WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

WebSphere Message Broker als gesicherten Kerberos-Service konfigurieren

Sie können WebSphere Message Broker als einen gesicherten Kerberos-Service konfigurieren, um Nachrichtenintegrität, Vertraulichkeit und Authentizität sicherzustellen.

Sie müssen Zugriff auf ein Key-Distribution-Center (KDC) und einen Server, der als Host des gesicherten Kerberos-Service dient, haben. Weitere Informationen zur Konfiguration von Kerberos finden Sie in der Host-Dokumentation zu Kerberos.

Verwenden Sie diese Aufgabe, um Kerberos als gesicherten Service für WebSphere Message Broker zu konfigurieren.

  1. Exportieren Sie einen Chiffrierschlüssel, der den privaten Schlüssel des Service-Principals enthält, aus dem Key-Distribution-Center (KDC). Beispiel:
    ktpass -out c:\Windows\krb5.keytab -princ
    Principalname@IhreDomäne -crypto RC4-HMAC-NT mapUser
    Benutzername -pass Kennwort -mapOp set 
    Dabei gilt Folgendes:
    out Dateiname
    Gibt den Namen und Pfad der Chiffrierschlüsseldatei an, die generiert werden soll.
    princ Principalname
    Der Name des Principals.
    crypto Verschlüsselungstyp
    Geben Sie den zu verwendenden Verschlüsselungstyp an.
    mapuser Benutzername
    Ordnen Sie den Namen eines Kerberos-Principals einem lokalen Account zu.
    pass Kennwort
    Das Kennwort, das für den Principalnamen verwendet werden soll.
    mapOp Attribut
    Geben Sie an, wie das Zuordnungsattribut gesetzt wird. Die Attributalternativen sind add und set.
  2. Kopieren Sie die Chiffrierschlüsseldatei auf den Server, der als Host des Service dient. Sie können die Datei auf den Server kopieren, indem Sie die Chiffrierschlüsseldatei exportieren und an den Server übertragen, z. B. über FTP. Die Kerberos-Konfigurationsdatei enthält einen Verweis auf die Chiffrierschlüsseldatei in Form einer Datei-URL (z. B. /home/user/my.keytab). Dank des Verweises in der Konfigurationsdatei auf dem Server kann der Serverservice den Kerberos-Principal annehmen, der im Chiffrierschlüssel definiert ist.
  3. ).
  4. Erstellen Sie eine Kerberos-Konfigurationsdatei, in der die Position der Chiffrierschlüsseldatei auf der lokalen Workstation angegeben ist.
    Pro Broker und Kerberos-Realm können auch mehrere Service-Principle-Namen verwendet werden. Verwenden Sie die standardmäßige Kerberos-Konfigurationsdatei Ihrer Workstation, wenn Sie Kerberos für die Sicherheit nutzen. Die Speicherposition der Konfigurationsdatei ist vom System abhängig. Die üblichen Positionen lauten wie folgt:
    • Windows: C:\Windows\krb5.ini und C:\WINNT\krb5.ini
    • : /etc/krb5.conf
    • UNIX (AIX): /etc/krb5/krb5.conf
    • z/OS: /krb5/krb5.conf
    . Für den Broker oder die Ausführungsgruppe können auch unterschiedliche Kerberos-Konfigurationsdateien verwendet werden.

    Die folgende Kerberos-Beispielkonfigurationsdatei enthält typische Werte für die Variablen. Die Variablen default_realm, default_keytab_name und die Namen in den realms gehören zu den Werten in der Konfigurationsdatei, die Sie abhängig von Ihrem Netz und der Position der Konfigurationsdatei ändern.

    [libdefaults]
    default_realm = MYREALM.EXAMPLE.COM
    default_keytab_name = FILE:c:\Windows\krb5.keytab
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
    dns_lookup_realm = false
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    [realms]
    MYREALM.EXAMPLE.COM = {
    kdc = kdc.myrealm.example.com
    admin_server = kdc.myrealm.example.com
    }
  5. Erstellen Sie eine neue Kerberos-Konfigurationsdatei, um eindeutige Kerberos-Service-Principals pro Broker oder Ausführungsgruppe zu verwenden. Geben Sie zu diesem Zweck die Chiffrierschlüsseldatei an, die den erforderlichen Service-Principal enthält.
  6. Geben Sie mit einem der folgenden mqsichangeproperties-Befehle die Position der neuen Konfigurationsdatei an.
    • Für eine Kerberos-Konfiguration auf Brokerebene:
      mqsichangeproperties
      Brokername -o BrokerRegistry -n kerberosConfigFile -v
      KerberosKonfigPosition
    • Für eine Kerberos-Konfiguration auf Ebene der Ausführungsgruppe:
      mqsichangeproperties
      Brokername -e Ausführungsgruppenname -o ComIbmJVMManager -n
      kerberosConfigFile -v KerberosKonfigPosition
  7. Konfigurieren Sie einen Richtliniensatz und eine Bindung, die dem SOAPInput-Knoten für das Brokerarchiv zugeordnet ist, das den Nachrichtenfluss enthält.

Sie haben WebSphere Message Broker als einen gesicherten Kerberos-Service konfiguriert.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:22:44


TaskthemaTaskthema | Version 8.0.0.5 | bc49108_