Die Kerberos-Konfigurationsdatei

Die Datei mit den Kerberos-Konfigurationseigenschaften, krb5.ini bzw. krb5.conf, muss in jeder Instanz von WebSphere Application Server in einer Zelle konfiguriert werden, damit Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) Trust Association Interceptor (TAI) für WebSphere Application Server verwendet werden kann.

Veraltetes Feature Veraltetes Feature: In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. Diese Funktion wird in WebSphere Application Server 7.0 nicht weiter unterstützt. Die SPNEGO-Webauthentifizierung wird jetzt genutzt, um SPNEGO-Filter dynamisch neu zu laden und den Rückgriff auf die Methode der Anwendungsanmeldung zu ermöglichen.depfeat
Der Standardname der Kerberos-Konfigurationsdatei für Windows ist "krb5.ini". Für andere Plattformen lautet der Standardname der Kerberos-Konfigurationsdatei "krb5.conf". Die Standardposition der Kerberos-Konfigurationsdatei ist nachfolgend angegeben:
Tabelle 1. Standardpositionen für die Kerberos-Konfigurationsdatei. In dieser Tabelle werden die Standardpositionen für die Kerberos-Konfigurationsdatei beschrieben.
Betriebssystem Standardposition
Windows c:\winnt\krb5.ini
Anmerkung: Wenn sich die Datei krb5.ini nicht im Verzeichnis c:\winnt befindet, ist sie möglicherweise im Verzeichnis c:\windows enthalten.
Linux /etc/krb5.conf
Andere UNIX-basierte Plattformen /etc/krb5/krb5.conf
z/OS /etc/krb5/krb5.conf
IBM i /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf
Anmerkung: Wenn Sie die Standardposition und den Standardnamen der Kerberos-Konfigurationsdatei nicht verwenden, müssen Sie die *.krb5ConfigFile-Eigenschaft in den Dateien soap.client.prop, ipc.client.props und sas.client.props aktualisieren. Wenn bei der programmgesteuerten Anmeldung des Clients das WSKRBLogin-Modul verwendet wird, müssen Sie ebenfalls die JVM-Eigenschaft java.security.krb5.conf setzen.

Wenn Sie für SPNEGO TAI nicht die Standardposition und den Standardnamen der Kerberos-Konfigurationsdatei verwenden, müssen Sie die JVM-Eigenschaft java.security.krb5.conf angeben.

Die Kerberos-Standardkonfigurationsdatei unter Windows ist /winnt/krb5.ini und in einer verteilten Umgebung /etc/krb5. Wenn Sie einen anderen Standortpfad angeben, müssen Sie auch die JVM-Eigenschaft java.security.krb5.conf angeben.

Wenn Sie für Ihre Datei krb5.conf beispielsweise den Pfad /opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf angegeben haben, müssen Sie auch -Djava.security.krb5.conf=/opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf angeben.

Für die Suche der Kerberos-Konfigurationsdatei verwendet der WebSphere-Laufzeitcode die folgende Reihenfolge:
  1. Von der Java™-Eigenschaft java.security.krb5.conf referenzierte Datei
  2. <java.home>/lib/security/krb5.conf
  3. c:\winnt\krb5.ini auf Microsoft Windows-Plattformen
  4. /etc/krb5/krb5.conf auf UNIX-Plattformen
  5. /etc/krb5.conf auf Linux-Plattformen.
Verwenden Sie zum Konfigurieren des SPNEGO TAI für WebSphere Application Server wie folgt das Dienstprogramm wsadmin:
  1. Starten Sie WebSphere Application Server.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Starten Sie das Befehlszeilendienstprogramm mit dem Befehl wsadmin im Verzeichnis Anwendungsserver-Stammverzeichnis/bin.
  3. [IBM i]Starten Sie das Befehlszeilendienstprogramm in der Qshell-Befehlszeile mit dem Befehl wsadmin im Verzeichnis Anwendungsserver-Stammverzeichnis/bin.
  4. Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:
    $AdminTask createKrbConfigFile
    Diesen Befehl können Sie mit den folgenden Parametern verwenden:
    Tabelle 2. Befehlsparameter. In dieser Tabelle werden die Parameter für den Befehl "$AdminTask createKrbConfigFile" beschrieben.
    Option Beschreibung
    <krbPath> Dies ist ein erforderlicher Parameter. Er gibt den vollständig qualifizierten Dateisystempfad der Kerberos-Konfigurationsdatei (krb5.ini oder krb5.conf) an.
    <realm> Dies ist ein erforderlicher Parameter. Er gibt den Kerberos-Realmnamen an. Der Wert dieses Attributs wird vom SPNEGO TAI verwendet, um den Kerberos-Service-Principal-Namen für jeden der Hosts zu bilden, der mit der Eigenschaft "com.ibm.ws.security.spnego.SPNid.hostName" angegeben wurde.
    <kdcHost> Dies ist ein erforderlicher Parameter. Er gibt den Hostnamen des Kerberos-KDC (Key Distribution Center) an.
    <kdcPort> Dieser Parameter ist optional. Er gibt die Portnummer des KDC an. Wenn kein Wert angegeben ist, wird der Standardport 88 verwendet.
    <dns> Dies ist ein erforderlicher Parameter. Er gibt den Standard-DNS (Domain Name Service) für die Erzeugung eines vollständig qualifizierten Hostnamens an.
    <keytabPath> Dies ist ein erforderlicher Parameter. Er gibt den Dateisystempfad der Kerberos-Chiffrierschlüsseldatei an.
    <encryption> Dieser Parameter ist optional. Er gibt die Liste der unterstützten Verschlüsselungstypen mit Leerzeichen als Trennzeichen an. Der angegebene Wert wird für default_tkt_enctypes und default_tgs_enctypes verwendet. Falls kein Wert angegeben ist, werden die Standardverschlüsselungstypen des-cbc-md5 und rc4-hmac verwendet.

