Einstellungen der Kerberos-Authentifizierung

Verwenden Sie diese Seite, um Kerberos als Authentifizierungsverfahren für den Anwendungsserver zu konfigurieren und zu bestätigen.

Wenn Sie die erforderlichen Informationen für die Konfiguration eingegeben und angewendet haben, wird der Name des Principals für den Server aus dem Servicenamen, dem Realmnamen und dem Hostnamen erstellt und verwendet, um die Authentifizierung für den Kerberos-Service automatisch zu bestätigen.

Kerberos ist, sofern konfiguriert, das primäre Authentifizierungsverfahren. Konfigurieren Sie die EJB-Authentifizierung für Ressourcen, indem Sie in der Anzeige "Anwendungsdetails" auf die Links für die Ressourcenreferenzen zugreifen.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Globale Sicherheit. Klicken Sie unter "Authentifizierung" auf Kerberos-Konfiguration.

Anmerkung: Wenn Sie Kerberos konfigurieren, muss der Principal-Service das folgende Format haben: <Servicename>/<vollständig_qualifizierter Hostname>@KerberosRealm. Wenn Sie dieses Format nicht verwenden, kann der folgende Fehler angezeigt werden:
org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure,
unspecified at GSSAPI level minor string: Cannot get credential for 
principal service WAS/test@AUSTIN.IBM.COM
In der Beispielausnahme ist der vollständig qualifizierte Hostname nicht angegeben. Deshalb tritt der Fehler auf. Bei diesem Fehler wird der Hostname des Systems gewöhnlich aus der Datei /etc/hosts und nicht vom Domänennamensserver (DNS) abgerufen. Wenn die Zeile "hosts" in der Datei "/etc/nsswitch.conf" auf UNIX- und Linux-Systemen so konfiguriert ist, dass die Datei "hosts" vor dem DNS verwendet werden soll, schlägt die Kerberos-Konfiguration fehl, wenn die Datei "hosts" einen Eintrag für das System enthält, der nicht der vollständig qualifizierte Hostname ist.

Name des Kerberos-Realms

Gibt den Namen Ihres Kerberos-Realms an. In den meisten Fällen ist der Realm der Domänenname in Großbuchstaben. Beispielsweise verwendet eine Maschine mit dem Domänennamen test.austin.ibm.com in der Regel den Kerberos-Realmnamen AUSTIN.IBM.COM.

Es gibt zwei Komponenten, die einen Realmnamen verwenden. Die IBM® Implementierung der Komponente Java™ Generic Security Service (JGSS) ruft den Realmnamen aus der Datei krb5.conf ab. WebSphere Application Server verwaltet auch einen Realmnamen, der gewöhnlich derselbe ist, der von JGSS verwendet wird. Wenn Sie das Feld für den Kerberos-Realmnamen leer lassen, übernimmt WebSphere Application Server den Realmnamen von JGSS.

Wenn Sie jedoch möchten, dass WebSphere Application Server einen anderen Realmnamen verwendet, können Sie das Feld "Name des Kerberos-Realm" verwenden, um den Realmnamen zu ändern. Sie müssen jedoch beachten, dass bei einer Änderung des Realmnamens in der Administrationskonsole nur der Realmname von WebSphere Application Server geändert wird.

Information Wert
Datentyp String

Name des Kerberos-Service

Gemäß der Konvention setzt sich ein Kerberos-Service-Principal aus drei Komponenten zusammen: primäre Komponente, Instanz und Kerberos-Realmname. Das Format für den Namen des Kerberos-Service-Principals ist wie folgt: service/<vollständig qualifizierter Hostname>@KERBEROS_REALM.Servicename. Der Servicename ist der erste Teil des Kerberos-SPN. In WAS/test.austin.ibm.com@AUSTIN.IBM.COM, ist der Servicename beispielsweise WAS.

Information Wert
Datentyp String

Kerberos-Konfigurationsdatei mit vollständigem Pfad

Die Kerberos-Konfigurationsdatei, krb5.conf oder krb5.ini, enthält Clientkonfigurationsdaten, die unter anderem die Speicherpositionen für die KDCs (Key Distribution Center) des betreffenden Realms angeben. Die Datei "krb5.conf" wird für alle Plattformen mit Ausnahme des Betriebssystems Windows verwendet, für das die Datei "krb5.ini" verwendet wird.

Information Wert
Datentyp String

Name der Kerberos-Chiffrierschlüsseldatei mit vollständigem Pfad

Gibt den Namen der Kerberos-Chiffrierschlüsseldatei mit dem vollständigen Pfad an. Sie können auf Durchsuchen klicken, um diese Datei zu suchen. Wenn dieses Feld leer bleibt, wird der in der Kerberos-Konfigurationsdatei angegebene Chiffrierschlüsseldateiname verwendet.

Information Wert
Datentyp String

Kerberos-Realm vom Namen des Principals abtrennen

Gibt an, ob Kerberos das Suffix des Principal-Benutzernamens (ab dem Zeichen @) vor dem Kerberos-Realmnamen entfernt. Wenn dieses Attribut auf true gesetzt ist, wird das Suffix des Principal-Benutzernamens entfernt. Das Suffix des Principal-Namens bleibt erhalten, wenn dieses Attribut auf false gesetzt ist. Der verwendete Standardwert ist true.

