WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

WebSphere Message Broker als Client eines gesicherten Kerberos-Service konfigurieren

Sie können WebSphere Message Broker als Client eines gesicherten Kerberos-Service konfigurieren, um Nachrichtenintegrität, Vertraulichkeit und Authentizität sicherzustellen.

Sie müssen Zugriff auf ein Key-Distribution-Center (KDC) und einen Server, der als Host des Service dient, haben. Weitere Informationen zur Konfiguration von Kerberos finden Sie in der Host-Dokumentation zu Kerberos.
  1. Legen Sie die Benutzerberechtigungsnachweise fest, die zur Authentifizierung mit dem Key-Distribution-Center verwendet werden.
    • Sie können die Berechtigungsnachweise auf Brokerebene konfigurieren, indem Sie einen mqsisetdbparms-Befehl ausgeben. Beispiel:
      mqsisetdbparms Brokername -n
      SPN::Realm -u Benutzername -p
      Kennwort
    • Sie können die Benutzerberechtigungsnachweise auch auf Ausführungsgruppenebene konfigurieren. So können Sie beispielsweise mit folgendem Befehl ein bestimmtes Realm in einer beliebigen Ausführungsgruppe angeben:
      mqsisetdbparms Brokername -n
      kerberos::realm1::ExecutionGroup1 -u Client-ID -p Kennwort 
    • Sie können die Berechtigungsnachweise auch über die 'Properties'-Struktur konfigurieren, indem Sie folgenden ESQL-Code in einem Rechenknoten angeben:
      SET OutputRoot.Properties.IdentitySourceType = 'Benutzername_und_Kennwort';
      SET OutputRoot.Properties.IdentitySourceToken = Benutzername;
      SET OutputRoot.Properties.IdentitySourcePassword = Kennwort;
  2. Erstellen Sie eine Kerberos-Konfigurationsdatei. Mithilfe der Konfigurationsdatei kann der Client eine Authentifizierung mit dem Key-Distribution-Center durchführen.

    Weitere Informationen zur Kerberos-basierten Web Services Security, die in SOAP-Knoten unterstützt wird, finden Sie im Abschnitt Nachrichtenflusssicherheit und Sicherheitsprofile.

    Bei Verwendung von Kerberos für die Sicherheit handelt es sich bei der standardmäßigen Kerberos-Konfigurationsdatei um die Datei auf Ihrer Workstation. Die Speicherposition der Konfigurationsdatei ist vom System abhängig. Die üblichen Positionen sind:
    • Unter Windows : C:\Windows\krb5.ini und C:\WINNT\krb5.ini
    • Unter Linux: /etc/krb5.conf, unter UNIX (AIX): /etc/krb5/krb5.conf
    • Unter z/OS: /krb5/krb5.conf
    Sie können Kerberos-Konfigurationsdateien für die Verwendung durch einen Broker oder eine Ausführungsgruppe konfigurieren.

    Die folgende Kerberos-Beispielkonfigurationsdatei enthält typische Werte für die Variablen. Die Variablen default_realm, default_keytab_name und die Namen in den realms gehören zu den Werten in der Konfigurationsdatei, die Sie abhängig von Ihrem Netz und der Position der Konfigurationsdatei ändern.

    [libdefaults]
    default_realm = MYREALM.EXAMPLE.COM
    default_keytab_name = FILE:c:\Windows\krb5.keytab
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
    dns_lookup_realm = false
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    [realms]
    MYREALM.EXAMPLE.COM = {
    kdc = kdc.myrealm.example.com
    admin_server = kdc.myrealm.example.com
    }
    Beispielsweise können Sie die Variablen für eine Kerberos-Konfiguration auf einer WebSphere Message Broker-Ebene mit folgendem Befehl festlegen:
    mqsichangeproperties
    Brokername -o BrokerRegistry -n kerberosConfigFile -v
    KerberosKonfigPosition
    Beispielsweise können Sie die Variablen für eine Kerberos-Konfiguration auf Ausführungsgruppenebene mit folgendem Befehl festlegen:
    mqsichangeproperties
    Brokername -e Ausführungsgruppenname -o ComIbmJVMManager -n
    kerberosConfigFile -v KerberosKonfigPosition
  3. Konfigurieren Sie einen Richtliniensatz und eine Bindung, die dem SOAPRequest-Knoten für das Brokerarchiv zugeordnet ist, das den Nachrichtenfluss enthält.

Sie haben WebSphere Message Broker für den Betrieb als Client eines gesicherten Kerberos-Service konfiguriert.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:22:44


TaskthemaTaskthema | Version 8.0.0.5 | bc49106_