Kerberos-Principal-Namen für Berechtigung mit SPNEGO-Authentifizierung verwenden

Sie können den vollständig qualifizierten Kerberos-Principal-Namen für die Berechtigung verwenden, anstatt eine einfache Zuordnung zu verwenden oder ein eigenes angepasstes JAAS-Anmeldemodul zu erstellen.

Informationen zu diesem Vorgang

Die folgenden Schritte sollten nur im Ausnahmefall ausgeführt werden und nur von Benutzern, die explizit nicht die standardmäßig konfigurierte einfache Zuordnung verwenden möchten bzw. kein angepasstes JAAS-Anmeldemodul hinzufügen möchten, um den vollständig qualifizierten Kerberos-Principal-Namen einem Benutzer in der Benutzerregistry des Liberty-Servers zuzuordnen. Wenn Sie diese Aufgabe ausführen, können Sie den vollständig qualifizierten Kerberos-Principal-Namen für die Berechtigung verwenden.

Vorgehensweise

  1. Konfigurieren Sie die SPNEGO-Authentifizierung so, dass der Kerberos-Realm-Name nicht vom vollständig qualifizierten Kerberos-Principal-Namen abgeschnitten wird. Dazu müssen Sie das Attribut trimKerberosRealmNameFromPrincipal auf false setzen.
  2. Konfigurieren Sie den Liberty-Server so, dass er entweder eigenständige LDAP- oder Verbundrepositorys verwendet.

    Weitere Informationen zur Konfiguration von LDAP-Registrys finden Sie im Abschnitt LDAP-Benutzerregistrys mit Liberty konfigurieren.

    1. Vergewissern Sie sich, dass der Active Directory-Benutzer in der LDAP-Benutzerregistry vorhanden und ihm ein einziges userPrincipalName-Attribut zugeordnet ist.
    2. Aktualisieren Sie den LDAP-Filter in der Datei server.xml so, dass nach dem userPrincipalName gesucht wird. Dies veranschaulicht das folgende Beispiel:
      <activedLdapFilterProperties id="myactivedfilters"
           userFilter="(&(userPrincipalName=%v))"
           groupFilter="(&(cn=%v))"
           userIdMap="*:userPrincipalName"
           groupIdMap="*:cn"
           groupMemberIdMap="ibm-allGroups:member">
      </activedLdapFilterProperties>
  3. Konfigurieren Sie die Anwendungsbindungen für die entsprechende Anwendung, um den vollständig qualifizierten Kerberos-Principal-Namen als Benutzernamen zusammen mit einer ordnungsgemäß konfigurierten access-id zu verwenden. Beispiel:
    <application type="war" id="myApp" name="myApp" location="${server.config.dir}/apps/myApp.war">
         <application-bnd>
              <security-role name="Employee">
                   <user name="kevin@MYDOMAIN.EXAMPLE.COM" access-id="CN=kevin,CN=Users,DC=MYDOMAIN,DC=EXAMPLE,DC=COM"/>
                   ...
              </security-role>
              ...
         </application-bnd>
    </application>

Symbol das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 01.12.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_using_kerb_principal_name_auth
Dateiname: twlp_using_kerb_principal_name_auth.html