Puede configurar
WebSphere Message Broker para que actúe como cliente para un servicio
asegurado Kerberos para la integridad, confidencialidad y autenticidad de mensajes.
Debe tener acceso a un Centro de distribución de claves (KDC) y a un servidor que
aloje el servicio. Para obtener más información sobre la configuración de Kerberos,
consulte la documentación de Kerberos del host.
- Establezca las credenciales de usuario que se utilizan para autenticarse con el
KDC.
- Puede configurar las credenciales a nivel de intermediario emitiendo un
mqsisetdbparms.
Por ejemplo,
mqsisetdbparms nombreIntermediario -n SPN::reino -u nombre_usuario -p contraseña
- También puede establecer las credenciales de usuario a nivel de grupo de ejecución.
Por ejemplo, puede establecer un reino específico en cualquier grupo de ejecución
con
mqsisetdbparms nombreIntermediario -n kerberos::realm1::ExecutionGroup1 -u IDcliente -p contraseña
- También puede utilizar el árbol de Propiedades para establecer las credenciales
utilizando el siguiente ESQL en un nodo Compute:
SET OutputRoot.Properties.IdentitySourceType = 'nombreUsuarioYContraseña';
SET OutputRoot.Properties.IdentitySourceToken = NombreUsuario;
SET OutputRoot.Properties.IdentitySourcePassword = Contraseña;
- Cree un archivo de configuración de Kerberos. El cliente puede autenticarse con el KDC
utilizando el archivo de configuración.
Para obtener más información sobre la seguridad de servicios web (WS-Security) basada
en Kerberos que está soportada en los nodos SOAP, consulte
Seguridad de flujo de mensajes y perfiles de
seguridad.
Cuando se utiliza Kerberos para la seguridad, el archivo de configuración de
Kerberos predeterminado es el de la estación de trabajo. La ubicación del archivo de
configuración varía en función del sistema. Las ubicaciones habituales son:
- Para Windows -
C:\Windows\krb5.ini y C:\WINNT\krb5.ini
- Para Linux - /etc/krb5.conf, UNIX (AIX) /etc/krb5/krb5.conf
- Para z/OS - /krb5/krb5.conf
Puede configurar archivos de configuración de Kerberos para que los
utilice un intermediario o un grupo de ejecución.
El siguiente ejemplo de archivo de configuración de Kerberos muestra los valores
típicos para las variables. Las variables default_realm,
default_keytab_name y los nombres en los realms son
algunos de los valores que se cambian en el archivo de configuración, que dependen de la
red y de la ubicación del archivo de configuración.
[libdefaults]
default_realm = MYREALM.EXAMPLE.COM
default_keytab_name = FILE:c:\Windows\krb5.keytab
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYREALM.EXAMPLE.COM = {
kdc = kdc.myrealm.example.com
admin_server = kdc.myrealm.example.com
}
Por ejemplo, puede establecer las variables para
una
configuración de Kerberos a nivel de
WebSphere Message Broker con
mqsichangeproperties nombreIntermediario -o BrokerRegistry -n kerberosConfigFile -v ubicaciónConfigKerberos
Por ejemplo, puede establecer las variables para una configuración de Kerberos a nivel
de grupo de ejecución con
mqsichangeproperties nombreIntermediario -e nombreGrupoEjecución -o ComIbmJVMManager -n kerberosConfigFile -v ubicaciónConfigKerberos
- Configure un conjunto de políticas y un enlace que esté asociado al nodo SOAPRequest
para el archivo BAR que contiene el flujo de mensajes.
Ha configurado WebSphere Message Broker para que
funcione como cliente para un servicio asegurado Kerberos.