El mecanismo de autenticación Kerberos puede utilizarse si se ha
configurado la autenticación Kerberos para WebSphere Application Server y el
servidor DB2. La autenticación Kerberos puede proporcionar soluciones
interoperativas globales de inicio de sesión único (SSO) y
preserva la identidad original del solicitante.
Antes de empezar
En el servidor de aplicaciones, puede configurar un origen de datos
DB2, el servidor de aplicaciones y la aplicación de modo que el origen de datos
DB2 y el servidor de aplicaciones operen conjuntamente mediante el uso de
credenciales Kerberos delegadas de extremo a extremo para el acceso a la base
de datos por parte de la aplicación.
Para aprovechar la autenticación Kerberos
DB2 con credenciales delegadas en el servidor de aplicaciones, en este tema
llamado
opción 1, debe configurar tanto DB2 como el servidor de
aplicaciones para que utilicen Kerberos como mecanismo de autenticación. Si
desea obtener información sobre cómo configurar el mecanismo de autenticación
en esta versión del servidor de aplicaciones, consulte el tema que trata sobre
el soporte del mecanismo de autenticación Kerberos (KRB5) para garantizar la
seguridad.
Los recursos XARecovery y TestConnection del servidor de
aplicaciones no pueden suministrar credenciales Kerberos delegadas al origen de
datos. Puede haber situaciones en las que el componente de seguridad del
servidor de aplicaciones no puede suministrar credenciales Kerberos delegadas
para una solicitud de conexión determinada. Para dar cuenta de estos casos,
puede configurar una conexión DB2 con autenticación Kerberos, que en este tema
se ha llamado opción 2. Para esta opción, deben suministrarse un ID de
usuario y una contraseña al controlador JDBC que el controlador utiliza para
obtener sus propias credenciales Kerberos. Para utilizar esta opción, debe
configurar un alias de datos de autenticación J2C en el servidor de
aplicaciones en el que se ha definido el ID de usuario y la contraseña que
utilizará el controlador JDBC de DB2 para solicitar un TGT (Ticket Granting
Ticket) de Kerberos. El TGT se utiliza para autenticación Kerberos en un
servidor DB2. Para el servidor de aplicaciones, esto se parece mucho a la
autenticación típica de ID de usuario y contraseña.
Debe utilizar un
controlador JDBC de DB2 que dé soporte a la autenticación Kerberos y que
funcione en la modalidad de tipo 4. Los controladores JDBC admitidos son:
- Controlador de IBM Data Server para JDBC y SQLJ (identificado en el
servidor de aplicaciones como DB2 con el controlador JCC de IBM)
- IBM DB2 JDBC Universal Driver Architecture (identificado en el servidor de
aplicaciones como proveedor de controlador JDBC de DB2 Universal)
Acerca de esta tarea
Siga estos pasos para configurar el servidor de aplicaciones y DB2 para autenticarse con
Kerberos:
Procedimiento
- Configure el servidor DB2 para que utilice la autenticación Kerberos. Consulte la documentación de seguridad de Kerberos para DB2 en el Information Center de DB2, por ejemplo, el tema
sobre los detalles de autenticación de Kerberos.
Otra consulta que resulta de utilidad es la sección “DB2 UDB
Security, Part 6” del sitio web de IBM developerWorks. Compruebe que funciona
la autenticación Kerberos de DB2.
- Configure el servidor de aplicaciones para que utilice seguridad
Kerberos.
Consulte el tema “Configuración de Kerberos como mecanismo de
autenticación mediante la consola administrativa”. Compruebe que funciona la
autenticación Kerberos del servidor de aplicaciones.
- Configure el origen de datos DB2 para que el servidor de
aplicaciones utilice autenticación Kerberos. Debe seguir dos pasos
para completar esta tarea: configurar el adaptador de recursos en el servidor
de aplicaciones para pasar las credenciales Kerberos y las credenciales de
contraseña al controlador JDBC, y configurar el controlador JDBC para que use
autenticación Kerberos al conectarse al servidor DB2.
Para obtener más información sobre estos pasos, consulte el tema "Configuración
de un origen de datos con la consola administrativa".
Tabla 1. Propiedades personalizadas y valores. Al configurar el origen de datos DB2, debe prestar particular atención a los valores de seguridad y
las propiedades personalizadas.Name |
Valor |
kerberosServerPrincipal Nota: Esta propiedad es opcional
excepto al conectarse a un servidor DB2 que se ejecute en una plataforma z/OS
(como DB2 para LUW, v8 FP11).
|
user@REALM
o
bien
nombre_servicio/hostname@REALM
|
SecurityMechanism Nota: Un valor de 11 para esta propiedad
indica que el controlador JDBC necesita utilizar autenticación Kerberos al
conectarse al servidor DB2.
|
11 |
- Para la opción 2, debe configurar el “Alias de
correlación-configuración” en “DefaultPrincipalMapping”, o en otra
configuración de inicio de sesión que no genere GSSCredentials, y establecer el
“Alias de autenticación gestionada por contenedor” para que haga referencia a
un alias para que el controlador JDBC utilice el inicio de sesión Kerberos. El recurso testConnection también utiliza este alias si no se ha configurado
ningún alias de autenticación gestionado por componente.
- Para las credenciales Kerberos delegadas de la opción 1, debe
configurar el “Alias de correlación-configuración” en
“KerberosMapping”.
Esto indica que el adaptador de recursos del servidor de
aplicaciones debe proporcionar credenciales delegadas al controlador JDBC de
DB2.
El recurso testConnection y el recurso de recuperación de transacciones XA
no pueden proporcionar credenciales Kerberos delegadas, pero pueden revertir
a la autenticación de la opción 2. Si no necesita estas funciones,
puede seleccionar none (ninguno) para cada alias de autenticación. Si
se utiliza testConnection y está configurado un alias de autenticación
válido, se registra un mensaje informativo, DSRA8221I. Este mensaje indica
que testConnection no puede ofrecer las credenciales Kerberos. Si no está
configurado ningún alias, testConnection falla y devuelve un error de
credenciales Kerberos no válidas que es notificado por el controlador JDBC.
Importante: Si KerberosMapping está configurado, pero el
componente de seguridad no puede proporcionar credenciales Kerberos para una
solicitud de conexión determinada, el adaptador de recursos se puede
configurar para revertir a la autenticación de conexión y utilizar
DefaultPrincipleMapping. Para configurar este recurso de seguridad,
seleccione un alias en la lista de alias de autenticación gestionada por
contenedor. Para inhabilitar este recurso de seguridad, seleccione
none (ninguno) en la lista de alias de autenticación gestionada por
contenedor.
- Para habilitar la correlación Kerberos (opción 1), también debe
especificar la autenticación gestionada por contenedor. Para ello, la aplicación
debe utilizar una referencia de recurso para buscar el origen de datos. La referencia de recurso debe especificar KerberosMapping como configuración de
inicio de sesión. Si se especifica una configuración de inicio de sesión como
referencia de recurso, para que la aplicación acceda a través de esa referencia
de recurso, la configuración de inicio de sesión configurada tiene prioridad
sobre el valor de alias de correlación-configuración especificado en el origen
de datos. También se puede especificar en la referencia de recurso un
alias de autenticación gestionada por contenedor.