WS-Security-Kerberos-Token für die Authentifizierung in einer Umgebung mit einem einzelnen Kerberos-Realm oder in einer realmübergreifenden Kerberos-Umgebung
Zum Sichern von Web-Service-Nachrichten können Sie ein Kerberos-Token als Authentifizierungstoken oder als Nachrichtenschutztoken verwenden. Für die Kerberos-Authentifizierung werden sowohl Umgebungen mit einem einzelnen Kerberos-Realm als auch realmübergreifende und vertrauenswürdige Kerberos-Realmumgebungen unterstützt.
Umgebung mit einem einzelnen Realm
ServiceName/HostName@Kerberos_Realm_Name
Für eine Konfiguration auf Zellenebene in WebSphere Application
Server verwenden alle Service-Provider denselben Kerberos-Realm.Wenn der Service-Provider die Kerberos-Identität aus dem Client für nachgeschaltete Web-Service-Anforderungen verwendet, muss ein delegiertes Kerberos-Ticket im Kerberos-Token vorhanden sein, das in der Kerberos-Konfigurationsdatei angegeben ist. Das JAAS-Systemanmeldemodul für Kerberos wird dem angegebenen Caller von Web Services Security hinzugefügt. Weitere Informationen zur Verwendung des Kerberos-Tokens für die Berechtigungsnachweise des Callers finden Sie in den Artikeln zur Aktualisierung der JAAS-Systemanmeldung (Java™ Authentication and Authorization Service) mit dem Kerberos-Anmeldemodul und zur Erstellung einer Kerberos-Konfigurationsdatei.
Realmübergreifende Umgebung oder vertrauenswürdige Realmumgebung
- Die Konfiguration des vertrauenswürdigen Kerberos-Realm muss für alle konfigurierten Kerberos-KDC durchgeführt werden. Weitere Informationen zum Konfigurieren eines anerkannten Kerberos-Realms finden Sie in Ihrem Kerberos-Handbuch für Administratoren und Benutzer.
- In der Kerberos-Konfigurationsdatei (krb5.ini unter Windows und krb5.conf auf UNIX- und z/OS-Plattformen) müssen die vertrauenswürdigen Realms aufgelistet sein. Weitere Informationen finden Sie in der Veröffentlichung "Kerberos Administrator and User's Guide".
- Die Tokengeneratorbindungen der Clientanwendung müssen mit den Kerberos-SPN-Informationen des Service-Providers konfiguriert werden. Weitere Informationen finden Sie im Artikel zum Konfigurieren der Bindungen für den Nachrichtenschutz für Kerberos.
Servicename/Hostname@Name_des_Kerberos-Realms
Die Clientanwendung
muss den Namen des Kerberos-Realms für den Client im Teil für den Callback-Handler
der Tokengeneratorbindungen in der Clientrichtlinie angeben.
Auf Zellenebene verwenden alle Service-Provider denselben Kerberos-Realm.
Clientanwendungen können jedoch weiterhin ihren eigenen Kerberos-Realm definieren.
Es werden nur die Peer-to-Peer- und die
transitive Authentifizierung zwischen anerkannten Realms unterstützt. Die folgende Abbildung veranschaulicht die Beziehung zwischen vertrauenswürdigen Realms, die im Kerberos-KDC (Key Distribution Center) definiert sind:

Wenn der Service-Provider die Kerberos-Identität aus dem Client für nachgeschaltete Web-Service-Anforderungen verwendet, muss ein delegiertes Kerberos-Ticket im Kerberos-Token vorhanden sein, das in der Kerberos-Konfigurationsdatei konfiguriert ist. Das JAAS-Systemanmeldemodul für Kerberos wird dem angegebenen Caller von Web Services Security hinzugefügt. Weitere Informationen zur Verwendung des Kerberos-Tokens für die Berechtigungsnachweise des Callers finden Sie in den Artikeln zum Aktualisieren der JAAS-Systemanmeldung mit dem Kerberos-Anmeldemodul und zum Erstellen einer Kerberos-Konfigurationsdatei.