SPNEGO 인증 권한 부여를 위해 Kerberos 프린시펄 이름 사용

단순 맵핑을 사용하거나 사용자 자신의 사용자 정의 JAAS 사용자 정의 로그인 모듈을 작성하는 대신 권한 부여를 위해 완전한 Kerberos 프린시펄 이름을 사용할 수 있습니다.

이 태스크 정보

이러한 단계는 거의 수행되지 않으며, 특별히 기본 구성인 단순 맵핑을 사용하지 않도록 선택했거나 완전한 Kerberos 프린시펄 이름을 Liberty 서버 사용자 레지스트리의 사용자에 맵핑하기 위해 JAAS 사용자 정의 로그인 모듈을 추가하지 않도록 선택한 사용자만 수행해야 합니다. 이 태스크를 사용하면 권한 부여를 위해 완전한 Kerberos 프린시펄 이름을 사용할 수 있습니다.

프로시저

  1. trimKerberosRealmNameFromPrincipal 속성을 false로 설정하여 완전한 Kerberos 프린시펄 이름에서 Kerberos 영역 이름을 자르지 않도록 SPNEGO 인증을 구성하십시오.
  2. 독립형 LDAP 또는 연합 저장소를 사용하도록 Liberty 서버를 구성하십시오.

    LDAP 구성 방법에 대한 자세한 정보는 Liberty에 LDAP 사용자 레지스트리 구성을 참조하십시오.

    1. LDAP 사용자 레지스트리에 Active Directory 사용자가 있는지 확인하고 이 사용자에게 연관된 단일 userPrincipalName 속성이 있는지 확인하십시오.
    2. 다음 예제에 나타낸 것처럼 userPrincipalName을 검색하도록 server.xml 파일에서 LDAP 필터를 업데이트하십시오.
      <activedLdapFilterProperties id="myactivedfilters"
           userFilter="(&(userPrincipalName=%v))"
           groupFilter="(&(cn=%v))"
           userIdMap="*:userPrincipalName"
           groupIdMap="*:cn" 
           groupMemberIdMap="ibm-allGroups:member">
      </activedLdapFilterProperties>
  3. 완전한 Kerberos 프린시펄 이름을 적절하게 구성된 access-id와 함께 사용자 이름으로 사용하도록 해당 애플리케이션에 대한 애플리케이션 바인딩을 구성하십시오. 예를 들어 다음과 같습니다.
    <application type="war" id="myApp" name="myApp" location="${server.config.dir}/apps/myApp.war">
         <application-bnd>
              <security-role name="Employee">
                   <user name="kevin@MYDOMAIN.EXAMPLE.COM" access-id="CN=kevin,CN=Users,DC=MYDOMAIN,DC=EXAMPLE,DC=COM"/>
                   ...
              </security-role>
              ...
         </application-bnd>
    </application>

주제의 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_using_kerb_principal_name_auth
파일 이름: twlp_using_kerb_principal_name_auth.html