Kerberos 认证

使用此页面来配置 Kerberos 并验证它是否是应用程序服务器的认证机制。

在输入了必需信息并且应用于配置之后,就会使用服务名称、域名和主机名来创建服务器主体名称,并将服务器主体名称用来自动验证对 Kerberos 服务的认证。

配置了此项时,Kerberos 是主要的认证机制。通过访问应用程序详细信息面板上的资源引用链接,配置对资源的 Enterprise JavaBeans™ (EJB) 认证。

要查看此管理控制台页面,单击安全性 > 全局安全性。在“认证”下面,单击 Kerberos 配置

注: 配置 Kerberos 时,如果配置由于异常而失败(如以下示例所示):
org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure,
unspecified at GSSAPI level minor string: Cannot get credential for 
principal service WAS/test@AUSTIN.IBM.COM
主体服务必须采用以下格式:<service name>/<fully qualified hostname>@KerberosRealm。在该异常示例中,未指定标准主机名,这就是发生故障的原因。对于此故障,通常是从 /etc/hosts 文件而不是从域名服务器(DNS)来获得系统的主机名。在 UNIX® 或 Linux® 系统上,如果 /etc/nsswitch.conf 文件中的“hosts:”行已配置为先在主机文件中查找,然后才在 DNS 中查找,那么当主机文件包含没有标准主机名的系统的条目时,Kerberos 配置将失败。
Kerberos 域名

kerberos 域的名称。大多数情况下,您的域是用大写字母表示的域名。例如,如果一台机器具有域名 test.austin.ibm.com,那么它的 Kerberos 域名通常为 AUSTIN.IBM.COM

有两个使用域名的组件。IBM Java 类属安全性服务(JGSS)组件从 krb5.conf 文件获取域名。WebSphere Application Server 也会维护一个域名,此域名通常与 JGSS 使用的域名相同。如果您让 Kerberos 域名字段保持空白,那么 WebSphere Application Server 从 JGSS 继承域名。

您可能想要 WebSphere Application Server 使用其他域名,那么可以使用“Kerberos 域名”字段进行更改。然而,一定要知道,如果您在管理控制台中更改域名,那么只会更改 WebSphere Application Server 域名。

数据类型: 字符串
Kerberos 服务名称

按照惯例,Kerberos 服务主体分成以下三部分:主体、实例和 kerberos 域名。Kerberos 服务主体名称的格式为 service/<fully qualified hostname>@KERBEROS_REALM。Kerberos 服务主体名称的第一部分是服务名称。例如,在 WAS/test.austin.ibm.com@AUSTIN.IBM.COM 中,服务名称是 WAS

缺省值: 字符串
具有完整路径的 Kerberos 配置文件

Kerberos 配置文件 krb5.conf 或 krb5.ini 包含客户机配置信息,其中包括感兴趣域的密钥分发中心(KDC)的位置。除 Windows® 之外的所有其他平台将使用 krb5.conf 文件,而 Windows 平台将使用 krb5.ini 文件。

数据类型: 字符串
具有完整路径的 Kerberos 密钥表文件名

指定 Kerberos 密钥表文件名及其完整路径。可以单击浏览以查找此文件。如果此字段保留为空白,那么将使用在 Kerberos 配置文件中指定的密钥表文件名。

数据类型: 字符串
调整主体名称中的 kerberos 域

指定 Kerberos 是否要从 Kerberos 域名前面的 @ 开始除去主体用户名的后缀。如果此属性设置为 true,那么将除去主体用户名的后缀。如果此属性设置为 false,那么将保留主体名称的后缀。使用的缺省值为 true

注: 如果正在使用 z/OS 上的本地操作系统注册表并使用内置映射模块将 Kerberos 主体映射到 SAF 标识,那么必须将此字段设置为 true
缺省值: 已启用
启用 Kerberos 凭证的授权

指定 Kerberos 已授权的凭证是否将由 Kerberos 认证存储在主体集中。

此选项还允许应用程序检索已存储的凭证并将它们传播至其他应用程序下游,以使用 Kerberos 客户机中的凭证进行其他 Kerberos 认证。

注: 如果此参数为 true,而运行时无法抽取客户机 GSS 授权凭证,那么将记录一条警告消息。
缺省值: 已启用
使用内置映射模块将 kerberos 主体映射至系统授权工具 (SAF) 标识

指定在 z/OS® 上是否使用内置映射模块将 kerberos 主体名称映射至 SAF 标识。仅当活动用户注册表是“本地操作系统”时才会应用此选项。

注: 还需要进行其他设置。请参阅将 Kerberos 主体映射至 z/OS 上的系统授权工具 (SAF) 身份,以了解更多信息。
避免故障: 如果您选择此选项以使用内置映射模块,那么不应配置其他定制 JAAS 登录模块将 Kerberos 主体映射到 SAF 标识。gotcha
注: 内置映射模块将完整 Kerberos 主体名称和 Kerberos 域用于映射,无论从主体名称中除去 Kerberos 域字段是如何设置的。
缺省值: 已禁用



标有(在线)的链接要求访问因特网。

相关参考
SPNEGO Web 认证的启用
SPNEGO Web 认证过滤器值


文件名: usec_kerb_auth_mech.html