Puede configurar
WebSphere Message Broker para que actúe como un servicio asegurado
Kerberos para la integridad, confidencialidad y autenticidad de mensajes.
Debe tener acceso a un Centro de distribución de claves (KDC) y a un servidor que
aloje el servicio asegurado Kerberos. Para obtener más información sobre la
configuración de Kerberos, consulte la documentación de Kerberos del host.
Utilice esta tarea para configurar Kerberos como servicio asegurado para WebSphere Message Broker.
- Exporte una tabla de claves que contenga la clave privada del principal de
servicio desde el KDC. Por ejemplo,
ktpass -out c:\Windows\krb5.keytab -princ UnPrincipal@SuDominio -crypto RC4-HMAC-NT mapUser NombreUsuario -pass Contraseña -mapOp set
donde
- out nombre_archivo
- Especifica el nombre y vía de acceso del archivo de tabla de claves que se va a
generar.
- princ nombre_principal
- El nombre principal.
- crypto tipo_cifrado
- Especifique el tipo de cifrado que desea utilizar.
- mapuser nombre_usuario
- Correlacione el nombre de un principal de Kerberos con una cuenta local.
- pass contraseña
- Contraseña que se utilizará para este nombre principal.
- mapOp atributo
- Defina cómo se establece el atributo de correlación. Las opciones para el atributo son
add o set.
- Copie el archivo de tabla de claves en el servidor que aloja el
servicio.
Puede copiar el archivo en el servidor exportando el archivo de tabla de
claves y transfiriéndolo al servidor, por ejemplo, mediante FTP. El archivo de
configuración de Kerberos contiene una referencia al archivo de tabla de claves en forma
de URL de archivo (como por ejemplo, /home/user/my.keytab) Puesto que la referencia está en el archivo de configuración en el servidor, el
servicio del servidor puede adoptar el principal de Kerberos que está definido en la
tabla de claves.
- ).
- Cree un archivo de configuración de Kerberos que especifique la ubicación del
archivo de tabla de claves en la estación de trabajo local.
Puede utilizar más de un nombre principal de servicio por
intermediario y por reino de Kerberos. Utilice el archivo de configuración de Kerberos
predeterminado de la estación de trabajo cuando utilice Kerberos para la seguridad. La
ubicación del archivo de configuración varía en función del sistema. Las ubicaciones
habituales:
- Windows: C:\Windows\krb5.ini y C:\WINNT\krb5.ini
- : /etc/krb5.conf
- UNIX (AIX): /etc/krb5/krb5.conf
- z/OS: /krb5/krb5.conf
. Se
pueden configurar archivos de configuración de Kerberos diferentes para que los utilice el
intermediario o el grupo de ejecución.
El siguiente ejemplo de archivo de configuración de Kerberos muestra los valores
típicos para las variables.
Las variables default_realm,
default_keytab_name y los nombres en los realms son
algunos de los valores que se cambian en el archivo de configuración, que dependen de la
red y de la ubicación del archivo de configuración.
[libdefaults]
default_realm = MYREALM.EXAMPLE.COM
default_keytab_name = FILE:c:\Windows\krb5.keytab
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYREALM.EXAMPLE.COM = {
kdc = kdc.myrealm.example.com
admin_server = kdc.myrealm.example.com
}
- Cree un nuevo archivo de configuración de Kerberos para utilizar Principales de
servicio Kerberos exclusivos para cada intermediario o para cada grupo de ejecución. Para
ello, especifique el archivo de tabla de claves que contiene el principal de servicio
necesario.
- Utilice uno de los siguientes mandatos
mqsichangeproperties para especificar
la ubicación del nuevo archivo de configuración.
- Para una configuración de Kerberos a nivel de intermediario
mqsichangeproperties nombreIntermediario -o BrokerRegistry -n kerberosConfigFile -v ubicaciónConfigKerberos
- Para una configuración de Kerberos a nivel de grupo de ejecución
mqsichangeproperties nombreIntermediario -e nombreGrupoEjecución -o ComIbmJVMManager -n kerberosConfigFile -v ubicaciónConfigKerberos
- Configure un conjunto de políticas y un enlace que esté asociado al nodo
SOAPInput para el archivo BAR que contiene el flujo de mensajes.
Ha configurado WebSphere Message Broker como un servicio asegurado Kerberos.