WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Configurando o WebSphere Message Broker como um Serviço Assegurado por Kerberos

É possível configurar o WebSphere Message Broker para operar como um serviço assegurado pelo Kerberos para integridade, confidencialidade e autenticidade da mensagem.

Você deve ter acesso a um Centro de Distribuição de Chaves (KDC) e a um servidor que esteja hospedando o serviço assegurado por Kerberos. Para obter mais informações sobre a configuração do Kerberos, consulte a documentação do Kerberos do seu host.

Use esta tarefa para configurar o Kerberos como um serviço assegurado para o WebSphere Message Broker.

  1. Exporte um keytab que contenha a chave privada do principal do serviço a partir do KDC. Por exemplo,
    ktpass -out c:\Windows\krb5.keytab -princ SomePrincipal@YourDomain -crypto RC4-HMAC-NT mapUser Username -pass Password -mapOp set 
    em que
    out filename
    Especifica o nome e o caminho do arquivo keytab a ser gerado.
    princ principal_name
    O nome do principal.
    crypto encryption_type
    Especifique o tipo de criptografia a ser usado.
    mapuser username
    Mapeie o nome de um Kerberos principal para uma conta local.
    pass password
    Senha a ser usada para esse nome do principal.
    mapOp attribute
    Defina como o atributo de mapeamento está configurado. As alternativas de atributo são add ou set.
  2. Copie o arquivo keytab para o servidor que hospeda o serviço. É possível copiar o arquivo para o servidor exportando o arquivo keytab e transferindo-o para o servidor, por exemplo, usando FTP. O arquivo de configuração do Kerberos contém uma referência para o arquivo keytab na forma de uma URL de arquivo (como, /home/user/my.keytab) Como a referência está no arquivo de configuração no servidor, o serviço do servidor pode ser obtido no Kerberos principal que é definido no keytab.
  3. ).
  4. Crie um arquivo de configuração do Kerberos que especifique a localização do arquivo keytab na estação de trabalho local.
    Você pode usar mais de um nome de princípio de serviço por broker por região do Kerberos. Use o arquivo de configuração do Kerberos padrão de sua estação de trabalho ao usar o Kerberos para segurança. A localização para o arquivo de configuração difere dependendo do sistema. Os locais usuais são:
    • Windows: C:\Windows\krb5.ini e C:\WINNT\krb5.ini
    • : /etc/krb5.conf
    • UNIX (AIX): /etc/krb5/krb5.conf
    • z/OS: /krb5/krb5.conf
    . Diferentes arquivos de configuração do Kerberos podem ser configurados para serem usados pelo broker ou pelo Grupo de Execução.

    O arquivo de configuração de amostra do Kerberos a seguir mostra os valores típicos para as variáveis. As variáveis default_realm, default_keytab_name e os nomes nas realms estão entre os valores que você altera no arquivo de configuração, dependendo de sua rede e localização do arquivo de configuração.

    [libdefaults]
    default_realm = MYREALM.EXAMPLE.COM
    default_keytab_name = FILE:c:\Windows\krb5.keytab
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
    dns_lookup_realm = false
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    [realms]
    MYREALM.EXAMPLE.COM = {
    kdc = kdc.myrealm.example.com
    admin_server = kdc.myrealm.example.com
    }
  5. Crie um novo arquivo de configuração do Kerberos para usar Principais de Serviço Kerberos exclusivos por broker ou por Grupo de Execução. Isso é feito especificando o arquivo keytab que contém o principal do serviço necessário.
  6. Use um destes comandos mqsichangeproperties para especificar a localização de seu novo arquivo de configuração.
    • Para a configuração do Kerberos de nível do broker
      mqsichangeproperties brokerName -o BrokerRegistry -n kerberosConfigFile -v kerberosConfigLocation
    • Para a configuração do Kerberos de nível do Grupo de Execução
      mqsichangeproperties brokerName -e executionGroupName -o ComIbmJVMManager -n kerberosConfigFile -v kerberosConfigLocation
  7. Configure um conjunto de políticas e uma ligação que esteja associada ao nó SOAPInput para o BAR que contém o fluxo de mensagens.

Você configurou o WebSphere Message Broker para ser um serviço assegurado pelo Kerberos.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:31:06


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | bc49108_