Utilización del nombre de principal de Kerberos para la autorización con la autenticación SPNEGO

Puede utilizar el nombre de principal de Kerberos totalmente calificado para la autorización, en lugar de utilizar la correlación simple o crear su propio módulo de inicio de sesión JAAS personalizado.

Acerca de esta tarea

Es poco habitual que se deban seguir estos pasos y solo por parte de usuarios que específicamente eligen no utilizar la correlación simple, que es la configuración predeterminada, o que eligen no añadir un módulo de inicio de sesión personalizado de JAAS para correlacionar el nombre de principal Kerberos completo con un usuario en el registro de usuarios del servidor Liberty. Esta tarea permite utilizar el nombre de principal de Kerberos totalmente calificado para la autorización.

Procedimiento

  1. Configure la autenticación SPNEGO para que no recorte el nombre de reino de Kerberos a partir del nombre de principal de Kerberos totalmente calificado estableciendo el atributo trimKerberosRealmNameFromPrincipal en false.
  2. Configure el servidor de Liberty para que utilice los repositorios federados o LDAP autónomos.

    Para obtener más información sobre cómo configurar LDAP, consulte Configuración de registros de usuarios LDAP con Liberty.

    1. Compruebe que el usuario de Active Directory exista en el registro de usuarios LDAP y que tenga un solo atributo userPrincipalName asociado con él.
    2. Actualizar el filtro LDAP en el archivo server.xml para buscar userPrincipalName, como se muestra en el ejemplo siguiente:
      <activedLdapFilterProperties id="myactivedfilters"
           userFilter="(&(userPrincipalName=%v))"
           groupFilter="(&(cn=%v))"
           userIdMap="*:userPrincipalName"
           groupIdMap="*:cn"
           groupMemberIdMap="ibm-allGroups:member">
      </activedLdapFilterProperties>
  3. Configure los enlaces de aplicación de la aplicación correspondiente para que utilicen el nombre de principal de Kerberos totalmente calificado como nombre de usuario junto con un access-id configurado correctamente. Por ejemplo:
    <application type="war" id="myApp" name="myApp" location="${server.config.dir}/apps/myApp.war">
         <application-bnd>
              <security-role name="Employee">
                   <user name="kevin@MYDOMAIN.EXAMPLE.COM" access-id="CN=kevin,CN=Users,DC=MYDOMAIN,DC=EXAMPLE,DC=COM"/>
                   ...
              </security-role>
              ...
         </application-bnd>
    </application>

Icono que indica el tipo de tema Tema de tarea



Icono de indicación de fecha y hora Última actualización: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_using_kerb_principal_name_auth
Nombre de archivo:twlp_using_kerb_principal_name_auth.html