Mandatos de autenticación Kerberos

Utilice los mandatos de wsadmin para crear, modificar o suprimir Kerberos como mecanismo de autenticación de WebSphere Application Server.

Crear el mecanismo de autenticación de Kerberos

Nota:

Son necesarios los siguientes elementos para poder utilizar el mandato createKrbAuthMechanism con el fin de crear el campo del objeto de seguridad del mecanismo de autenticación de KRB5 en el archivo de configuración de la seguridad:

  • Si aún no tiene un archivo de configuración Kerberos (krb5.ini o krb5.conf), utilice la tarea de mandato createkrbConfigFile para crear el archivo de configuración Kerberos. Lea la información sobre la creación de un archivo de configuración de Kerberos para obtener más información.
  • Debe tener un archivo de tabla de claves Kerberos (krb5.keytab) que contenga un nombre principal de servicio (SPN) Kerberos, <nombre de servicio>/<nombre de host totalmente calificado>@KerberosRealm, para las máquinas en las que se ejecutan servidores de aplicaciones WebSphere. El nombre de servicio puede ser cualquier cosa; el valor predeterminado es WAS.

    Por ejemplo, si tiene dos máquinas del servidor de aplicaciones, host1.austin.ibm.com y host2.austin.ibm.com, el archivo de tabla de claves Kerberos debe contener los SPN <nombre de servicio>/host1.austin.ibm.com y nombre de servicio>/host2.austin.ibm.com y sus claves Kerberos.

Utilice el mandato createKrbAuthMechanism para crear el campo del objeto de seguridad del mecanismo de autenticación de KRB5 en el archivo de configuración de la seguridad.

En el indicador de mandatos wsadmin, escriba el mandato siguiente:

$AdminTask help createKrbAuthMechanism
Tabla 1. Parámetros de mandato. Puede utilizar los siguientes parámetros con el mandato createKrbAuthMechanism.
Opción Descripción
<krb5Realm> Este parámetro es opcional. Indica el nombre de dominio de Kerberos. Si no especifica este parámetro, se utilizará el reino Kerberos predeterminado del archivo de configuración de Kerberos.
<krb5Config> Este parámetro es obligatorio. Indica el directorio y nombre de archivo donde se ubica el archivo de configuración (krb5.ini o krb5.conf).
<krb5Keytab> Este parámetro es opcional. Indica el directorio y nombre de archivo donde se ubica el archivo de tabla de claves de Kerberos. Si no especifica este parámetro, se utilizará la tabla de claves predeterminada del archivo de configuración de Kerberos.
<serviceName> Este parámetro es obligatorio. Indica el nombre de servicio de Kerberos. El nombre de servicio Kerberos por omisión es WAS.
<trimUserName> Este parámetro es opcional. Elimina el sufijo del nombre de usuario principal, empezando desde el símbolo “@” que precede al nombre de reino Kerberos. Este parámetro es opcional. El valor predeterminado es true.
[z/OS]Nota: Debe establecer este campo en true si utiliza tanto el registro del sistema operativo local en z/OS y marque el botón de selección Utilizar el segmento KERB de un perfil de usuario SAF para correlacionar principales Kerberos con identidades SAF.
<enabledGssCredDelegate> Este parámetro no es obligatorio. Puede utilizarlo para indicar si se debe extraer y colocar la credencial de delegación GSS de cliente en el asunto. El valor predeterminado es true.
<allowKrbAuthForCsiInbound> Este parámetro es opcional. Habilita el mecanismo de autenticación Kerberos para CSI (Common Secure Interoperability) de entrada. El valor predeterminado es true.
<allowKrbAuthForCsiOutbound> Este parámetro es obligatorio. Habilita el mecanismo de autenticación Kerberos para CSI de salida. El valor predeterminado es true.
Nota: El nombre del archivo de configuración Kerberos y la vía de acceso del nombre de archivo de tabla de claves Kerberos no es necesario que sean vías de acceso absolutas. En su lugar puede usar variables de WebSphere para las vías de acceso. Si utiliza un entorno de varias plataformas distintas, puede utilizar una variable ${CONF_OR_INI} para el archivo de configuración de Kerberos. La configuración de la seguridad lo ampliará a “ini” para Windows o a “conf” para las plataformas que no son Windows. Por ejemplo:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
A continuación se incluye un ejemplo del mandato createKrbAuthMechanism:
wsadmin>$AdminTask
createKrbAuthMechanism { 
		-krb5Realm  WSSEC.AUSTIN.IBM.COM 
		-krb5Config C:\\WINNT\\krb5.ini 
		-krb5Keytab C:\\WINNT\\krb5.keytab 
		-serviceName WAS }

Modificar el mecanismo de autenticación Kerberos

Utilice el mandato modifyKrbAuthMechanism para efectuar cambios en el campo del objeto de seguridad del mecanismo de autenticación KRB5 del archivo de configuración de la seguridad.

En el indicador de mandatos wsadmin, escriba el mandato siguiente:

$AdminTask help modifyKrbAuthMechanism
Tabla 2. Parámetros de mandato. Puede utilizar los siguientes parámetros con el mandato modifyKrbAuthMechanism.
Opción Descripción
<krb5Realm> Este parámetro es opcional. Indica el nombre de dominio de Kerberos. Si no especifica este parámetro, se utilizará el reino Kerberos predeterminado del archivo de configuración de Kerberos.
<krb5Config> Este parámetro es obligatorio. Indica el directorio y nombre de archivo donde se ubica el archivo de configuración (krb5.ini o krb5.conf).
<krb5Keytab> Este parámetro es opcional. Indica el directorio y nombre de archivo donde se ubica el archivo de tabla de claves de Kerberos. Si no especifica este parámetro, se utilizará la tabla de claves predeterminada del archivo de configuración de Kerberos.
<serviceName> Este parámetro es obligatorio. Indica el nombre de servicio de Kerberos. El nombre de servicio Kerberos por omisión es WAS.
<trimUserName> Este parámetro es opcional. Elimina el sufijo del nombre de usuario principal, empezando desde el símbolo “@” que precede al nombre de reino Kerberos. Este parámetro es opcional. El valor predeterminado es true.
<enabledGssCredDelegate> Este parámetro no es obligatorio. Utilice este parámetro para indicar si se debe extraer y colocar la credencial de delegación Kerberos GSS en la señal de autenticación Kerberos (KRBAuthnToken). El valor predeterminado es true.
Nota: Si este parámetro es true, y el tiempo de ejecución no puede extraer la credencial de delegación Kerberos GSS, el tiempo de ejecución registra un mensaje de aviso.
<allowKrbAuthForCsiInbound> Este parámetro es opcional. Habilita el mecanismo de autenticación Kerberos para CSI (Common Secure Interoperability) de entrada. El valor predeterminado es true.
<allowKrbAuthForCsiOutbound> Este parámetro es opcional. Habilita el mecanismo de autenticación Kerberos para CSI de salida. El valor predeterminado es true.
Nota: El nombre del archivo de configuración Kerberos y la vía de acceso del nombre de archivo de tabla de claves Kerberos no es necesario que sean vías de acceso absolutas. En su lugar puede usar variables de WebSphere para las vías de acceso. Si utiliza un entorno de varias plataformas distintas, puede utilizar una variable ${CONF_OR_INI} para el archivo de configuración de Kerberos. La configuración de la seguridad lo ampliará a “ini” para Windows o a “conf” para las plataformas que no son Windows. Por ejemplo:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}

A continuación se incluye un ejemplo del mandato modifyKrbAuthMechanism:

wsadmin>$AdminTask
modifyKrbAuthMechanism {
			-krb5Realm  WSSEC.AUSTIN.IBM.COM 
			-krb5Config C:\\WINNT\\krb5.ini 
			-krb5Keytab C:\\WINNT\\krb5.keytab 
			-serviceName WAS }

Suprimir el mecanismo de autenticación Kerberos

Utilice el mandato deleteKrbAuthMechanism para eliminar el campo del objeto de seguridad del mecanismo de autenticación KRB5 del archivo de configuración de la seguridad.

En el indicador de mandatos wsadmin, escriba el mandato siguiente:

$AdminTask help deleteKrbAuthMechanism

A continuación se incluye un ejemplo del mandato deleteKrbAuthMechanism:

	wsadmin>$AdminTask deleteKrbAuthMechanism

Establecer el mecanismo de autenticación activo

Utilice el mandato setActiveAuthMechanism para establecer el atributo de mecanismo de autenticación activo en la configuración de la seguridad.

En el indicador de mandatos wsadmin, escriba el mandato siguiente:

$AdminTask help setActiveAuthMechanism
Tabla 3. Parámetros de mandato. Puede utilizar el siguiente parámetro con el mandato setActiveAuthMechanism.
Opción Descripción
<authMechanismType> Este parámetro no es obligatorio. Indica el tipo de mecanismo de autenticación. El valor predeterminado es KRB5.

A continuación se incluye un ejemplo del mandato setActiveAuthMechanism:

wsadmin>
$AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_kerb_auth_commands
File name: rsec_kerb_auth_commands.html