Sie können WebSphere Message
Broker als Client
eines gesicherten Kerberos-Service konfigurieren, um Nachrichtenintegrität, Vertraulichkeit und
Authentizität sicherzustellen.
Sie müssen Zugriff auf ein Key-Distribution-Center (KDC) und einen Server, der als Host des
Service dient, haben. Weitere Informationen zur Konfiguration von Kerberos finden Sie in der Host-Dokumentation zu Kerberos.
- Legen Sie die Benutzerberechtigungsnachweise fest, die zur Authentifizierung mit dem
Key-Distribution-Center verwendet werden.
- Sie können die Berechtigungsnachweise auf Brokerebene konfigurieren, indem Sie einen
mqsisetdbparms-Befehl
ausgeben.
Beispiel:
mqsisetdbparms Brokername -n
SPN::Realm -u Benutzername -p
Kennwort
- Sie können die Benutzerberechtigungsnachweise auch auf Ausführungsgruppenebene konfigurieren.
So können Sie beispielsweise mit folgendem Befehl ein bestimmtes Realm in einer beliebigen
Ausführungsgruppe angeben:
mqsisetdbparms Brokername -n
kerberos::realm1::ExecutionGroup1 -u Client-ID -p Kennwort
- Sie können die Berechtigungsnachweise auch über die 'Properties'-Struktur konfigurieren, indem
Sie folgenden ESQL-Code in einem Rechenknoten angeben:
SET OutputRoot.Properties.IdentitySourceType = 'Benutzername_und_Kennwort';
SET OutputRoot.Properties.IdentitySourceToken = Benutzername;
SET OutputRoot.Properties.IdentitySourcePassword = Kennwort;
- Erstellen Sie eine Kerberos-Konfigurationsdatei. Mithilfe der Konfigurationsdatei kann der
Client eine Authentifizierung mit dem Key-Distribution-Center durchführen.
Weitere Informationen zur Kerberos-basierten Web Services Security, die in SOAP-Knoten
unterstützt wird, finden Sie im Abschnitt
Nachrichtenflusssicherheit und Sicherheitsprofile.
Bei Verwendung von Kerberos für die Sicherheit handelt es sich bei der standardmäßigen
Kerberos-Konfigurationsdatei um die Datei auf Ihrer Workstation. Die Speicherposition der
Konfigurationsdatei ist vom System abhängig. Die üblichen Positionen sind:
- Unter Windows : C:\Windows\krb5.ini und C:\WINNT\krb5.ini
- Unter Linux: /etc/krb5.conf, unter UNIX (AIX): /etc/krb5/krb5.conf
- Unter z/OS: /krb5/krb5.conf
Sie können Kerberos-Konfigurationsdateien für die Verwendung durch einen Broker
oder eine Ausführungsgruppe konfigurieren.
Die folgende Kerberos-Beispielkonfigurationsdatei enthält typische Werte für die Variablen. Die
Variablen default_realm, default_keytab_name und die Namen in
den realms gehören zu den Werten in der Konfigurationsdatei, die Sie abhängig
von Ihrem Netz und der Position der Konfigurationsdatei ändern.
[libdefaults]
default_realm = MYREALM.EXAMPLE.COM
default_keytab_name = FILE:c:\Windows\krb5.keytab
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYREALM.EXAMPLE.COM = {
kdc = kdc.myrealm.example.com
admin_server = kdc.myrealm.example.com
}
Beispielsweise können Sie die Variablen für eine Kerberos-Konfiguration auf
einer
WebSphere Message
Broker-Ebene mit folgendem Befehl festlegen:
mqsichangeproperties
Brokername -o BrokerRegistry -n kerberosConfigFile -v
KerberosKonfigPosition
Beispielsweise können Sie die Variablen für eine Kerberos-Konfiguration auf
Ausführungsgruppenebene mit folgendem Befehl festlegen:
mqsichangeproperties
Brokername -e Ausführungsgruppenname -o ComIbmJVMManager -n
kerberosConfigFile -v KerberosKonfigPosition
- Konfigurieren Sie einen Richtliniensatz und eine Bindung, die dem SOAPRequest-Knoten für das
Brokerarchiv zugeordnet ist, das den Nachrichtenfluss enthält.
Sie haben WebSphere Message
Broker für den Betrieb als Client eines
gesicherten Kerberos-Service konfiguriert.