Mandatos de configuración de la autenticación web SPNEGO

Utilice los mandatos de wsadmin para configurar, desconfigurar, validar o visualizar SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) en la configuración de la seguridad.

Configurar la autenticación web SPNEGO

Nota: Antes debe tener un archivo de configuración Kerberos operativo y un archivo de tabla de claves Kerberos. Para obtener más información, consulte los temas sobre la creación de un archivo de configuración de Kerberos y la creación de un nombre principal de servicio Kerberos y un archivo keytab.

Utilice el mandato configureSpnego para configurar SPNEGO como un autenticador web en la configuración de la seguridad.

En el indicador wsadmin, escriba el siguiente mandato para obtener ayuda:

Wsadmin>$AdminTask
help configureSpnego

Tabla 1. Parámetros del mandato. Puede utilizar los siguientes parámetros con el mandato configureSpnego:
Opción Descripción
<enabled> Este parámetro es opcional. Habilita la autenticación web SPNEGO.
<dynamicReload> Este parámetro es opcional. Habilita la recarga dinámica de los filtros de autenticación web SPNEGO.
<allowAppAuthMethodFallback> Este parámetro es opcional. Permite revertir al mecanismo de autenticación de la aplicación.
<krb5Config> Este parámetro es obligatorio. Proporciona el directorio y nombre de archivo donde se ubica el archivo de configuración (krb5.ini o krb5.conf).
<krb5Keytab> Este parámetro es opcional. Proporciona el directorio y nombre de archivo donde se ubica el archivo de tabla de claves de Kerberos. Si no especifica este parámetro, se utilizará la tabla de claves predeterminada del archivo de configuración de Kerberos.
Nota: Las variables de WebSphere pueden utilizarse para especificar las vías de acceso de los archivos krb5Config y krb5Keytab. Si utiliza un entorno de varias plataformas distintas, puede utilizar una variable ${CONF_OR_INI} para el archivo de configuración de Kerberos. La configuración de la seguridad lo ampliará a “ini” para Windows o a “conf” para las plataformas que no son Windows. Por ejemplo:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Nota: Los mandatos configureSpnego y validateSpnegoConfig verifican los archivos krb5Config y krb5Keytab únicamente si SPNEGO está habilitado. Si SPNEGO no está habilitado, estos mandatos sólo verifican si los archivos krb5Config y krb5Keytab existen. Esto le permite configurar SPNEGO sin habilitarlo.

Eliminar la configuración de la autenticación web SPNEGO

Utilice el mandato unconfigureSpnego para anular la configuración de la autenticación web SPNEGO en la configuración de seguridad.

En el indicador wsadmin, escriba el siguiente mandato para obtener ayuda:

wsadmin>$AdminTask
help unconfigureSpnego

Mostrar autenticación web SPNEGO

Utilice el mandato showSPNEGO para visualizar la autenticación web SPNEGO en la configuración de seguridad.

En el indicador wsadmin, escriba el siguiente mandato para obtener ayuda:

wsadmin>$AdminTask
help showSpnego

Validar configuración Kerberos

Utilice el mandato validateKrbConfig para validar los datos de configuración Kerberos en el archivo de seguridad global security.xml o especificado como parámetro de entrada.

En el indicador wsadmin, escriba el siguiente mandato para obtener ayuda:

wsadmin>$AdminTask help validateKrbConfig

Puede utilizar los siguientes parámetros con el mandato validateKrbConfig:
Tabla 2. Parámetros del mandato.

En esta tabla se describen los parámetros para el mandato validateKrbConfig.

Opción Descripción
<checkConfigOnly> Comprueba la configuración de Kerberos sin validar. Debe utilizar la seguridad global en esta comprobación.
<useGlobalSecurityConfig> Utiliza los datos de configuración de la seguridad global, security.xml, en lugar de parámetros de entrada.
<validateKrbRealm> Valida el reino de Kerberos frente al reino Kerberos por omisión en el archivo de configuración (krb5.ini o krb5.conf).
<serverId> Especifica la identidad de servidor que se utiliza para las comunicaciones de procesos internos.
<serverIdPassword> Especifica la contraseña que se utiliza para la identidad de servidor.
<krb5Spn> Especifica el nombre de principal del servicio Kerberos en el archivo de tabla de claves de Kerberos.
<krb5Config > Este parámetro es obligatorio. Proporciona el directorio y nombre de archivo donde se ubica el archivo de configuración (krb5.ini o krb5.conf).
<krb5Keytab> Este parámetro es opcional. Proporciona el directorio y nombre de archivo donde se ubica el archivo de tabla de claves de Kerberos. Si no especifica este parámetro, se utilizará la tabla de claves predeterminada del archivo de configuración de Kerberos.
<krb5Realm > Este parámetro es obligatorio. Especifica el valor del nombre de reino de Kerberos.
Nota: Las variables de WebSphere pueden utilizarse para especificar las vías de acceso de los archivos krb5Config y krb5Keytab. Si utiliza un entorno de varias plataformas distintas, puede utilizar una variable ${CONF_OR_INI} para el archivo de configuración de Kerberos. La configuración de la seguridad lo ampliará a ini para Windows o a conf para plataformas que no son Windows. Por ejemplo:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Nota: Para validar la configuración de Kerberos en el archivo security.xml de configuración de seguridad global, ejecute validateKrbConfig sin ningún parámetro o con el parámetro useGlobalSecurityConfig establecido en true. Para validar la configuración de Kerberos con parámetros de entrada, establezca useGlobalSecurityConfig y checkConfigOnly en false y especifique valores para krb5Spn, krb5Config, krb5Keytab y krb5Realm.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_auth_commands
File name: rsec_SPNEGO_auth_commands.html