Señal Kerberos de seguridad de servicios Web para la autenticación en un entorno reino Kerberos individual o cruzado

Para proteger los mensajes de servicios web, puede utilizar una señal Kerberos como señal de autenticación o señal de protección de mensajes. Para la autenticación Kerberos, se soportan el entorno de reino Kerberos individual y el entorno de reino Kerberos cruzado o de confianza.

Entorno de reino individual

En un entorno de reino Kerberos individual, la aplicación cliente y el proveedor de servicios utilizan el mismo reino Kerberos. La aplicación cliente obtiene una señal Kerberos basada en el reino Kerberos utilizado por el proveedor de servicios. Para configurar la señal, la aplicación cliente define el nombre principal de servicio (SPN) de Kerberos para el proveedor de servicios en los enlaces de generador de señales de política de cliente. Más abajo se muestra el formato del SPN, donde Nombre_Reino_Kerberos es opcional.
ServiceName/HostName@Kerberos_Realm_Name
Para la configuración a nivel de célula en WebSphere Application Server, todos los proveedores de servicios utilizan el mismo reino Kerberos.

Si el proveedor de servicios utiliza la identidad Kerberos del cliente para las solicitudes de servicios web en sentido descendente, debe existir un tíquet Kerberos delegado en la señal Kerberos especificada en el archivo de configuración de Kerberos. El módulo de inicio de sesión JAAS de sistema para Kerberos se añade al emisor de seguridad de servicios Web proporcionado. Para obtener más información sobre cómo utilizar la señal Kerberos para credenciales de emisor, lea la información sobre cómo actualizar el inicio de sesión JAAS (Java™ Authentication and Authorization Service) de sistema con el módulo de inicio de sesión Kerberos y cómo crear un archivo de configuración Kerberos.

Entorno de reino cruzado o entorno de reino de confianza

Para el entorno de reino de confianza se deben realizar los procedimientos de configuración siguientes:
  • Se debe realizar la configuración de reino de confianza de Kerberos para todos los KDC Kerberos configurados. Consulte la guía del administrador y del usuario de Kerberos para obtener más información sobre cómo configurar un reino de confianza de Kerberos.
  • El archivo de configuración de Kerberos (krb5.ini en Windows y krb5.conf para plataformas Unix y z/OS) debe listar los reinos de confianza. Consulte la guía del administrador y del usuario de Kerberos para obtener más información.
  • Los enlaces de generador de señales de aplicación cliente se deben configurar con la información SPN de Kerberos del proveedor de servicios. Para obtener más información, consulte la configuración de los enlaces para la protección de mensajes para Kerberos.
En un entorno de reino Kerberos cruzado o de confianza, la aplicación cliente y el proveedor de servicios utilizan reinos Kerberos diferentes que han establecido la confianza entre ellos. La aplicación cliente obtiene una señal Kerberos basada en el reino Kerberos utilizado por el proveedor de servicios. Para configurar la señal, la aplicación cliente define el SPN de Kerberos para el proveedor de servicios en los enlaces de generador de señales de política de cliente. Más abajo se muestra el formato del SPN, donde Nombre_Reino_Kerberos es obligatorio.
NombreServicio/NombreHost@Nombre_Reino_Kerberos
La aplicación cliente debe especificar el nombre de reino Kerberos para el cliente en la parte de manejador de retorno de llamada de los enlaces de generador de señal de política de cliente. A nivel de célula, todos los proveedores de servicios utilizan el mismo reino Kerberos. Sin embargo, las aplicaciones cliente pueden seguir definiendo su propio reino Kerberos. Sólo se soporta la autenticación entre reinos de confianza de igual a igual y de confianza transitiva.

La figura siguiente ilustra la relación entre reinos de confianza tal como se define en el Centro de distribución de claves de (KDC) de Kerberos:

Configuración de reino de confianza de Kerberos

Si el proveedor de servicios utiliza la identidad Kerberos del cliente para las solicitudes de servicios web en sentido descendente, debe existir un tíquet Kerberos delegado en la señal Kerberos configurada en el archivo de configuración de Kerberos. El módulo de inicio de sesión JAAS de sistema para Kerberos se añade al emisor de seguridad de servicios Web proporcionado. Para obtener más información sobre cómo utilizar la señal Kerberos para las credenciales de emisor, lea la información sobre cómo actualizar el inicio de sesión de JAAS de sistema con el módulo de inicio de sesión Kerberos y cómo crear un archivo de configuración Kerberos.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_kerberoscrossrealm
File name: cwbs_kerberoscrossrealm.html