Kerberos-Service-Principal (SPN) und Chiffrierschlüsseldatei auf Ihrer Microsoft-Domänencontrollermaschine erstellen

Sie müssen auf Ihrer Microsoft-Domänencontrollermaschine einen Kerberos-Service-Principal-Name (SPN) und eine Chiffrierschlüsseldatei erstellen, damit HTTP-Anforderungen mit der Webauthentifizierung Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) für WebSphere® Application Server unterstützt werden.

Vorbereitende Schritte

Konfigurieren Sie den Microsoft Windows-Server, auf dem der Active Directory-Domänencontroller und das zugehörige Kerberos-Key-Distribution-Center (KDC) ausgeführt werden.

Vorgehensweise

  1. Erstellen Sie für WebSphere Application Server ein Benutzerkonto in Microsoft Active Directory. Dieses Konto wird später dem Kerberos-Service-Principal-Name (SPN) zugeordnet.
  2. Verwenden Sie die Maschine mit Microsoft Active Directory, auf der das Kerberos-Key-Distribution-Center (KDC) aktiv ist, um das Benutzerkonto dem Kerberos-SPN zuzuordnen. Dieses Benutzerkonto stellt WebSphere Application Server als Kerberos-Service beim KDC dar. Verwenden Sie den Microsoft-Befehl setspn, um den Namen des Kerberos-Service-Principals einem Microsoft-Benutzerkonto zuzuordnen.
  3. Erstellen Sie die Kerberos-Chiffrierschlüsseldatei und stellen Sie sie für WebSphere Application Server zur Verfügung.

    Verwenden Sie das Microsoft-Tool ktpass, um die Kerberos-Chiffrierschlüssel (krb5.keytab) zu erstellen.

    Die Chiffrierschlüsseldatei wird für WebSphere Application Server verfügbar gemacht, indem die Datei krb5.keytab vom Domänencontroller (von der LDAP-Maschine) auf die Maschine mit WebSphere Application Server kopiert wird. Weitere Informationen finden Sie im Artikel Kerberos-Service-Principal-Namen und eine Chiffrierschlüsseldatei erstellen.

Ergebnisse

Das Produkt kann die Kerberos-Chiffrierschlüsseldatei verwenden, die die Schlüssel des Kerberos-Service-Principals enthält, mit denen der Benutzer in Microsoft Active Directory und im Kerberos-Konto authentifiziert wird.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_adm
Dateiname:tsec_SPNEGO_adm.html