Mit dem Befehl ktab die Kerberos-Chiffrierschlüsseldatei verwalten
Mit dem Kerberos-Befehl "ktab" (Key Table Manager) kann der Produktadministrator Principal-Namen und Schlüssel für den Kerberos-Service verwalten, die in einer lokalen Kerberos-Chiffrierschlüsseldatei gespeichert sind. Mit IBM Software Development Kit (SDK) oder Sun Java Development Kit (JDK) 1.6 oder höher können Sie den Befehl "ktab" verwenden, um zwei Kerberos-Chiffrierschlüsseldateien zusammenzuführen.
Zum Zusammenführen der ktab-Dateien müssen Sie den kumulativen
Fix Java Development Kit (JDK) Version 1.6 SR3 installieren, der das JDK auf Version 1.6.0_07 aktualisiert.
Zum Zusammenführen der
ktab-Dateien müssen Sie den kumulativen Fix Software Development Kit (SDK) Version 1.6
SR3 installieren, der das JDK auf Version 1.6.0.02 aktualisiert.
Zum Zusammenführen der ktab-Dateien müssen Sie den kumulativen Fix
Java Development Kit (JDK) Version 1.6 SR3 installieren, der das
SDK auf Version 1.6.0 Java Technology Edition SR3 aktualisiert.

In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. Diese Funktion gilt ab WebSphere Application Server Version 7.0 als veraltet.
Stattdessen wird jetzt die SPNEGO-Webauthentifizierung genutzt, die folgende Verbesserungen bietet:
- Über die Administrationskonsole können Sie die SPNEGO-Webauthentifizierung und Filter für die Serverseite von WebSphere Application Server konfigurieren und aktivieren.
- Das dynamische Neuladen des SPNEGO erfordert nicht mehr, dass der Server von WebSphere Application Server gestoppt und neu gestartet werden muss.
- Wenn die SPNEGO-Webauthentifizierung scheitert, kann auf eine Anwendungsanmeldemethode zurückgegriffen werden.
- Es ist wichtig, die Chiffrierschlüsseldateien so zu schützen, dass sie nur von berechtigten Produktbenutzern gelesen werden können.
- Wird die Kerberos-Chiffrierschlüsseldatei mit Ktab aktualisiert, wirkt sich dies nicht auf die Kerberos-Datenbank aus. Wenn Sie die Schlüssel in der Kerberos-Chiffrierschlüsseldatei ändern, müssen Sie die entsprechenden Änderungen auch in der Kerberos-Datenbank vornehmen.
$ ktab -help
Syntax: java com.ibm.security.krb5.internal.tools.Ktab [Optionen]
Verfügbare Optionen:
-l Namen und Einträge der Chiffrierschlüsseldatei auflisten
-a <Principal-Name> [Kennwort] Eintrag zur Chiffrierschlüsseldatei hinzufügen
-d <Principal-Name> Eintrag aus der Chiffrierschlüsseldatei löschen
-k <Name_des_Chiffrierschlüssels> Namen und Pfad der Chiffrierschlüsseldatei mit Präfix "FILE:" angeben
-m <Name_der_Quellenchiffrierschlüsseldatei> <Name_der_Zielchiffrierschlüsseldatei> Namen der Quellen- und Zielchiffrierschlüsseldateien für die Zusammenführung angeben
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Merging keytab files: source=krb5Host1.keytab destination=krb5.keytab
Done!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
[root@wssecjibe bin]# ./ktab -a
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Done!
Service key for principal HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM saved
[root@wssecjibe bin]# ./ktab
KVNO Principal
---- ---------
1 HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf
/etc/krb5.keytab
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)