WS-Security-Kerberos-Token für die Authentifizierung in einer Umgebung mit einem einzelnen Kerberos-Realm oder in einer realmübergreifenden Kerberos-Umgebung

Zum Sichern von Web-Service-Nachrichten können Sie ein Kerberos-Token als Authentifizierungstoken oder als Nachrichtenschutztoken verwenden. Für die Kerberos-Authentifizierung werden sowohl Umgebungen mit einem einzelnen Kerberos-Realm als auch realmübergreifende und vertrauenswürdige Kerberos-Realmumgebungen unterstützt.

Umgebung mit einem einzelnen Realm

In einer Umgebung mit einem einzelnen Kerberos-Realm verwenden die Clientanwendung und der Service-Provider denselben Kerberos-Realm. Die Clientanwendung ruft ein Kerberos-Token auf der Basis des vom Service-Provider verwendeten Kerberos-Realms ab. Zum Konfigurieren des Tokens definiert die Clientanwendung den Kerberos-SPN (Service Principal Name, Name des Service-Principal) für den Service-Provider in den Tokengeneratorbindungen der Clientrichtlinie. Das Format des SPN wird weiter unten gezeigt, wobei Name_des_Kerberos-Realms optional ist.
ServiceName/HostName@Kerberos_Realm_Name
Für eine Konfiguration auf Zellenebene in WebSphere Application Server verwenden alle Service-Provider denselben Kerberos-Realm.

Wenn der Service-Provider die Kerberos-Identität aus dem Client für nachgeschaltete Web-Service-Anforderungen verwendet, muss ein delegiertes Kerberos-Ticket im Kerberos-Token vorhanden sein, das in der Kerberos-Konfigurationsdatei angegeben ist. Das JAAS-Systemanmeldemodul für Kerberos wird dem angegebenen Caller von Web Services Security hinzugefügt. Weitere Informationen zur Verwendung des Kerberos-Tokens für die Berechtigungsnachweise des Callers finden Sie in den Artikeln zur Aktualisierung der JAAS-Systemanmeldung (Java™ Authentication and Authorization Service) mit dem Kerberos-Anmeldemodul und zur Erstellung einer Kerberos-Konfigurationsdatei.

Realmübergreifende Umgebung oder vertrauenswürdige Realmumgebung

Die folgenden Konfigurationsprozeduren müssen für die vertrauenswürdige Realmumgebung ausgeführt werden:
  • Die Konfiguration des vertrauenswürdigen Kerberos-Realm muss für alle konfigurierten Kerberos-KDC durchgeführt werden. Weitere Informationen zum Konfigurieren eines anerkannten Kerberos-Realms finden Sie in Ihrem Kerberos-Handbuch für Administratoren und Benutzer.
  • In der Kerberos-Konfigurationsdatei (krb5.ini unter Windows und krb5.conf auf UNIX- und z/OS-Plattformen) müssen die vertrauenswürdigen Realms aufgelistet sein. Weitere Informationen finden Sie in der Veröffentlichung "Kerberos Administrator and User's Guide".
  • Die Tokengeneratorbindungen der Clientanwendung müssen mit den Kerberos-SPN-Informationen des Service-Providers konfiguriert werden. Weitere Informationen finden Sie im Artikel zum Konfigurieren der Bindungen für den Nachrichtenschutz für Kerberos.
In einer realmübergreifenden Umgebung oder einer Umgebung mit vertrauenswürdigen Kerberos-Realms verwenden die Clientanwendung und der Service-Provider unterschiedliche Kerberos-Realms, die sich gegenseitig anerkennen. Die Clientanwendung ruft ein Kerberos-Token auf der Basis des vom Service-Provider verwendeten Kerberos-Realms ab. Zum Konfigurieren des Tokens definiert die Clientanwendung den Kerberos-SPN (Service Principal Name, Name des Service-Principal) für den Service-Provider in den Tokengeneratorbindungen der Clientrichtlinie. Das Format des SPN wird weiter unten gezeigt, wobei Name_des_Kerberos-Realms erforderlich ist.
Servicename/Hostname@Name_des_Kerberos-Realms
Die Clientanwendung muss den Namen des Kerberos-Realms für den Client im Teil für den Callback-Handler der Tokengeneratorbindungen in der Clientrichtlinie angeben. Auf Zellenebene verwenden alle Service-Provider denselben Kerberos-Realm. Clientanwendungen können jedoch weiterhin ihren eigenen Kerberos-Realm definieren. Es werden nur die Peer-to-Peer- und die transitive Authentifizierung zwischen anerkannten Realms unterstützt.

Die folgende Abbildung veranschaulicht die Beziehung zwischen vertrauenswürdigen Realms, die im Kerberos-KDC (Key Distribution Center) definiert sind:

Konfiguration mit vertrauenswürdigen Kerberos-Realms

Wenn der Service-Provider die Kerberos-Identität aus dem Client für nachgeschaltete Web-Service-Anforderungen verwendet, muss ein delegiertes Kerberos-Ticket im Kerberos-Token vorhanden sein, das in der Kerberos-Konfigurationsdatei konfiguriert ist. Das JAAS-Systemanmeldemodul für Kerberos wird dem angegebenen Caller von Web Services Security hinzugefügt. Weitere Informationen zur Verwendung des Kerberos-Tokens für die Berechtigungsnachweise des Callers finden Sie in den Artikeln zum Aktualisieren der JAAS-Systemanmeldung mit dem Kerberos-Anmeldemodul und zum Erstellen einer Kerberos-Konfigurationsdatei.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_kerberoscrossrealm
Dateiname:cwbs_kerberoscrossrealm.html