É possível configurar o WebSphere Message Broker para operar como um serviço assegurado pelo Kerberos para integridade, confidencialidade e autenticidade da mensagem.
Você deve ter acesso a um Centro de Distribuição de Chaves (KDC) e
a um servidor que esteja hospedando o serviço assegurado por Kerberos. Para obter mais informações sobre a configuração do Kerberos,
consulte a documentação do Kerberos do seu host.
Use esta tarefa para configurar o Kerberos como um serviço assegurado
para o WebSphere Message Broker.
- Exporte um keytab que contenha a chave privada do principal
do serviço a partir do KDC. Por exemplo,
ktpass -out c:\Windows\krb5.keytab -princ SomePrincipal@YourDomain -crypto RC4-HMAC-NT mapUser Username -pass Password -mapOp set
em que
- out filename
- Especifica o nome e o caminho do arquivo keytab a ser gerado.
- princ principal_name
- O nome do principal.
- crypto encryption_type
- Especifique o tipo de criptografia a ser usado.
- mapuser username
- Mapeie o nome de um Kerberos principal para uma conta local.
- pass password
- Senha a ser usada para esse nome do principal.
- mapOp attribute
- Defina como o atributo de mapeamento está configurado. As alternativas de atributo
são add ou set.
- Copie o arquivo keytab para o servidor que hospeda o serviço.
É possível copiar o arquivo para o servidor exportando o arquivo keytab e
transferindo-o para o servidor, por exemplo, usando FTP. O arquivo de configuração do Kerberos
contém uma referência para o arquivo keytab na forma de uma URL de arquivo
(como, /home/user/my.keytab) Como a referência está no arquivo de configuração no servidor,
o serviço do servidor pode ser obtido no Kerberos principal que é definido no keytab.
- ).
- Crie um arquivo de configuração do Kerberos que especifique a
localização do arquivo keytab na estação de trabalho local.
Você pode usar mais de um nome de princípio de
serviço por broker por região do Kerberos. Use o arquivo de configuração do Kerberos
padrão de sua estação de trabalho ao usar o Kerberos para segurança. A localização
para o arquivo de configuração difere dependendo do sistema. Os locais usuais são:
- Windows: C:\Windows\krb5.ini e C:\WINNT\krb5.ini
- : /etc/krb5.conf
- UNIX (AIX): /etc/krb5/krb5.conf
- z/OS: /krb5/krb5.conf
. Diferentes arquivos de configuração do Kerberos podem ser configurados para
serem usados pelo broker ou pelo Grupo de Execução.
O arquivo de configuração
de amostra do Kerberos a seguir mostra os valores típicos para as variáveis.
As variáveis default_realm, default_keytab_name
e os nomes nas realms estão entre os valores
que você altera no arquivo de configuração, dependendo de sua rede e
localização do arquivo de configuração.
[libdefaults]
default_realm = MYREALM.EXAMPLE.COM
default_keytab_name = FILE:c:\Windows\krb5.keytab
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYREALM.EXAMPLE.COM = {
kdc = kdc.myrealm.example.com
admin_server = kdc.myrealm.example.com
}
- Crie um novo arquivo de configuração do Kerberos para usar Principais de Serviço
Kerberos exclusivos por broker ou por Grupo de Execução. Isso
é feito especificando o arquivo keytab que contém o principal do serviço necessário.
- Use um destes comandos mqsichangeproperties
para especificar a localização de seu novo arquivo de configuração.
- Para a configuração do Kerberos de nível do broker
mqsichangeproperties brokerName -o BrokerRegistry -n kerberosConfigFile -v kerberosConfigLocation
- Para a
configuração do Kerberos de nível do Grupo de Execução
mqsichangeproperties brokerName -e executionGroupName -o ComIbmJVMManager -n kerberosConfigFile -v kerberosConfigLocation
- Configure um conjunto de políticas e uma ligação que esteja associada ao
nó SOAPInput para o BAR que contém o fluxo de mensagens.
Você configurou o WebSphere Message Broker para ser um serviço assegurado pelo Kerberos.