Konfigurationsbefehle für SPNEGO-Webauthentifizierung

Verwenden Sie wsadmin-Befehle, um Eigenschaften für den SPNEGO-Mechanismus (Simple and Protected GSS-API Negotiation) in der Sicherheitskonfiguration zu konfigurieren, zu dekonfigurieren, zu validieren oder anzuzeigen.

SPNEGO-Webauthentifizierung konfigurieren

Anmerkung: Sie müssen zuerst eine funktionsfähige Kerberos-Konfigurationsdatei und eine Kerberos-Chiffrierschlüsseldatei haben. Weitere Informationen finden Sie in den Artikeln, die sich mit der Erstellung von Kerberos-Konfigurationsdateien, Kerberos-SPNs (Service Principal Name) und Chiffrierschlüsseldateien befassen.

Verwenden Sie den Befehl configureSpnego, um SPNEGO als Webauthentifikator in der Sicherheitskonfiguration zu konfigurieren.

Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein, um Hilfe zu erhalten:

Wsadmin>$AdminTask help configureSpnego

Tabelle 1. Befehlsparameter. Den Befehl configureSpnego können Sie mit den folgenden Parametern verwenden:
Option Beschreibung
<enabled> Dieser Parameter ist optional. Er aktiviert die SPNEGO-Webauthentifizierung.
<dynamicReload> Dieser Parameter ist optional. Er aktiviert das dynamische Neuladen der Filter für die SPNEGO-Webauthentifizierung.
<allowAppAuthMethodFallback> Dieser Parameter ist optional. Er lässt die Zurücksetzung auf Authentifizierungsverfahren der Anwendung zu.
<krb5Config> Dies ist ein erforderlicher Parameter. Er gibt die Verzeichnisposition und den Dateinamen der Konfigurationsdatei (krb5.ini bzw. krb5.conf) an.
<krb5Keytab> Dieser Parameter ist optional. Er gibt die Verzeichnisposition und den Dateinamen der Kerberos-Chiffrierschlüsseldatei an. Wenn Sie diesen Parameter nicht angeben, wird der Standardchiffrierschlüssel aus der Kerberos-Konfigurationsdatei verwendet.
Anmerkung: WebSphere-Variablen können verwendet werden, um die krb5Config- und krb5Keytab-Dateipfade anzugeben. Wenn Sie eine heterogene Plattformumgebung haben, können Sie eine Variable ${CONF_OR_INI} für die Kerberos-Konfigurationsdatei verwenden. Die Sicherheitskonfiguration erweitert die Variable zu in "ini" für Windows-Plattformen und in "conf" für andere als Windows-Plattformen. Beispiel:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Anmerkung: Die Befehle configureSpnego und validateSpnegoConfig prüfen die Dateien "krb5Config" und "krb5Keytab" nur, wenn SPNEGO aktiviert ist. Wenn SPNEGO nicht aktiviert ist, stellen diese Befehle nur sicher, dass die Dateien "krb5Config" und "krb5Keytab" vorhanden sind. Auf diese Weise können Sie SPNEGO ohne Aktivierung konfigurieren.

SPNEGO-Webauthentifizierung dekonfigurieren

Verwenden Sie den Befehl unconfigureSpnego, um die SPNEGO-Webauthentifizierung in der Sicherheitskonfiguration zu dekonfigurieren.

Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein, um Hilfe zu erhalten:

wsadmin>$AdminTask help unconfigureSpnego

SPNEGO-Webauthentifizierung anzeigen

Verwenden Sie den Befehl showSPNEGO, um die SPNEGO-Webauthentifizierung in der Sicherheitskonfiguration anzuzeigen.

Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein, um Hilfe zu erhalten:

wsadmin>$AdminTask help showSpnego

Kerberos-Konfiguration validieren

Verwenden Sie den Befehl validateKrbConfig, um in der globalen Sicherheitsdatei security.xml oder die als Eingabeparameter angegebenen Kerberos-Konfigurationsdaten zu validieren.

Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein, um Hilfe zu erhalten:

wsadmin>$AdminTask help validateKrbConfig

Den Befehl "validateKrbConfig" können Sie mit den folgenden Parametern verwenden:
Tabelle 2. Befehlsparameter.

In dieser Tabelle sind die Parameter für den Befehl "validateKrbConfig" beschrieben.

Option Beschreibung
<checkConfigOnly> Prüft die Kerberos-Konfiguration ohne Validierung. Sie müssen für diese Prüfung die globale Sicherheit verwenden.
<useGlobalSecurityConfig> Verwendet die Konfigurationsdatei für die globale Sicherheit, security.xml, anstelle von Eingabeparametern.
<validateKrbRealm> Validiert den Kerberos-Realm im Vergleich mit dem Kerberos-Realm in der Kerberos-Konfigurationsdatei (krb5.ini bzw. krb5.conf).
<serverId> Gibt die Serveridentität an, die für interne Prozesskommunikation verwendet wird.
<serverIdPassword> Gibt das Kennwort an, das für die Serveridentität verwendet wird.
<krb5Spn> Gibt den Namen des Kerberos-Service-Principals in der Kerberos-Chiffrierschlüsseldatei an.
<krb5Config > Dies ist ein erforderlicher Parameter. Er gibt die Verzeichnisposition und den Dateinamen der Konfigurationsdatei (krb5.ini bzw. krb5.conf) an.
<krb5Keytab> Dieser Parameter ist optional. Er gibt die Verzeichnisposition und den Dateinamen der Kerberos-Chiffrierschlüsseldatei an. Wenn Sie diesen Parameter nicht angeben, wird der Standardchiffrierschlüssel aus der Kerberos-Konfigurationsdatei verwendet.
<krb5Realm > Dies ist ein erforderlicher Parameter. Er gibt den Wert für den Kerberos-Realmnamen an.
Anmerkung: WebSphere-Variablen können verwendet werden, um die krb5Config- und krb5Keytab-Dateipfade anzugeben. Wenn Sie eine heterogene Plattformumgebung haben, können Sie eine Variable ${CONF_OR_INI} für die Kerberos-Konfigurationsdatei verwenden. Die Sicherheitskonfiguration erweitert die Variable auf ini für Windows-Plattformen bzw. auf conf für andere Plattformen als Windows. Beispiel:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Anmerkung: Zum Validieren der Kerberos-Konfiguration in der globalen Sicherheitskonfigrationsdatei security.xml führen Sie validateKrbConfig ohne Parameter oder mit dem Parameter useGlobalSecurityConfig aus, der auf true gesetzt ist. Zum Validieren der Kerberos-Konfiguration mit Eingabeparametern setzen Sie useGlobalSecurityConfig und checkConfigOnly auf false, und geben Sie Werte für krb5Spn, krb5Config, krb5Keytab und krb5Realm an.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_auth_commands
Dateiname:rsec_SPNEGO_auth_commands.html