Kerberos als Authentifizierungsverfahren für WebSphere Application Server konfigurieren

Sie müssen die folgenden Schritte ausführen, um Kerberos als Authentifizierungsverfahren für WebSphere Application Server zu konfigurieren.

Informationen zu diesem Vorgang

Anmerkung: Die Konfiguration der Kerberos-Authentifizierung auf Serverseite muss vom Systemadministrator und auf Java™-Clientseite von Endbenutzern vorgenommen werden. Die Kerberos-Chiffrierschlüsseldatei muss geschützt werden.

Zuerst müssen Sie sicherstellen, dass ein KDC konfiguriert ist. Weitere Informationen finden Sie im Administrator- und Benutzerhandbuch für Kerberos.

[z/OS]Zum Konfigurieren eines KDC unter z/OS müssen Sie die Klasse APPL in RACF aktivieren. Diese Aktion beeinflusst die Aktivierung des für WebSphere definierten APPL-Klassenprofils und schränkt möglicherweise die Fähigkeit authentifizierter Benutzer ein, auf Anwendungen zuzugreifen, die in WebSphere ausgeführt werden. Wenn in Ihrer Sicherheitskonfiguration ein SAF-Profilpräfix verwendet wird, ist der Profilname das SAF-Profilpräfix. Wenn nicht, ist der Profilname CBS390. Um zu steuern, ob das APPL-Profil bezüglich der WebSphere-Berechtigung geprüft wird, können Sie das Kontrollkästchen "APPL-Profil verwenden, um den Zugriff auf den Server einzuschränken" in der Anzeige "SAF-Berechtigung" der Administrationskonsole verwenden. Diese Einstellung kann für eine WebSphere-Sicherheitsdomäne konfiguriert werden.

Fehler vermeiden Fehler vermeiden: Bei der Konfiguration der envar-Datei für ein z/OS-Key-Distribution-Center müssen Sie die Verschlüsselungstypen für die Variable SKDC_TKT_ENCTYPES nach Sicherheit ordnen. Das z/OS-Key-Distribution-Center verwendet vorzugsweise die Verschlüsselungstypen, die in der Liste zuerst aufgeführt werden, von links nach rechts.gotcha

Sie müssen die folgenden Schritte ausführen, um Kerberos als Authentifizierungsverfahren für WebSphere Application Server zu konfigurieren.

Vorgehensweise

  1. Kerberos-Service-Principal-Namen und eine Chiffrierschlüsseldatei erstellen.
    1. Für die Erstellung eines Kerberos-Service-Principal-Namens und einer Chiffrierschlüsseldatei können Sie die KDCs (Key Distribution Center) der Betriebssysteme von Microsoft Windows, iSeries, Linux, Solaris, Massachusetts Institute of Technology (MIT) und z/OS verwenden. Kerberos bevorzugt die Verwendung hostbasierter Services-IDs für Server und Services. Diese ID hat das Format <Servicename>/<vollständig qualifizierter Hostname>. Der Standardservicename ist WAS. Für die Kerberos-Authentifizierung kann der Servicename eine beliebige Zeichenfolge sein, die im KDC zulässig ist. Für die SPNEGO-Webauthentifizierung muss jedoch der Servicename HTTP verwendet werden. Ein Beispiel für eine WebSphere Application Server-ID ist WAS/myhost.austin.ibm.com.

      Jeder Host muss eine für den Hostnamen eindeutige Server-ID haben. Alle Prozesse auf einem Knoten verwenden dieselbe hostbasierte Service-ID.

      Ein Kerberos-Administrator erstellt einen Kerberos-Service-Principal-Namen (SPN) für jeden Knoten in der WebSphere-Zelle. Für eine Zelle mit drei Knoten (z. B. server1.austin.ibm.com, server2.austin.ibm.com und server3.austin.ibm.com) muss der Kerberos-Administrator beispielsweise die folgenden Kerberos-Service-Principals erstellen: WAS/server1.austin.ibm.com, WAS/server2.austin.ibm.com und WAS/server3.austin.ibm.com.

      Die Kerberos-Chiffrierschlüsseldatei krb5.keytab enthält alle SPNs für den Knoten und muss geschützt werden. Diese Datei kann in das Verzeichnis config/cells/<Zellenname> gestellt werden.

      Weitere Informationen finden Sie im Artikel "Kerberos-Principal und Chiffrierschlüssel erstellen".

  2. Kerberos-Konfigurationsdatei erstellen
    1. Die IBM® Implementierung von Java Generic Security Service (JGSS) und KRB5 erfordert eine Kerberos-Konfigurationsdatei (krb5.conf oder krb5.ini) auf jedem Knoten bzw. in jeder Java Virtual Machine (JVM). In diesem Release von WebSphere Application Server muss diese Konfigurationsdatei in das Verzeichnis config/cells/<Zellenname> kopiert werden, damit alle Anwendungsserver auf diese Datei zugreifen können. Wenn Sie keine Kerberos-Konfigurationsdatei haben, erstellen Sie eine mit einem wsadmin-Befehl. Weitere Informationen finden Sie im Artikel "Kerberos-Konfiguration erstellen".
  3. Kerberos als Authentifizierungsverfahren für WebSphere Application Server über die Administrationskonsole konfigurieren
    1. Verwenden Sie die Administrationskonsole, um Kerberos als Authentifizierungsverfahren für den Anwendungsserver zu konfigurieren. Wenn Sie die erforderlichen Informationen für die Konfiguration eingegeben und angewendet haben, wird der Kerberos-SPN wie folgt geformt: <Servicename>/<vollständig qualifizierter Hostname>@KerberosRealm. Dieser Name wird verwendet, um eingehende Kerberos-Tokenanforderungen zu prüfen. Weitere Informationen finden Sie im Artikel "Kerberos als Authentifizierungsverfahren über die Administrationskonsole konfigurieren".
  4. Kerberos-Client-Principal-Namen zur WebSphere-Benutzerregistry-ID zuordnen.
    1. Die Zuordnung des Namens des Kerberos-Client-Principal zur ID für die WebSphere-Benutzerregistry ist sowohl für die SPNEGO-Webauthentifizierung (Simple and Protected GSS-API Negotiation) als auch für die Kerberos-Authentifizierung möglich. Weitere Informationen finden Sie im Artikel "Kerberos-Client-Principal-Namen der ID für die WebSphere-Benutzerregistry zuordnen".

      [z/OS]Sie können einer SAF-Identität (System Authorization Facility) unter z/OS optional einen Kerberos-Principal zuordnen.

      [z/OS]Wenn Sie das Optionsfeld KERB-Segment eines SAF-Benutzerprofils in der Kerberos-Anzeige der Administrationskonsole von WebSphere Application Server auswählen, müssen die Benutzer Ihres lokalen Betriebssystems einem bestimmten Kerberos-Principal zugeordnet werden. Nähere Informationen finden Sie im Artikel Kerberos-Principal unter z/OS einer SAF-ID zuordnen.

  5. Kerberos als Authentifizierungsverfahren für den reinen Java-Client konfigurieren (optional)
    1. Ein Java-Client kann sich bei WebSphere Application Server mit einem Kerberos-Principal-Namen und einem Kennwort oder mit dem Kerberos-Cache für Berechtigungsnachweise (krb5Ccache) authentifizieren. Weitere Informationen finden Sie im Artikel "Java-Client für die Kerberos-Authentifizierung konfigurieren".

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_setup
Dateiname:tsec_kerb_setup.html