Die Kerberos-Konfigurationsdatei
Die Datei mit den Kerberos-Konfigurationseigenschaften, krb5.ini bzw. krb5.conf, muss in jeder Instanz von WebSphere Application Server in einer Zelle konfiguriert werden, damit Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) Trust Association Interceptor (TAI) für WebSphere Application Server verwendet werden kann.

Betriebssystem | Standardposition |
---|---|
Windows | c:\winnt\krb5.ini Anmerkung: Wenn sich die
Datei krb5.ini nicht im Verzeichnis c:\winnt befindet, ist sie möglicherweise im Verzeichnis
c:\windows enthalten.
|
Linux | /etc/krb5.conf |
Andere UNIX-basierte Plattformen | /etc/krb5/krb5.conf |
z/OS | /etc/krb5/krb5.conf |
IBM i | /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf |
Wenn Sie für SPNEGO TAI nicht die Standardposition und den Standardnamen der Kerberos-Konfigurationsdatei verwenden, müssen Sie die JVM-Eigenschaft java.security.krb5.conf angeben.
Die Kerberos-Standardkonfigurationsdatei unter Windows ist /winnt/krb5.ini und in einer verteilten Umgebung /etc/krb5. Wenn Sie einen anderen Standortpfad angeben, müssen Sie auch die JVM-Eigenschaft java.security.krb5.conf angeben.
Wenn Sie für Ihre Datei krb5.conf beispielsweise den Pfad /opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf angegeben haben, müssen Sie auch -Djava.security.krb5.conf=/opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf angeben.
- Von der Java™-Eigenschaft java.security.krb5.conf referenzierte Datei
- <java.home>/lib/security/krb5.conf
- c:\winnt\krb5.ini auf Microsoft Windows-Plattformen
- /etc/krb5/krb5.conf auf UNIX-Plattformen
- /etc/krb5.conf auf Linux-Plattformen.
- Starten Sie WebSphere Application Server.
Starten Sie das Befehlszeilendienstprogramm mit dem Befehl wsadmin im Verzeichnis Anwendungsserver-Stammverzeichnis/bin.
Starten Sie das Befehlszeilendienstprogramm in der Qshell-Befehlszeile mit dem Befehl wsadmin im Verzeichnis Anwendungsserver-Stammverzeichnis/bin.
- Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:
$AdminTask createKrbConfigFile
Diesen Befehl können Sie mit den folgenden Parametern verwenden:Tabelle 2. Befehlsparameter. In dieser Tabelle werden die Parameter für den Befehl "$AdminTask createKrbConfigFile" beschrieben. Option Beschreibung <krbPath> Dies ist ein erforderlicher Parameter. Er gibt den vollständig qualifizierten Dateisystempfad der Kerberos-Konfigurationsdatei (krb5.ini oder krb5.conf) an. <realm> Dies ist ein erforderlicher Parameter. Er gibt den Kerberos-Realmnamen an. Der Wert dieses Attributs wird vom SPNEGO TAI verwendet, um den Kerberos-Service-Principal-Namen für jeden der Hosts zu bilden, der mit der Eigenschaft "com.ibm.ws.security.spnego.SPNid.hostName" angegeben wurde. <kdcHost> Dies ist ein erforderlicher Parameter. Er gibt den Hostnamen des Kerberos-KDC (Key Distribution Center) an. <kdcPort> Dieser Parameter ist optional. Er gibt die Portnummer des KDC an. Wenn kein Wert angegeben ist, wird der Standardport 88 verwendet. <dns> Dies ist ein erforderlicher Parameter. Er gibt den Standard-DNS (Domain Name Service) für die Erzeugung eines vollständig qualifizierten Hostnamens an. <keytabPath> Dies ist ein erforderlicher Parameter. Er gibt den Dateisystempfad der Kerberos-Chiffrierschlüsseldatei an. <encryption> Dieser Parameter ist optional. Er gibt die Liste der unterstützten Verschlüsselungstypen mit Leerzeichen als Trennzeichen an. Der angegebene Wert wird für default_tkt_enctypes und default_tgs_enctypes verwendet. Falls kein Wert angegeben ist, werden die Standardverschlüsselungstypen des-cbc-md5 und rc4-hmac verwendet.
