Utilización del mandato ktab para gestionar el archivo keytab de Kerberos

El mandato del gestor de tablas de claves de Kerberos, Ktab, permite al administrador del producto gestionar los nombres y las claves de principal de servicio de Kerberos almacenadas en un archivo keytab local de Kerberos. Con IBM Software Development Kit (SDK) o Sun Java Development Kit (JDK) 1.6 o posterior, puede utilizar el mandato ktab para fusionar dos archivos de tablas de claves Kerberos.

[Solaris]Para fusionar archivos de tablas de claves, debe instalar el arreglos acumulativo Java Development Kit (JDK) Versión 1.6 SR3, que actualiza el JDK a la Versión 1.6.0_07.

[HP-UX]Para fusionar los archivos de tablas de claves, debe instalar el arreglo acumulativo Software Development Kit (SDK) versión 1.6 SR3, que actualiza el JDK a la Versión 1.6.0.02.

[AIX][Windows][Linux]Para fusionar los archivos de tablas de claves, debe instalar el arreglo acumulativo Java Development Kit (JDK) versión 1.6 SR3, que actualiza el SDK a la versión 1.6.0 de Java Technology Edition SR3.

En el archivo keytab de Kerberos se listan las claves y los nombres de principales de servicio (SPN) de Kerberos que permiten que los servicios que se ejecutan en el host validen las solicitudes de señales SPNEGO o Kerberos entrantes. Antes de configurar la autenticación web Kerberos o SPNEGO, el administrador de WebSphere Application Server debe configurar un archivo de tabla de claves Kerberos en el host que está ejecutando WebSphere Application Server.
Deprecated feature Deprecated feature:

En WebSphere Application Server Versión 6.1, se ha incluido un interceptor de asociación de confianza (TAI) que utiliza SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura las solicitudes HTTP para los recursos protegidos. En WebSphere Application Server versión 7.0, esta función está ahora en desuso.

La sustituye la autenticación web SPNEGO para proporcionar las mejoras siguientes:

  • Configurar y habilitar la autenticación web SPNEGO y los filtros en el lado de WebSphere Application Server utilizando la consola administrativa.
  • Proporciona la recarga dinámica de SPNEGO sin tener que detener y reiniciar WebSphere Application Server.
  • Proporcionar el retorno a un método de inicio de sesión de aplicación si falla la autenticación web SPNEGO.
depfeat
Importante:
  • Es importante proteger los archivos de tablas de claves y permitir que sólo puedan leerlos los usuarios autorizados del producto.
  • Cualquier actualización realizada en el archivo keytab de Kerberos utilizando Ktab no afecta a la base de datos de Kerberos. Si cambia las claves en el archivo keytab de Kerberos, también debe realizar los cambios correspondientes en la base de datos Kerberos.
La sintaxis de Ktab se ilustra a continuación utilizando Ktab con el operando -help.
$ ktab -help

Uso: java com.ibm.security.krb5.internal.tools.Ktab [opciones]
Opciones disponibles:
-l                              lista del nombre de tabla de claves y entradas
-a <nombre_principal> [contraseña]  añadir una entrada a la tabla de claves
-d <nombre_principal>               suprimir una entrada de la tabla de claves
-k <nombre_tablaclaves>             especificar vía de acceso y nombre de tabla de claves con FILE: prefijo
-m <nombre_archivo_claves_origen> <nombre_archivo_claves_destino>      especifica la fusión del nombre de archivo de tabla de claves de origen y el nombre de archivo de tabla de claves de destino
El siguiente es un ejemplo de cómo se utiliza Ktab para fusionar el archivo Krb5Host1.keytab con el archivo Krb5.Keytab:
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Fusión de archivos de tabla de claves:   source=krb5Host1.keytab   destination=krb5.keytab
Done!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
A continuación, se muestra un ejemplo de utilización de Ktab en una plataforma Linux para añadir nuevos nombres de principal al archivo keytab de Kerberos, donde ot56prod es la contraseña del nombre del principal de Kerberos:
[root@wssecjibe bin]# ./ktab -a	
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Done!
Service key for principal HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM saved

El siguiente es un ejemplo de cómo se utiliza Ktab en una plataforma Windows para listar el contenido del archivo keytab de Kerberos.
[root@wssecjibe bin]# ./ktab

        KVNO    Principal
        ----    ---------

        1       HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM

[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf 
/etc/krb5.keytab
[AIX Solaris HP-UX Linux Windows]Consejo: Puede ejecutar el mandato ktab desde el directorio raíz_instalación/java/jre/bin.
[z/OS]Consejo: Puede ejecutar el mandato ktab desde el directorio raíz_instalación/java/J5.0/bin o raíz_instalación/java64/J5.0_64/bin.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_kerb
File name: rsec_SPNEGO_kerb.html