Mit dem Befehl ktab die Kerberos-Chiffrierschlüsseldatei verwalten

Mit dem Kerberos-Befehl "ktab" (Key Table Manager) kann der Produktadministrator Principal-Namen und Schlüssel für den Kerberos-Service verwalten, die in einer lokalen Kerberos-Chiffrierschlüsseldatei gespeichert sind. Mit IBM Software Development Kit (SDK) oder Sun Java Development Kit (JDK) 1.6 oder höher können Sie den Befehl "ktab" verwenden, um zwei Kerberos-Chiffrierschlüsseldateien zusammenzuführen.

[Solaris]Zum Zusammenführen der ktab-Dateien müssen Sie den kumulativen Fix Java Development Kit (JDK) Version 1.6 SR3 installieren, der das JDK auf Version 1.6.0_07 aktualisiert.

[HP-UX]Zum Zusammenführen der ktab-Dateien müssen Sie den kumulativen Fix Software Development Kit (SDK) Version 1.6 SR3 installieren, der das JDK auf Version 1.6.0.02 aktualisiert.

[AIX][Windows][Linux]Zum Zusammenführen der ktab-Dateien müssen Sie den kumulativen Fix Java Development Kit (JDK) Version 1.6 SR3 installieren, der das SDK auf Version 1.6.0 Java Technology Edition SR3 aktualisiert.

Mit den Kerberos-SPNs (Service Principal Names) und Schlüsseln in der Kerberos-Chiffrierschlüsseldatei können auf dem Host aktive Services die eingehende Kerberos- oder SPNEGO-Tokenanforderung validieren. Vor der Konfiguration der Kerberos- oder SPNEGO-Webauthentifizierung muss der Administrator von WebSphere Application Server auf dem Host mit WebSphere Application Server eine Kerberos-Chiffrierschlüsseldatei einrichten.
Veraltetes Feature Veraltetes Feature:

In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. Diese Funktion gilt ab WebSphere Application Server Version 7.0 als veraltet.

Stattdessen wird jetzt die SPNEGO-Webauthentifizierung genutzt, die folgende Verbesserungen bietet:

  • Über die Administrationskonsole können Sie die SPNEGO-Webauthentifizierung und Filter für die Serverseite von WebSphere Application Server konfigurieren und aktivieren.
  • Das dynamische Neuladen des SPNEGO erfordert nicht mehr, dass der Server von WebSphere Application Server gestoppt und neu gestartet werden muss.
  • Wenn die SPNEGO-Webauthentifizierung scheitert, kann auf eine Anwendungsanmeldemethode zurückgegriffen werden.
depfeat
Wichtig:
  • Es ist wichtig, die Chiffrierschlüsseldateien so zu schützen, dass sie nur von berechtigten Produktbenutzern gelesen werden können.
  • Wird die Kerberos-Chiffrierschlüsseldatei mit Ktab aktualisiert, wirkt sich dies nicht auf die Kerberos-Datenbank aus. Wenn Sie die Schlüssel in der Kerberos-Chiffrierschlüsseldatei ändern, müssen Sie die entsprechenden Änderungen auch in der Kerberos-Datenbank vornehmen.
Die Syntax bon Ktab ist unten dargestellt. Gezeigt wird die Verwendung von Ktab mit dem Operanden -help.
$ ktab -help

Syntax: java com.ibm.security.krb5.internal.tools.Ktab [Optionen]
Verfügbare Optionen:
-l     Namen und Einträge der Chiffrierschlüsseldatei auflisten
-a <Principal-Name> [Kennwort]  Eintrag zur Chiffrierschlüsseldatei hinzufügen
-d <Principal-Name> Eintrag aus der Chiffrierschlüsseldatei löschen
-k <Name_des_Chiffrierschlüssels>    Namen und Pfad der Chiffrierschlüsseldatei mit Präfix "FILE:" angeben
-m <Name_der_Quellenchiffrierschlüsseldatei>  <Name_der_Zielchiffrierschlüsseldatei>       Namen der Quellen- und Zielchiffrierschlüsseldateien für die Zusammenführung angeben
Im Folgenden sehen Sie ein Beispiel für die Verwendung von Ktab für die Zusammenführung der Datei "krb5Host1.keytab" und der Datei "krb5.keytab":
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Merging keytab files:   source=krb5Host1.keytab   destination=krb5.keytab
Done!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
Das folgende Beispiel zeigt die Verwendung des Befehls "ktab" auf einer Linux-Plattform für das Hinzufügen neuer Principal-Namen zur Kerberos-Chiffrierschlüsseldatei, dabei steht "ot56prod" für das Kennwort des Namens des Kerberos-Principals:
[root@wssecjibe bin]# ./ktab -a	
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Done!
Service key for principal HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM saved

Das folgende Beispiel zeigt, wie Ktab auf einer Windows-Plattform verwendet wird, um den Inhalt einer Kerberos-Chiffrierschlüsseldatei aufzulisten.
[root@wssecjibe bin]# ./ktab

        KVNO    Principal
        ----    ---------

        1       HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM

[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf 
/etc/krb5.keytab
[AIX Solaris HP-UX Linux Windows]Tipp: Sie können den Befehl "ktab" im Verzeichnis Installationsstammverzeichnis/java/jre/bin ausführen.
[z/OS]Tipp: Sie können den Befehl "ktab" im Verzeichnis Installationsstammverzeichnis/java/J5.0/bin oder Installationsstammverzeichnis/java64/J5.0_64/bin ausführen.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_kerb
Dateiname:rsec_SPNEGO_kerb.html