Im folgenden Beispiel erstellt wsadmin die Datei krb5.ini im Verzeichnis c:\winnt. Die Standard-Kerberos-Chiffrierschlüsseldatei befindet sich ebenfalls im Verzeichnis c:\winnt. Der Name des Kerberos-Realm ist WSSEC.AUSTIN.IBM.COM und der KDC-Hostname lautet host1.austin.ibm.com.
wsadmin>$AdminTask createKrbConfigFile {-krbPath
c:\winnt\krb5.ini -realm WSSEC.AUSTIN.IBM.COM -kdcHost host1.austin.ibm.com
-dns austin.ibm.com -keytabPath c:\winnt\krb5.keytab}
[libdefaults]
default_realm = WSSEC.AUSTIN.IBM.COM
default_keytab_name = FILE:c:\winnt\krb5.keytab
default_tkt_enctypes = des-cbc-md5 rc4-hmac
default_tgs_enctypes = des-cbc-md5 rc4-hmac
[realms]
WSSEC.AUSTIN.IBM.COM = {
kdc = host1.austin.ibm.com:88
default_domain = austin.ibm.com
}
[domain_realm]
.austin.ibm.com = WSSEC.AUSTIN.IBM.COM
Eine Kerberos-Chiffrierschlüsseldatei enthält eine Liste von Schlüsseln, die zu Benutzerkennwörtern analog sind. Hosts müssen ihre Kerberos-Chiffrierschlüsseldateien unbedingt schützen. Dazu werden sie auf der lokalen Festplatte gespeichert. Die Dateiberechtigung für krb5.conf muss "644" lauten, d. h., Sie können die Datei lesen und schreiben. Mitglieder der Gruppe, zu der die Datei gehört, und alle anderen Benutzer können die Datei jedoch nur lesen.
Eine Kerberos-Chiffrierschlüsseldatei enthält eine Liste von Schlüsseln, die zu Benutzerkennwörtern analog sind. Hosts müssen ihre Kerberos-Chiffrierschlüsseldateien unbedingt schützen. Dazu werden sie auf der lokalen Festplatte gespeichert. Die Dateiberechtigung für krb5.conf muss "644" lauten, d. h., Sie können die Datei lesen und schreiben. Mitglieder der Gruppe, zu der die Datei gehört, und alle anderen Benutzer können die Datei jedoch nur lesen. Die Benutzer-ID, unter der Adjunct, Steuerung und Servants ausgeführt werden, muss Lesezugriff auf die Dateien krb5.conf und krb5.keytab haben.
- Wenn die Laufzeit die default_tkt_enctypes- oder default_tgs_enctypes-Einträge in der Datei krb5.ini nicht lesen kann, ihre Werte nicht vorhanden sind oder nicht unterstützt werden, wird standardmäßig der Wert DES-CBC-MD5 verwendet.
![[IBM i]](../images/iseries.gif)
- Ersetzen Sie die Trigraphen in der Datei "krb5.conf" durch die Zeichen, die sie darstellen.
- Verwenden Sie die Datei "krb5.conf", die von WebSphere Application Server generiert wird.
- Verwenden Sie eine von Microsoft Windows bzw. KDC (Key Distribution Center) generierte Chiffrierschlüsseldatei.
Die Kerberos-Konfigurationseinstellungen, der Name des Kerberos Key Distribution Center (KDC) und die Realmeinstellungen für den SPNEGO TAI werden in der Kerberos-Konfigurationsdatei oder von den Systemeigenschaftendateien java.security.krb5.kdc und java.security.krb5.realm angegeben.