Puede utilizar el nombre de principal de Kerberos totalmente calificado
para la autorización, en lugar de utilizar la correlación simple o crear su propio
módulo de inicio de sesión JAAS personalizado.
Acerca de esta tarea
Es poco habitual que se deban seguir estos pasos y solo
por parte de usuarios que específicamente eligen no utilizar la
correlación simple, que es la configuración predeterminada, o que
eligen no añadir un módulo de inicio de sesión personalizado de JAAS
para correlacionar el nombre de principal Kerberos completo
con un usuario en el registro de usuarios del servidor Liberty.
Esta tarea permite utilizar el nombre de principal de Kerberos
totalmente calificado para la autorización.
Procedimiento
- Configure la autenticación SPNEGO para que no recorte el nombre de reino de Kerberos
a partir del nombre de principal de Kerberos totalmente calificado estableciendo el
atributo trimKerberosRealmNameFromPrincipal en false.
- Configure el servidor de Liberty para que utilice los repositorios federados o LDAP autónomos.
Para obtener más información sobre cómo configurar LDAP, consulte
Configuración de
registros de usuarios LDAP con Liberty.
- Compruebe que el usuario de Active Directory exista en el registro de usuarios
LDAP y que tenga un solo atributo userPrincipalName asociado con él.
- Actualizar el filtro LDAP en el archivo server.xml para buscar
userPrincipalName, como se muestra en el ejemplo siguiente:
<activedLdapFilterProperties id="myactivedfilters"
userFilter="(&(userPrincipalName=%v))"
groupFilter="(&(cn=%v))"
userIdMap="*:userPrincipalName"
groupIdMap="*:cn"
groupMemberIdMap="ibm-allGroups:member">
</activedLdapFilterProperties>
- Configure los enlaces de aplicación de la aplicación correspondiente para que
utilicen el nombre de principal de Kerberos totalmente calificado como nombre de usuario
junto con un access-id configurado correctamente.
Por ejemplo:
<application type="war" id="myApp" name="myApp" location="${server.config.dir}/apps/myApp.war">
<application-bnd>
<security-role name="Employee">
<user name="kevin@MYDOMAIN.EXAMPLE.COM" access-id="CN=kevin,CN=Users,DC=MYDOMAIN,DC=EXAMPLE,DC=COM"/>
...
</security-role>
...
</application-bnd>
</application>