Information Wert
Standardeinstellung Aktiviert

Übertragung der Kerberos-Berechtigungsnachweise aktivieren

Gibt an, ob die übertragenen Kerberos-Berechtigungsnachweise von der Kerberos-Authentifizierung im Subjekt gespeichert werden sollen.

Diese Option bietet einer Anwendung außerdem die Möglichkeit, die gespeicherten Berechtigungsnachweise abzurufen und an andere nachgeordnete Anwendungen für eine zusätzliche Kerberos-Authentifizierung mit dem Berechtigungsnachweis des Kerberos-Clients weiterzugeben.

Wenn dieser Parameter auf boolean: no gesetzt ist und die Laufzeitumgebung keinen übertragenen GSS-Clientberechtigungsnachweise extrahieren kann, wird eine Warnung protokolliert.

Information Wert
Standardeinstellung Aktiviert
[z/OS]

Kerberos-Principal-Namen SAF-Identitäten zuordnen

Gibt an, ob das integrierte Zuordnungsmodul verwendet werden soll, um einen Kerberos-Principal-Namen einer SAF-Identität unter z/OS zuzuordnen. Diese Option gilt nur, wenn die Registry des lokalen Betriebssystems die aktive Benutzerregistry ist.

Anmerkung: Es sind weitere Konfigurationsschritte erforderlich. Nähere Informationen finden Sie im Artikel [z/OS]Kerberos-Principal unter z/OS einer SAF-ID zuordnen.
Anmerkung: Die Option KERB-Segment eines SAF-Benutzerprofils verwenden verwendet den vollständigen Kerberos-Principal-Namen und Kerberos-Realm für die Zuordnung, unabhängig davon, auf welchen Wert das Feld Kerberos-Realm vom Namen des Principals abtrennen gesetzt ist.
Wählen Sie eines der folgnden Optionsfelder aus:
Anmerkung: Die Standardeinstellung ist SAF-Profile nicht für die Zuordnung von Kerberos-Principals zu SAF-Identitäten verwenden.
[z/OS]
Keine SAF-Profile für die Zuordnung von Kerberos-Principals zu SAF-Identitäten verwenden
Wählen Sie diese Option aus, wenn der Name des Kerberos-Principals bereits mit einem SAF-Benutzer übereinstimmt, sodass keine Zuordnung erforderlich ist, oder wenn ein JAAS-Anmeldemodul für die Durchführung der Zuordnung konfiguriert ist.
Anmerkung: Diese Schaltfläche ist nur sichtbar, wenn die aktive Benutzerregistry eine Registry des lokalen Betriebssystems (LocalOS) und die Plattform z/OS ist.
KERB-Segment eines SAF-Benutzerprofils verwenden
Wählen Sie diese Option aus, um einem SAF-Benutzer einen Kerberos-Principal zuzuordnen, wobei der Kerberos-Principal im KERB-Segment dieses SAF-Benutzersangegeben ist. Wenn diese Option ausgewählt wird, wird die angepasste Sicherheitseigenschaft "com.ibm.websphere.security.krb.useBuiltInMappingToSAF" auf true gesetzt.
Anmerkung: Diese Schaltfläche ist nur sichtbar, wenn die aktive Benutzerregistry eine Registry des lokalen Betriebssystems (LocalOS) und die Plattform z/OS ist. Diese Option verwendet den vollständigen Kerberos-Principal-Namen und Kerberos-Realm für die Zuordnung, unabhängig davon, auf welchen Wert das Feld "Kerberos-Realm vom Namen des Principals abtrennen" gesetzt ist.
RACMAP-Profile im SAF-Produkt für verteilte Identitätszuordnung verwenden
Wählen Sie diese Option aus, um einem SAF-Benutzer einen Kerberos-Principal zuzuordnen, wobei der Kerberos-Principal in den RACMAP-Profilen des SAF-Produkts angegeben ist. Zur Auswahl dieser Option muss das SAF-Produkt die verteilte Identitätszuordnung unterstützen. Wenn diese Option ausgewählt wird, wird die angepasste Sicherheitseigenschaft "com.ibm.websphere.security.krb.useRACMAPMappingToSAF" auf true gesetzt.
Anmerkung: Diese Schaltfläche ist nur sichtbar, wenn die aktive Benutzerregistry eine Registry des lokalen Betriebssystems (LocalOS) ist, die Zelle nicht heterogen ist und das z/OS-Sicherheitsprodukt die Zuordnung von SAF-Identitäten unterstützt (für RACF bedeutet dies z/OS Version 1.11 oder höher). Diese Option verwendet den vollständigen Kerberos-Principal-Namen und Kerberos-Realm für die Zuordnung, unabhängig davon, auf welchen Wert das Feld "Kerberos-Realm vom Namen des Principals abtrennen" gesetzt ist.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_kerb_auth_mech
Dateiname:usec_kerb_auth_mech.html