WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Configurar WebSphere Message Broker como servicio asegurado Kerberos

Puede configurar WebSphere Message Broker para que actúe como un servicio asegurado Kerberos para la integridad, confidencialidad y autenticidad de mensajes.

Debe tener acceso a un Centro de distribución de claves (KDC) y a un servidor que aloje el servicio asegurado Kerberos. Para obtener más información sobre la configuración de Kerberos, consulte la documentación de Kerberos del host.

Utilice esta tarea para configurar Kerberos como servicio asegurado para WebSphere Message Broker.

  1. Exporte una tabla de claves que contenga la clave privada del principal de servicio desde el KDC. Por ejemplo,
    ktpass -out c:\Windows\krb5.keytab -princ UnPrincipal@SuDominio -crypto RC4-HMAC-NT mapUser NombreUsuario -pass Contraseña -mapOp set 
    donde
    out nombre_archivo
    Especifica el nombre y vía de acceso del archivo de tabla de claves que se va a generar.
    princ nombre_principal
    El nombre principal.
    crypto tipo_cifrado
    Especifique el tipo de cifrado que desea utilizar.
    mapuser nombre_usuario
    Correlacione el nombre de un principal de Kerberos con una cuenta local.
    pass contraseña
    Contraseña que se utilizará para este nombre principal.
    mapOp atributo
    Defina cómo se establece el atributo de correlación. Las opciones para el atributo son add o set.
  2. Copie el archivo de tabla de claves en el servidor que aloja el servicio. Puede copiar el archivo en el servidor exportando el archivo de tabla de claves y transfiriéndolo al servidor, por ejemplo, mediante FTP. El archivo de configuración de Kerberos contiene una referencia al archivo de tabla de claves en forma de URL de archivo (como por ejemplo, /home/user/my.keytab) Puesto que la referencia está en el archivo de configuración en el servidor, el servicio del servidor puede adoptar el principal de Kerberos que está definido en la tabla de claves.
  3. ).
  4. Cree un archivo de configuración de Kerberos que especifique la ubicación del archivo de tabla de claves en la estación de trabajo local.
    Puede utilizar más de un nombre principal de servicio por intermediario y por reino de Kerberos. Utilice el archivo de configuración de Kerberos predeterminado de la estación de trabajo cuando utilice Kerberos para la seguridad. La ubicación del archivo de configuración varía en función del sistema. Las ubicaciones habituales:
    • Windows: C:\Windows\krb5.ini y C:\WINNT\krb5.ini
    • : /etc/krb5.conf
    • UNIX (AIX): /etc/krb5/krb5.conf
    • z/OS: /krb5/krb5.conf
    . Se pueden configurar archivos de configuración de Kerberos diferentes para que los utilice el intermediario o el grupo de ejecución.

    El siguiente ejemplo de archivo de configuración de Kerberos muestra los valores típicos para las variables. Las variables default_realm, default_keytab_name y los nombres en los realms son algunos de los valores que se cambian en el archivo de configuración, que dependen de la red y de la ubicación del archivo de configuración.

    [libdefaults]
    default_realm = MYREALM.EXAMPLE.COM
    default_keytab_name = FILE:c:\Windows\krb5.keytab
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
    dns_lookup_realm = false
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    [realms]
    MYREALM.EXAMPLE.COM = {
    kdc = kdc.myrealm.example.com
    admin_server = kdc.myrealm.example.com
    }
  5. Cree un nuevo archivo de configuración de Kerberos para utilizar Principales de servicio Kerberos exclusivos para cada intermediario o para cada grupo de ejecución. Para ello, especifique el archivo de tabla de claves que contiene el principal de servicio necesario.
  6. Utilice uno de los siguientes mandatos mqsichangeproperties para especificar la ubicación del nuevo archivo de configuración.
    • Para una configuración de Kerberos a nivel de intermediario
      mqsichangeproperties nombreIntermediario -o BrokerRegistry -n kerberosConfigFile -v ubicaciónConfigKerberos
    • Para una configuración de Kerberos a nivel de grupo de ejecución
      mqsichangeproperties nombreIntermediario -e nombreGrupoEjecución -o ComIbmJVMManager -n kerberosConfigFile -v ubicaciónConfigKerberos
  7. Configure un conjunto de políticas y un enlace que esté asociado al nodo SOAPInput para el archivo BAR que contiene el flujo de mensajes.

Ha configurado WebSphere Message Broker como un servicio asegurado Kerberos.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:01:05


Tema de tareaTema de tarea | Versión 8.0.0.5 | bc49108_