Sie können WebSphere Message
Broker als einen gesicherten Kerberos-Service konfigurieren, um Nachrichtenintegrität, Vertraulichkeit und Authentizität sicherzustellen.
Sie müssen Zugriff auf ein Key-Distribution-Center (KDC) und einen Server, der als Host des
gesicherten Kerberos-Service dient, haben. Weitere Informationen zur Konfiguration von Kerberos finden Sie in der Host-Dokumentation zu Kerberos.
Verwenden Sie diese Aufgabe, um Kerberos als gesicherten Service für
WebSphere Message
Broker zu konfigurieren.
- Exportieren Sie einen Chiffrierschlüssel, der den privaten Schlüssel des Service-Principals
enthält, aus dem Key-Distribution-Center (KDC). Beispiel:
ktpass -out c:\Windows\krb5.keytab -princ
Principalname@IhreDomäne -crypto RC4-HMAC-NT mapUser
Benutzername -pass Kennwort -mapOp set
Dabei gilt Folgendes:
- out Dateiname
- Gibt den Namen und Pfad der Chiffrierschlüsseldatei an, die generiert werden soll.
- princ Principalname
- Der Name des Principals.
- crypto Verschlüsselungstyp
- Geben Sie den zu verwendenden Verschlüsselungstyp an.
- mapuser Benutzername
- Ordnen Sie den Namen eines Kerberos-Principals einem lokalen Account zu.
- pass Kennwort
- Das Kennwort, das für den Principalnamen verwendet werden soll.
- mapOp Attribut
- Geben Sie an, wie das Zuordnungsattribut gesetzt wird. Die Attributalternativen sind
add und set.
- Kopieren Sie die Chiffrierschlüsseldatei auf den Server, der als Host des Service dient.
Sie
können die Datei auf den Server kopieren, indem Sie die Chiffrierschlüsseldatei exportieren und an
den Server übertragen, z. B. über FTP. Die Kerberos-Konfigurationsdatei enthält einen Verweis auf
die Chiffrierschlüsseldatei in Form einer Datei-URL (z. B.
/home/user/my.keytab). Dank des Verweises in der Konfigurationsdatei auf dem Server kann der Serverservice den
Kerberos-Principal annehmen, der im Chiffrierschlüssel definiert ist.
- ).
- Erstellen Sie eine Kerberos-Konfigurationsdatei, in der die Position der
Chiffrierschlüsseldatei auf der lokalen Workstation angegeben ist.
Pro Broker und Kerberos-Realm können auch mehrere Service-Principle-Namen verwendet werden. Verwenden Sie die standardmäßige Kerberos-Konfigurationsdatei Ihrer Workstation,
wenn Sie Kerberos für die Sicherheit nutzen. Die Speicherposition der Konfigurationsdatei ist vom
System abhängig. Die üblichen Positionen lauten wie folgt:
- Windows: C:\Windows\krb5.ini und C:\WINNT\krb5.ini
- : /etc/krb5.conf
- UNIX (AIX): /etc/krb5/krb5.conf
- z/OS: /krb5/krb5.conf
. Für
den Broker oder die Ausführungsgruppe können auch unterschiedliche Kerberos-Konfigurationsdateien
verwendet werden.
Die folgende Kerberos-Beispielkonfigurationsdatei enthält typische Werte für die Variablen.
Die
Variablen default_realm, default_keytab_name und die Namen in
den realms gehören zu den Werten in der Konfigurationsdatei, die Sie abhängig
von Ihrem Netz und der Position der Konfigurationsdatei ändern.
[libdefaults]
default_realm = MYREALM.EXAMPLE.COM
default_keytab_name = FILE:c:\Windows\krb5.keytab
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYREALM.EXAMPLE.COM = {
kdc = kdc.myrealm.example.com
admin_server = kdc.myrealm.example.com
}
- Erstellen Sie eine neue Kerberos-Konfigurationsdatei, um eindeutige
Kerberos-Service-Principals pro Broker oder Ausführungsgruppe zu verwenden. Geben Sie zu diesem
Zweck die Chiffrierschlüsseldatei an, die den erforderlichen Service-Principal enthält.
- Geben Sie mit einem der folgenden
mqsichangeproperties-Befehle die Position der neuen
Konfigurationsdatei an.
- Für eine Kerberos-Konfiguration auf Brokerebene:
mqsichangeproperties
Brokername -o BrokerRegistry -n kerberosConfigFile -v
KerberosKonfigPosition
- Für eine Kerberos-Konfiguration auf Ebene der Ausführungsgruppe:
mqsichangeproperties
Brokername -e Ausführungsgruppenname -o ComIbmJVMManager -n
kerberosConfigFile -v KerberosKonfigPosition
- Konfigurieren Sie einen Richtliniensatz und eine Bindung, die dem SOAPInput-Knoten für das
Brokerarchiv zugeordnet ist, das den Nachrichtenfluss enthält.
Sie haben WebSphere Message
Broker als einen gesicherten Kerberos-Service konfiguriert.