Im folgenden Beispiel erstellt wsadmin die Datei krb5.ini im Verzeichnis c:\winnt. Die Standard-Kerberos-Chiffrierschlüsseldatei befindet sich ebenfalls im Verzeichnis c:\winnt. Der Name des Kerberos-Realm ist WSSEC.AUSTIN.IBM.COM und der KDC-Hostname lautet host1.austin.ibm.com.

wsadmin>$AdminTask createKrbConfigFile {-krbPath 
c:\winnt\krb5.ini -realm WSSEC.AUSTIN.IBM.COM -kdcHost host1.austin.ibm.com
 -dns austin.ibm.com -keytabPath c:\winnt\krb5.keytab}
Der vorherige wsadmin-Befehl erstellt eine Datei krb5.ini wie die folgende:
[libdefaults]
 default_realm = WSSEC.AUSTIN.IBM.COM
        default_keytab_name = FILE:c:\winnt\krb5.keytab
        default_tkt_enctypes = des-cbc-md5 rc4-hmac
        default_tgs_enctypes = des-cbc-md5 rc4-hmac
[realms]
        WSSEC.AUSTIN.IBM.COM = {
  kdc = host1.austin.ibm.com:88
              default_domain = austin.ibm.com
}
[domain_realm]
        .austin.ibm.com = WSSEC.AUSTIN.IBM.COM
Achtung:
  • [AIX Solaris HP-UX Linux Windows][IBM i]Eine Kerberos-Chiffrierschlüsseldatei enthält eine Liste von Schlüsseln, die zu Benutzerkennwörtern analog sind. Hosts müssen ihre Kerberos-Chiffrierschlüsseldateien unbedingt schützen. Dazu werden sie auf der lokalen Festplatte gespeichert. Die Dateiberechtigung für krb5.conf muss "644" lauten, d. h., Sie können die Datei lesen und schreiben. Mitglieder der Gruppe, zu der die Datei gehört, und alle anderen Benutzer können die Datei jedoch nur lesen.
  • [z/OS]Eine Kerberos-Chiffrierschlüsseldatei enthält eine Liste von Schlüsseln, die zu Benutzerkennwörtern analog sind. Hosts müssen ihre Kerberos-Chiffrierschlüsseldateien unbedingt schützen. Dazu werden sie auf der lokalen Festplatte gespeichert. Die Dateiberechtigung für krb5.conf muss "644" lauten, d. h., Sie können die Datei lesen und schreiben. Mitglieder der Gruppe, zu der die Datei gehört, und alle anderen Benutzer können die Datei jedoch nur lesen. Die Benutzer-ID, unter der Adjunct, Steuerung und Servants ausgeführt werden, muss Lesezugriff auf die Dateien krb5.conf und krb5.keytab haben.
  • Wenn die Laufzeit die default_tkt_enctypes- oder default_tgs_enctypes-Einträge in der Datei krb5.ini nicht lesen kann, ihre Werte nicht vorhanden sind oder nicht unterstützt werden, wird standardmäßig der Wert DES-CBC-MD5 verwendet.
[IBM i]Die Konfigurationsdatei "krb5.conf" unterstützt Trigraphen für die Darstellung der Zeichen {, }, [, und ]. Diese Zeichen richten sich nach der definierten Sprache. Die nativ generierten Chiffrierschlüssel können vom Kerberos-Client nicht gelesen werden. Wenn Sie Schwierigkeiten mit der Konfiguration von SPNEGO TAI über die native Datei "krb5.conf" oder "krb5.keytab" haben, verwenden Sie eines der folgenden Szenarien, um das Trigraphproblem zu beheben:
  • Ersetzen Sie die Trigraphen in der Datei "krb5.conf" durch die Zeichen, die sie darstellen.
  • Verwenden Sie die Datei "krb5.conf", die von WebSphere Application Server generiert wird.
  • Verwenden Sie eine von Microsoft Windows bzw. KDC (Key Distribution Center) generierte Chiffrierschlüsseldatei.

Die Kerberos-Konfigurationseinstellungen, der Name des Kerberos Key Distribution Center (KDC) und die Realmeinstellungen für den SPNEGO TAI werden in der Kerberos-Konfigurationsdatei oder von den Systemeigenschaftendateien java.security.krb5.kdc und java.security.krb5.realm angegeben.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_config_krb5
Dateiname:rsec_SPNEGO_config_krb5.html