 檔適用於 Windows 作業系統以外的所有平台,Windows® 作業系統使用 krb5.ini 檔。

資料類型: 字串
含完整路徑的 Kerberos keytab 檔名稱

指定含有完整路徑的 Kerberos keytab 檔名稱。 您可以按一下瀏覽來尋找它。 如果這個欄位保留空白,則會使用 Kerberos 配置檔所指定的 keytab 檔名稱。

資料類型: 字串
從主體名稱修整 Kerberos 網域範圍

指定 Kerberos 是否從 Kerberos 網域範圍名稱前面的 @ 開始,移除主體使用者名稱的字尾。 如果這個屬性設為 true,便會移除主體使用者名稱的字尾。 如果這個屬性設為 false,便會保留主體名稱的字尾。 所用的預設值是 true

註: 如果您同時使用 z/OS 中的「本端作業系統」登錄以及內建對映模組,來將 Kerberos 主體對映至 SAF 身分,必須將這個欄位設定為 true
預設值: 已啟用
啟用委派 Kerberos 認證

指定 Kerberos 鑑別是否將 Kerberos 委派認證儲存在主體中。

另外,這個選項也讓應用程式擷取儲存的認證,以及將這些認證傳播到其他下游應用程式,以進行 Kerberos 用戶端認證的其他 Kerberos 鑑別。

註: 如果這個參數是 true,執行時期便無法擷取用戶端 GSS 委派認證,之後,會記載一則警告訊息。
預設值: 已啟用
利用內建對映模組將 Kerberos 主體對映至系統授權機能 (SAF) 身分

指定是否利用內建對映模組,將 Kerberos 主體名稱對映至 z/OS® 上的 SAF 身分。 只有在作用中的使用者登錄是本端 OS,這個選項才適用。

註: 需要進行一些其他設定。 如需相關資訊,請參閱將 Kerberos 主體對映至 z/OS 上的系統授權機能 (SAF) 身分。
避免問題: 如果您選取此選項來使用內建對映模組,則不應配置其他的自訂 JAAS 登入模組,來將 Kerberos 主體對映至 SAF 身分。gotcha
註: 不論從主體名稱修整 Kerberos 網域範圍欄位設定為何,內建對映模組都會使用完整 Kerberos 主體名稱和 Kerberos 網域範圍來進行對映。
預設值: 停用



標示(線上)的鏈結表示需要存取網際網路。

相關參考
啟用 SPNEGO Web 鑑別
SPNEGO Web 鑑別過濾器值


檔名: usec_kerb_auth_mech.html