Sie müssen auf Ihrer Microsoft-Domänencontrollermaschine einen
Kerberos-Service-Principal-Name (SPN) und eine Chiffrierschlüsseldatei erstellen,
damit HTTP-Anforderungen mit der Webauthentifizierung
Simple and Protected GSS-API Negotiation Mechanism
(SPNEGO) für WebSphere® Application Server unterstützt werden.
Vorbereitende Schritte
Konfigurieren Sie
den Microsoft Windows-Server, auf dem der Active Directory-Domänencontroller und das zugehörige Kerberos-Key-Distribution-Center (KDC) ausgeführt werden.
Vorgehensweise
- Erstellen Sie für WebSphere Application Server ein Benutzerkonto in
Microsoft Active Directory. Dieses Konto wird später dem Kerberos-Service-Principal-Name (SPN)
zugeordnet.
- Verwenden Sie die Maschine mit
Microsoft Active Directory, auf der das
Kerberos-Key-Distribution-Center (KDC) aktiv ist, um das Benutzerkonto dem Kerberos-SPN zuzuordnen. Dieses Benutzerkonto stellt WebSphere Application Server als
Kerberos-Service beim KDC dar. Verwenden Sie den
Microsoft-Befehl
setspn, um den Namen des Kerberos-Service-Principals einem
Microsoft-Benutzerkonto zuzuordnen.
- Erstellen Sie die
Kerberos-Chiffrierschlüsseldatei und stellen Sie sie für WebSphere Application Server zur Verfügung.
Verwenden Sie das Microsoft-Tool ktpass, um die
Kerberos-Chiffrierschlüssel (krb5.keytab) zu erstellen.
Die Chiffrierschlüsseldatei wird für
WebSphere Application Server verfügbar gemacht, indem die Datei
krb5.keytab vom Domänencontroller (von der LDAP-Maschine) auf die Maschine mit
WebSphere Application
Server kopiert wird. Weitere
Informationen finden Sie im Artikel Kerberos-Service-Principal-Namen und eine Chiffrierschlüsseldatei erstellen.
Ergebnisse
Das Produkt kann die Kerberos-Chiffrierschlüsseldatei verwenden, die die
Schlüssel des Kerberos-Service-Principals enthält, mit denen der Benutzer in Microsoft Active Directory und im Kerberos-Konto authentifiziert wird.