É possível configurar o WebSphere Message Broker para operar como um cliente para um
serviço assegurado por Kerberos para integridade, confidencialidade e autenticidade
da mensagem.
Você deve ter acesso a um Centro de Distribuição de Chaves (KDC) e
a um servidor que esteja hospedando o serviço. Para obter mais informações sobre a configuração do Kerberos,
consulte a documentação do Kerberos do seu host.
- Configure as credenciais do usuário que são usadas para autenticação
com o KDC.
- É possível configurar as credenciais no nível do broker emitindo
um mqsisetdbparms.
Por exemplo:
mqsisetdbparms brokerName -n SPN::realm -u username -p password
- Também é possível configurar as credenciais do usuário no nível do grupo de execução. Por
exemplo, é possível configurar uma região específica em qualquer grupo de execução com
mqsisetdbparms brokerName -n kerberos::realm1::ExecutionGroup1 -u clientId -p password
- Também é possível usar a árvore de Propriedades para configurar as credenciais
usando o ESQL a seguir em um nó de cálculo:
SET OutputRoot.Properties.IdentitySourceType = 'usernameAndPassword';
SET OutputRoot.Properties.IdentitySourceToken = Username;
SET OutputRoot.Properties.IdentitySourcePassword = Password;
- Crie um arquivo de configuração do Kerberos. Usado o arquivo de
configuração, o cliente pode autenticar com o KDC.
Para obter informações
adicionais sobre o WS-Security baseado em Kerberos que é suportado
em nós SOAP, consulte Segurança do
Fluxo de Mensagens e Perfis de Segurança.
Quando você usa Kerberos
para segurança, o arquivo de configuração padrão do Kerberos é aquele em
sua estação de trabalho. A localização
para o arquivo de configuração difere dependendo do sistema. As localizações usuais são:
- Para Windows -
C:\Windows\krb5.ini e C:\WINNT\krb5.ini
- Para Linux - /etc/krb5.conf, UNIX (AIX) /etc/krb5/krb5.conf
- Para z/OS - /krb5/krb5.conf
É possível configurar arquivos de configuração do Kerberos para serem usados por um
broker ou grupo de execução.
O arquivo de configuração de amostra do Kerberos a seguir
mostra os valores típicos para as variáveis. As variáveis default_realm, default_keytab_name
e os nomes nas realms estão entre os valores
que você altera no arquivo de configuração, dependendo de sua rede e
localização do arquivo de configuração.
[libdefaults]
default_realm = MYREALM.EXAMPLE.COM
default_keytab_name = FILE:c:\Windows\krb5.keytab
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYREALM.EXAMPLE.COM = {
kdc = kdc.myrealm.example.com
admin_server = kdc.myrealm.example.com
}
Por exemplo, é possível configurar as variáveis para
uma configuração Kerberos de nível do
WebSphere Message Broker com
mqsichangeproperties brokerName -o BrokerRegistry -n kerberosConfigFile -v kerberosConfigLocation
Por exemplo, é
possível configurar as variáveis para uma configuração do Kerberos no nível do grupo de execução
com
mqsichangeproperties brokerName -e executionGroupName -o ComIbmJVMManager -n kerberosConfigFile -v kerberosConfigLocation
- Configure um conjunto de políticas e uma ligação que esteja associada ao
nó SOAPRequest para o BAR que contém o fluxo de mensagens.
Você configurou o WebSphere Message Broker para operar como um cliente para um serviço assegurado por Kerberos.