Configuración del servidor de aplicaciones y DB2 para la autenticación Kerberos.

El mecanismo de autenticación Kerberos puede utilizarse si se ha configurado la autenticación Kerberos para WebSphere Application Server y el servidor DB2. La autenticación Kerberos puede proporcionar soluciones interoperativas globales de inicio de sesión único (SSO) y preserva la identidad original del solicitante.

Antes de empezar

En el servidor de aplicaciones, puede configurar un origen de datos DB2, el servidor de aplicaciones y la aplicación de modo que el origen de datos DB2 y el servidor de aplicaciones operen conjuntamente mediante el uso de credenciales Kerberos delegadas de extremo a extremo para el acceso a la base de datos por parte de la aplicación. Para aprovechar la autenticación Kerberos DB2 con credenciales delegadas en el servidor de aplicaciones, en este tema llamado opción 1, debe configurar tanto DB2 como el servidor de aplicaciones para que utilicen Kerberos como mecanismo de autenticación. Si desea obtener información sobre cómo configurar el mecanismo de autenticación en esta versión del servidor de aplicaciones, consulte el tema que trata sobre el soporte del mecanismo de autenticación Kerberos (KRB5) para garantizar la seguridad.

Los recursos XARecovery y TestConnection del servidor de aplicaciones no pueden suministrar credenciales Kerberos delegadas al origen de datos. Puede haber situaciones en las que el componente de seguridad del servidor de aplicaciones no puede suministrar credenciales Kerberos delegadas para una solicitud de conexión determinada. Para dar cuenta de estos casos, puede configurar una conexión DB2 con autenticación Kerberos, que en este tema se ha llamado opción 2. Para esta opción, deben suministrarse un ID de usuario y una contraseña al controlador JDBC que el controlador utiliza para obtener sus propias credenciales Kerberos. Para utilizar esta opción, debe configurar un alias de datos de autenticación J2C en el servidor de aplicaciones en el que se ha definido el ID de usuario y la contraseña que utilizará el controlador JDBC de DB2 para solicitar un TGT (Ticket Granting Ticket) de Kerberos. El TGT se utiliza para autenticación Kerberos en un servidor DB2. Para el servidor de aplicaciones, esto se parece mucho a la autenticación típica de ID de usuario y contraseña.

Debe utilizar un controlador JDBC de DB2 que dé soporte a la autenticación Kerberos y que funcione en la modalidad de tipo 4. Los controladores JDBC admitidos son:
  • Controlador de IBM Data Server para JDBC y SQLJ (identificado en el servidor de aplicaciones como DB2 con el controlador JCC de IBM)
  • IBM DB2 JDBC Universal Driver Architecture (identificado en el servidor de aplicaciones como proveedor de controlador JDBC de DB2 Universal)

Acerca de esta tarea

Siga estos pasos para configurar el servidor de aplicaciones y DB2 para autenticarse con Kerberos:

Procedimiento

  1. Configure el servidor DB2 para que utilice la autenticación Kerberos. Consulte la documentación de seguridad de Kerberos para DB2 en el Information Center de DB2, por ejemplo, el tema sobre los detalles de autenticación de Kerberos. Otra consulta que resulta de utilidad es la sección “DB2 UDB Security, Part 6” del sitio web de IBM developerWorks. Compruebe que funciona la autenticación Kerberos de DB2.
  2. Configure el servidor de aplicaciones para que utilice seguridad Kerberos. Consulte el tema “Configuración de Kerberos como mecanismo de autenticación mediante la consola administrativa”. Compruebe que funciona la autenticación Kerberos del servidor de aplicaciones.
  3. Configure el origen de datos DB2 para que el servidor de aplicaciones utilice autenticación Kerberos. Debe seguir dos pasos para completar esta tarea: configurar el adaptador de recursos en el servidor de aplicaciones para pasar las credenciales Kerberos y las credenciales de contraseña al controlador JDBC, y configurar el controlador JDBC para que use autenticación Kerberos al conectarse al servidor DB2. Para obtener más información sobre estos pasos, consulte el tema "Configuración de un origen de datos con la consola administrativa".
    Tabla 1. Propiedades personalizadas y valores. Al configurar el origen de datos DB2, debe prestar particular atención a los valores de seguridad y las propiedades personalizadas.
    Name Valor
    kerberosServerPrincipal
    Nota: Esta propiedad es opcional excepto al conectarse a un servidor DB2 que se ejecute en una plataforma z/OS (como DB2 para LUW, v8 FP11).

    user@REALM

    o bien

    nombre_servicio/hostname@REALM

    SecurityMechanism
    Nota: Un valor de 11 para esta propiedad indica que el controlador JDBC necesita utilizar autenticación Kerberos al conectarse al servidor DB2.
    11
    1. Para la opción 2, debe configurar el “Alias de correlación-configuración” en “DefaultPrincipalMapping”, o en otra configuración de inicio de sesión que no genere GSSCredentials, y establecer el “Alias de autenticación gestionada por contenedor” para que haga referencia a un alias para que el controlador JDBC utilice el inicio de sesión Kerberos. El recurso testConnection también utiliza este alias si no se ha configurado ningún alias de autenticación gestionado por componente.
    2. Para las credenciales Kerberos delegadas de la opción 1, debe configurar el “Alias de correlación-configuración” en “KerberosMapping”. Esto indica que el adaptador de recursos del servidor de aplicaciones debe proporcionar credenciales delegadas al controlador JDBC de DB2. El recurso testConnection y el recurso de recuperación de transacciones XA no pueden proporcionar credenciales Kerberos delegadas, pero pueden revertir a la autenticación de la opción 2. Si no necesita estas funciones, puede seleccionar none (ninguno) para cada alias de autenticación. Si se utiliza testConnection y está configurado un alias de autenticación válido, se registra un mensaje informativo, DSRA8221I. Este mensaje indica que testConnection no puede ofrecer las credenciales Kerberos. Si no está configurado ningún alias, testConnection falla y devuelve un error de credenciales Kerberos no válidas que es notificado por el controlador JDBC.
      Importante: Si KerberosMapping está configurado, pero el componente de seguridad no puede proporcionar credenciales Kerberos para una solicitud de conexión determinada, el adaptador de recursos se puede configurar para revertir a la autenticación de conexión y utilizar DefaultPrincipleMapping. Para configurar este recurso de seguridad, seleccione un alias en la lista de alias de autenticación gestionada por contenedor. Para inhabilitar este recurso de seguridad, seleccione none (ninguno) en la lista de alias de autenticación gestionada por contenedor.
  4. Para habilitar la correlación Kerberos (opción 1), también debe especificar la autenticación gestionada por contenedor. Para ello, la aplicación debe utilizar una referencia de recurso para buscar el origen de datos. La referencia de recurso debe especificar KerberosMapping como configuración de inicio de sesión. Si se especifica una configuración de inicio de sesión como referencia de recurso, para que la aplicación acceda a través de esa referencia de recurso, la configuración de inicio de sesión configurada tiene prioridad sobre el valor de alias de correlación-configuración especificado en el origen de datos. También se puede especificar en la referencia de recurso un alias de autenticación gestionada por contenedor.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_db2kerberos
File name: tdat_db2kerberos.html