Befehle für Kerberos-Authentifizierung

Verwenden Sie wsadmin-Befehle, um Kerberos als Authentifizierungsverfahren für WebSphere Application Server zu erstellen, zu ändern oder zu löschen.

Kerberos-Authentifizierungsverfahren erstellen

Anmerkung:

Die folgenden Punkte werden vorausgesetzt, wenn Sie versuchen, mit dem Befehl createKrbAuthMechanism das Feld für das Sicherheitsobjekt des KRB5-Authentifizierungsverfahrens in der Sicherheitskonfigurationsdatei zu erstellen:

  • Falls Sie noch keine Kerberos-Konfigurationsdatei (krb5.ini oder krb5.conf) haben, erstellen Sie sie mit dem Befehl createkrbConfigFile. Weitere Informationen finden Sie im Artikel "Kerberos-Konfigurationsdatei erstellen".
  • Sie müssen eine Kerberos-Chiffrierschlüsseldatei (krb5.keytab) haben, die für jede Maschine, auf der WebSphere-Anwendungsserver ausgeführt werden, einen Kerberos-SPN (Service-Principal-Namen) im Format <Servicename>/<vollständig qualifizierter Hostname>@KerberosRealm enthält. Der Servicename kann ein beliebiger Name sein. Standardmäßig wird WAS verwendet.

    Wenn Sie beispielsweise zwei Anwendungsservermaschinen, host1.austin.ibm.com und host2.austin.ibm.com, haben, muss die Kerberos-Chiffrierschlüsseldatei die SPNs <Servicename>/host1.austin.ibm.com und Servicename>/host2.austin.ibm.com sowie die zugehörigen Kerberos-Schlüssel enthalten.

Verwenden Sie den Befehl createKrbAuthMechanism, um das Feld für das Sicherheitsobjekt des KRB5-Authentifizierungsverfahrens in der Sicherheitskonfigurationsdatei zu erstellen.

Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:

$AdminTask help createKrbAuthMechanism
Tabelle 1. Befehlsparameter. Den Befehl createKrbAuthMechanism können Sie mit den folgenden Parametern verwenden.
Option Beschreibung
<krb5Realm> Dieser Parameter ist optional. Er gibt den Namen des Kerberos-Realms an. Wenn Sie diesen Parameter nicht angeben, wird der Standardname des Kerberos-Realms aus der Kerberos-Konfigurationsdatei verwendet.
<krb5Config> Dies ist ein erforderlicher Parameter. Er gibt die Verzeichnisposition und den Dateinamen der Konfigurationsdatei (krb5.ini bzw. krb5.conf) an.
<krb5Keytab> Dieser Parameter ist optional. Er gibt die Verzeichnisposition und den Dateinamen der Kerberos-Chiffrierschlüsseldatei an. Wenn Sie diesen Parameter nicht angeben, wird der Standardchiffrierschlüssel aus der Kerberos-Konfigurationsdatei verwendet.
<Servicename> Dies ist ein erforderlicher Parameter. Er zeigt den Namen des Kerberos-Service an. Der Standardservicename ist WAS.
<trimUserName> Dieser Parameter ist optional. Er entfernt das Suffix aus dem Principal-Benutzernamen ab dem Zeichen "@" vor dem Namen des Kerberos-Realms. Dieser Parameter ist optional. Der Standardwert ist true.
[z/OS]Anmerkung: Sie müssen dieses Feld auf true setzen, wenn Sie die Registry des lokalen Betriebssystems (LocalOS) unter z/OS verwenden und das Kontrollkästchen KERB-Segment eines SAF-Benutzerprofils verwenden auswählen, um SAF-Identitäten Kerberos-Principals zuzuordnen.
<enabledGssCredDelegate> Dieser Parameter ist nicht erforderlich. Zeigt an, ob der GSS-Delegierungsberechtigungsnachweis des Clients extrahiert und im Subjekt festgelegt werden soll. Der Standardwert ist true.
<allowKrbAuthForCsiInbound> Dieser Parameter ist optional. Er aktiviert das Kerberos-Authentifizierungsverfahren für eingehende CSI-Transporte (Common Secure Interoperability). Der Standardwert ist true.
<allowKrbAuthForCsiOutbound> Dies ist ein erforderlicher Parameter. Er aktiviert das Kerberos-Authentifizierungsverfahren für abgehende CSI-Transporte. Der Standardwert ist true.
Anmerkung: Der Name der Kerberos-Konfigurationsdatei und der Pfad der Kerberos-Chiffrierschlüsseldatei müssen keine absoluten Pfade sein. Sie können stattdessen WebSphere-Variablen für die Pfade verwenden. Wenn Sie eine heterogene Plattformumgebung haben, können Sie eine Variable ${CONF_OR_INI} für die Kerberos-Konfigurationsdatei verwenden. Die Sicherheitskonfiguration erweitert die Variable zu in "ini" für Windows-Plattformen und in "conf" für andere als Windows-Plattformen. Beispiel:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Es folgt ein Beispiel für den Befehl createKrbAuthMechanism:
wsadmin>$AdminTask createKrbAuthMechanism { 
		-krb5Realm  WSSEC.AUSTIN.IBM.COM 
				-krb5Config C:\\WINNT\\krb5.ini 
				-krb5Keytab C:\\WINNT\\krb5.keytab 
				-serviceName WAS }

Kerberos-Authentifizierungsverfahren ändern

Verwenden Sie den Befehl modifyKrbAuthMechanism, um das Feld für das Sicherheitsobjekt des KRB5-Authentifizierungsverfahrens in der Sicherheitskonfigurationsdatei zu ändern.

Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:

$AdminTask help modifyKrbAuthMechanism
Tabelle 2. Befehlsparameter. Den Befehl modifyKrbAuthMechanism können Sie mit den folgenden Parametern verwenden.
Option Beschreibung
<krb5Realm> Dieser Parameter ist optional. Er gibt den Namen des Kerberos-Realms an. Wenn Sie diesen Parameter nicht angeben, wird der Standardname des Kerberos-Realms aus der Kerberos-Konfigurationsdatei verwendet.
<krb5Config> Dies ist ein erforderlicher Parameter. Er gibt die Verzeichnisposition und den Dateinamen der Konfigurationsdatei (krb5.ini bzw. krb5.conf) an.
<krb5Keytab> Dieser Parameter ist optional. Er gibt die Verzeichnisposition und den Dateinamen der Kerberos-Chiffrierschlüsseldatei an. Wenn Sie diesen Parameter nicht angeben, wird der Standardchiffrierschlüssel aus der Kerberos-Konfigurationsdatei verwendet.
<Servicename> Dies ist ein erforderlicher Parameter. Er zeigt den Namen des Kerberos-Service an. Der Standardservicename ist WAS.
<trimUserName> Dieser Parameter ist optional. Er entfernt das Suffix aus dem Principal-Benutzernamen ab dem Zeichen "@" vor dem Namen des Kerberos-Realms. Dieser Parameter ist optional. Der Standardwert ist true.
<enabledGssCredDelegate> Dieser Parameter ist nicht erforderlich. Mit diesem Parameter können Sie angeben,k ob der Kerberos- und GSS-Delegierungsberechtigungsnachweis des Clients extrahiert und in das Kerberos-Authentifizierungstoken (KRBAuthnToken) eingefügt werden soll. Der Standardwert ist true.
Anmerkung: Wenn Sie diesen Parameter auf true setzen und die Laufzeitumgebung den Kerberos-GSS-Delegierungsberechtigungsnachweis nicht extrahieren kann, protokolliert die Laufzeitumgebung eine Warnung.
<allowKrbAuthForCsiInbound> Dieser Parameter ist optional. Er aktiviert das Kerberos-Authentifizierungsverfahren für eingehende CSI-Transporte (Common Secure Interoperability). Der Standardwert ist true.
<allowKrbAuthForCsiOutbound> Dieser Parameter ist optional. Er aktiviert das Kerberos-Authentifizierungsverfahren für abgehende CSI-Transporte. Der Standardwert ist true.
Anmerkung: Der Name der Kerberos-Konfigurationsdatei und der Pfad der Kerberos-Chiffrierschlüsseldatei müssen keine absoluten Pfade sein. Sie können stattdessen WebSphere-Variablen für die Pfade verwenden. Wenn Sie eine heterogene Plattformumgebung haben, können Sie eine Variable ${CONF_OR_INI} für die Kerberos-Konfigurationsdatei verwenden. Die Sicherheitskonfiguration erweitert die Variable zu in "ini" für Windows-Plattformen und in "conf" für andere als Windows-Plattformen. Beispiel:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}

Es folgt ein Beispiel für den Befehl modifyKrbAuthMechanism:

wsadmin>$AdminTask modifyKrbAuthMechanism {
			-krb5Realm  WSSEC.AUSTIN.IBM.COM 
					-krb5Config C:\\WINNT\\krb5.ini 
					-krb5Keytab C:\\WINNT\\krb5.keytab 
					-serviceName WAS }

Kerberos-Authentifizierungsverfahren löschen

Verwenden Sie den Befehl deleteKrbAuthMechanism, um das Feld für das Sicherheitsobjekt des KRB5-Authentifizierungsverfahrens in der Sicherheitskonfigurationsdatei zu entfernen.

Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:

$AdminTask help deleteKrbAuthMechanism

Es folgt ein Beispiel für den Befehl deleteKrbAuthMechanism:

		wsadmin>$AdminTask deleteKrbAuthMechanism

Aktives Kerberos-Authentifizierungsverfahren definieren

Verwenden Sie den Befehl setActiveAuthMechanism, um das aktive Attribut des Authentifizierungsverfahrens in der Sicherheitskonfiguration zu definieren.

Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:

$AdminTask help setActiveAuthMechanism
Tabelle 3. Befehlsparameter. Den Befehl setActiveAuthMechanism können Sie mit dem folgenden Parameter verwenden.
Option Beschreibung
<authMechanismType> Dieser Parameter ist nicht erforderlich. Er gibt den Typ des Authentifizierungsverfahrens an. Die Standardeinstellung ist KRB5.

Es folgt ein Beispiel für den Befehl setActiveAuthMechanism:

wsadmin> $AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_kerb_auth_commands
Dateiname:rsec_kerb_auth_commands.html