Befehle für Kerberos-Authentifizierung
Verwenden Sie wsadmin-Befehle, um Kerberos als Authentifizierungsverfahren für WebSphere Application Server zu erstellen, zu ändern oder zu löschen.
Kerberos-Authentifizierungsverfahren erstellen
Die folgenden Punkte werden vorausgesetzt, wenn Sie versuchen, mit dem Befehl createKrbAuthMechanism das Feld für das Sicherheitsobjekt des KRB5-Authentifizierungsverfahrens in der Sicherheitskonfigurationsdatei zu erstellen:
- Falls Sie noch keine Kerberos-Konfigurationsdatei (krb5.ini oder krb5.conf) haben, erstellen Sie sie mit dem Befehl createkrbConfigFile. Weitere Informationen finden Sie im Artikel "Kerberos-Konfigurationsdatei erstellen".
- Sie müssen eine Kerberos-Chiffrierschlüsseldatei (krb5.keytab) haben, die für jede Maschine,
auf der WebSphere-Anwendungsserver ausgeführt werden, einen
Kerberos-SPN (Service-Principal-Namen) im Format <Servicename>/<vollständig
qualifizierter Hostname>@KerberosRealm enthält. Der Servicename kann ein beliebiger Name sein. Standardmäßig wird WAS verwendet.
Wenn Sie beispielsweise zwei Anwendungsservermaschinen, host1.austin.ibm.com und host2.austin.ibm.com, haben, muss die Kerberos-Chiffrierschlüsseldatei die SPNs <Servicename>/host1.austin.ibm.com und Servicename>/host2.austin.ibm.com sowie die zugehörigen Kerberos-Schlüssel enthalten.
Verwenden Sie den Befehl createKrbAuthMechanism, um das Feld für das Sicherheitsobjekt des KRB5-Authentifizierungsverfahrens in der Sicherheitskonfigurationsdatei zu erstellen.
Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:
$AdminTask help createKrbAuthMechanism
Option | Beschreibung |
---|---|
<krb5Realm> | Dieser Parameter ist optional. Er gibt den Namen des Kerberos-Realms an. Wenn Sie diesen Parameter nicht angeben, wird der Standardname des Kerberos-Realms aus der Kerberos-Konfigurationsdatei verwendet. |
<krb5Config> | Dies ist ein erforderlicher Parameter. Er gibt die Verzeichnisposition und den Dateinamen der Konfigurationsdatei (krb5.ini bzw. krb5.conf) an. |
<krb5Keytab> | Dieser Parameter ist optional. Er gibt die Verzeichnisposition und den Dateinamen der Kerberos-Chiffrierschlüsseldatei an. Wenn Sie diesen Parameter nicht angeben, wird der Standardchiffrierschlüssel aus der Kerberos-Konfigurationsdatei verwendet. |
<Servicename> | Dies ist ein erforderlicher Parameter. Er zeigt den Namen des Kerberos-Service an. Der Standardservicename ist WAS. |
<trimUserName> | Dieser Parameter ist optional. Er entfernt das Suffix aus dem
Principal-Benutzernamen ab dem Zeichen "@" vor dem Namen des Kerberos-Realms.
Dieser Parameter ist optional. Der Standardwert ist true.
![]() |
<enabledGssCredDelegate> | Dieser Parameter ist nicht erforderlich. Zeigt an, ob der GSS-Delegierungsberechtigungsnachweis des Clients extrahiert und im Subjekt festgelegt werden soll. Der Standardwert ist true. |
<allowKrbAuthForCsiInbound> | Dieser Parameter ist optional. Er aktiviert das Kerberos-Authentifizierungsverfahren für eingehende CSI-Transporte (Common Secure Interoperability). Der Standardwert ist true. |
<allowKrbAuthForCsiOutbound> | Dies ist ein erforderlicher Parameter. Er aktiviert das Kerberos-Authentifizierungsverfahren für abgehende CSI-Transporte. Der Standardwert ist true. |
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
wsadmin>$AdminTask createKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
Kerberos-Authentifizierungsverfahren ändern
Verwenden Sie den Befehl modifyKrbAuthMechanism, um das Feld für das Sicherheitsobjekt des KRB5-Authentifizierungsverfahrens in der Sicherheitskonfigurationsdatei zu ändern.
Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:
$AdminTask help modifyKrbAuthMechanism
Option | Beschreibung |
---|---|
<krb5Realm> | Dieser Parameter ist optional. Er gibt den Namen des Kerberos-Realms an. Wenn Sie diesen Parameter nicht angeben, wird der Standardname des Kerberos-Realms aus der Kerberos-Konfigurationsdatei verwendet. |
<krb5Config> | Dies ist ein erforderlicher Parameter. Er gibt die Verzeichnisposition und den Dateinamen der Konfigurationsdatei (krb5.ini bzw. krb5.conf) an. |
<krb5Keytab> | Dieser Parameter ist optional. Er gibt die Verzeichnisposition und den Dateinamen der Kerberos-Chiffrierschlüsseldatei an. Wenn Sie diesen Parameter nicht angeben, wird der Standardchiffrierschlüssel aus der Kerberos-Konfigurationsdatei verwendet. |
<Servicename> | Dies ist ein erforderlicher Parameter. Er zeigt den Namen des Kerberos-Service an. Der Standardservicename ist WAS. |
<trimUserName> | Dieser Parameter ist optional. Er entfernt das Suffix aus dem Principal-Benutzernamen ab dem Zeichen "@" vor dem Namen des Kerberos-Realms. Dieser Parameter ist optional. Der Standardwert ist true. |
<enabledGssCredDelegate> | Dieser Parameter ist nicht erforderlich. Mit diesem Parameter können Sie angeben,k ob
der Kerberos- und GSS-Delegierungsberechtigungsnachweis des Clients extrahiert und in das Kerberos-Authentifizierungstoken
(KRBAuthnToken) eingefügt werden soll. Der Standardwert ist true.
Anmerkung: Wenn Sie diesen
Parameter auf true setzen und die Laufzeitumgebung den Kerberos-GSS-Delegierungsberechtigungsnachweis
nicht extrahieren kann, protokolliert die Laufzeitumgebung eine Warnung.
|
<allowKrbAuthForCsiInbound> | Dieser Parameter ist optional. Er aktiviert das Kerberos-Authentifizierungsverfahren für eingehende CSI-Transporte (Common Secure Interoperability). Der Standardwert ist true. |
<allowKrbAuthForCsiOutbound> | Dieser Parameter ist optional. Er aktiviert das Kerberos-Authentifizierungsverfahren für abgehende CSI-Transporte. Der Standardwert ist true. |
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Es folgt ein Beispiel für den Befehl modifyKrbAuthMechanism:
wsadmin>$AdminTask modifyKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
Kerberos-Authentifizierungsverfahren löschen
Verwenden Sie den Befehl deleteKrbAuthMechanism, um das Feld für das Sicherheitsobjekt des KRB5-Authentifizierungsverfahrens in der Sicherheitskonfigurationsdatei zu entfernen.
Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:
$AdminTask help deleteKrbAuthMechanism
Es folgt ein Beispiel für den Befehl deleteKrbAuthMechanism:
wsadmin>$AdminTask deleteKrbAuthMechanism
Aktives Kerberos-Authentifizierungsverfahren definieren
Verwenden Sie den Befehl setActiveAuthMechanism, um das aktive Attribut des Authentifizierungsverfahrens in der Sicherheitskonfiguration zu definieren.
Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:
$AdminTask help setActiveAuthMechanism
Option | Beschreibung |
---|---|
<authMechanismType> | Dieser Parameter ist nicht erforderlich. Er gibt den Typ des Authentifizierungsverfahrens an. Die Standardeinstellung ist KRB5. |
Es folgt ein Beispiel für den Befehl setActiveAuthMechanism:
wsadmin> $AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }