Идентификация Kerberos

На этой странице можно настроить и проверить механизм идентификации на основе Kerberos для сервера приложений.

Когда требуемая информация добавлена в конфигурацию, из служебного имени, имени области и имени хоста создается имя субъекта сервера, которое используется для автоматической проверки идентификации службы Kerberos.

После настройки Kerberos становится основным механизмом идентификации. Пользуясь ссылками на ресурсы в окне сведений о приложении, настройте идентификацию Enterprise JavaBeans (EJB).

Для просмотра страницы административной консоли выберите Защита > Глобальная защита. В разделе Идентификация выберите Конфигурация Kerberos.

Прим.: Если в ходе настройки Kerberos возникнет следующая исключительная ситуация (
org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure,
unspecified at GSSAPI level minor string: Cannot get credential for 
principal service WAS/test@AUSTIN.IBM.COM
), то служба субъекта должна быть указана в следующем формате: <имя-службы>/<полное-имя-хоста>@KerberosRealm. В приведенном выше примере исключительная ситуация возникла вследствие того, что не указано имя хоста. В этом случае имя хоста системы извлекается из файла /etc/hosts вместо сервера DNS. В системах UNIX и Linux, если в строке "hosts": из файла /etc/nsswitch.conf указано, что перед обращением к серверу DNS следует выполнять поиск в файле hosts, то возникает ошибка настройки Kerberos, если файл hosts содержит не полное имя хоста.
Имя области Kerberos

Имя области Kerberos. В большинстве случаев область - это имя домена, состоящее из букв в верхнем регистре. Например, для системы с именем домена test.austin.ibm.com имя области Kerberos обычно выглядит как AUSTIN.IBM.COM.

Имя области используют два компонента. Компонент IBM Java Generic Security Service (JGSS) получает имя области из файла krb5.conf. Кроме того, имя области использует сервер WebSphere Application Server; как правило, оно совпадает с именем, используемым JGSS. Если имя области Kerberos не указано, то WebSphere Application Server наследует имя области из JGSS.

При необходимости для сервера WebSphere Application Server можно указать другое имя области Kerberos. Это изменение можно внести в поле Имя области Kerberos. Обратите внимание, что с помощью административной консоли можно изменить только имя области WebSphere Application Server.

Тип данных: Строка
Имя службы Kerberos

По традиции, служебный субъект Kerberos (SPN) состоит из трех частей: первичная, экземпляр и имя области Kerberos. Формат имени служебного субъекта Kerberos следующий служба/<полное имя хоста>@KERBEROS_REALM.. Служебное имя - это первая часть имени служебного субъекта Kerberos. Например, в WAS/test.austin.ibm.com@AUSTIN.IBM.COM служебным именем является WAS.

По умолчанию: Строка
Файл конфигурации Kerberos с полным путем

В файле конфигурации Kerberos, krb5.conf или krb5.ini, содержится информация о конфигурации клиента, включая расположения центров распределения ключей (KDCs) для области интересов. Файл krb5.conf используется на всех платформах, кроме Windows, для которой используется файл krb5.ini.

Тип данных: Строка
Файл таблицы ключей Kerberos с полным путем

Файл таблицы ключей Kerberos с полным путем. Для поиска файла нажмите кнопку Выбрать. Если поле останется незаполненным, то будет использовано имя файла таблицы ключей, заданное в файле конфигурации Kerberos.

Тип данных: Строка
Извлечение области Kerberos из имени субъекта

Указывает, следует ли Kerberos удалять суффикс имени субъекта, начинающийся с символа @ и содержащий имя области Kerberos. Если атрибут установлен в true, то суффикс имени пользователя субъекта удаляется. Если же атрибут установлен в false, суффикс имени субъекта остается целиком. Значение по умолчанию - true.

Прим.: Укажите в этом поле значение true в случае применения локального реестра операционной системы z/OS и встроенного модуля преобразования субъектов Kerberos в идентификаторы SAF.
По умолчанию: Включен
Включить делегирование идентификационных данных Kerberos

Указывает, следует ли идентификации Kerberos сохранить в субъекте идентификационные данные, переданные Kerberos.

Это свойство также позволяет приложению извлечь сохраненные идентификационные данные и разослать их другим приложениям для дополнительной идентификации из клиента Kerberos.

Прим.: Если свойство имеет значение true, но делегированные идентификационные данные GSS клиента извлечь не удается, будет выдано предупреждение.
По умолчанию: Включен
Преобразование субъектов Kerberos в субъекты SAF с помощью встроенных модулей преобразования

Указывает, следует ли преобразовывать имя субъекта Kerberos в субъект SAF в системе z/OS с помощью встроенного модуля. Параметр применяется только в том случае, если применяется реестр пользователей локальной операционной системы.

Прим.: Необходима дополнительная настройка. Дополнительная информация приведена в разделе Отображение субъекта службы Kerberos на идентификатор SAF в ОС z/OS.
Предотвращение неполадок: Если выбрана опция использования встроенного модуля преобразования, нельзя настраивать другие модули сеансов JAAS таким образом, чтобы выполнялось преобразование субъекта Kerberos в сущность SAF.gotcha
Прим.: Встроенный модуль преобразования использует полное имя субъекта Kerberos и имя области Kerberos вне зависимости от значения поля Удалить имя области из имени субъекта Kerberos.
По умолчанию: Выключено



Ссылки, помеченные как (в сети), требуют подключения к Internet.

Ссылки, связанные с данной
Включение Web-идентификации SPNEGO
Значения фильтра Web-идентификации SPNEGO


Имя файла: usec_kerb_auth_mech.html