Valores de autenticación Kerberos
Utilice esta página para configurar y verificar Kerberos como el mecanismo de autenticación para el servidor de aplicaciones.
Cuando ha entrado la información necesaria y la ha aplicado a la configuración, el nombre de principal del servidor se crea a partir del nombre de servicio, nombre de reino y nombre de host y se utiliza para verificar automáticamente la autenticación del servicio Kerberos.
Cuando está configurado, Kerberos es el mecanismo de autenticación primario. Configure la autenticación de EJB (Enterprise JavaBeans) en los recursos accediendo a los enlaces de referencias de recursos en el panel de detalles de la aplicación.
Para ver esta página de la consola de administración, pulse Configuración Kerberos.
. En Autenticación, pulseorg.ietf.jgss.GSSException, código principal: 11, código menor: 0 serie principal: Anomalía general, no se ha especificado en la serie menor de nivel GSSAPI: no puede conseguir credencial para servicio principal WAS/test@AUSTIN.IBM.COMEn el ejemplo de excepción, no se especifica el nombre de host completo, por lo que se produce una anomalía. En este fallo, el nombre de host del sistema se obtiene normalmente del archivo /etc/hosts en lugar del servidor de nombres de dominio (DNS). En los sistemas UNIX o Linux, si la línea "hosts": del archivo /etc/nsswitch.conf se ha configurado para que utilice el archivo hosts antes que el DNS, la configuración de Kerberos falla si el archivo hosts contiene una entrada para el sistema que no es el nombre de host completo.
Nombre de reino Kerberos
Especifica el nombre del reino Kerberos. En la mayoría de los casos, el reino es el nombre de dominio en letras mayúsculas. Por ejemplo, una máquina con el nombre de dominio test.austin.ibm.com normalmente tiene el nombre de reino Kerberos AUSTIN.IBM.COM.
Existen dos componentes que utilizan un nombre de reino. La implementación de IBM® del componente JGSS (Java™ Generic Security Service) obtiene el nombre de reino del archivo krb5.conf. WebSphere Application Server también mantiene un nombre de reino, que normalmente es el mismo que el que utiliza el componente JGSS. Si deja en blanco el campo de nombre de dominio Kerberos, WebSphere Application Server hereda el nombre de reino del JGSS.
Es posible que desee que WebSphere Application Server utilice un nombre de reino diferente, y puede utilizar el campo de nombre de dominio Kerberos para cambiarlo. No obstante, tenga en cuenta que si cambia el nombre de reino en la consola administrativa sólo cambia el nombre de reino de WebSphere Application Server.
Información | Valor |
---|---|
Tipo de datos: | Serie |
Nombre de servicio Kerberos
Por convenio, un principal de servicio de Kerberos se divide en tres partes: la primaria, la instancia y el nombre de reino de Kerberos. El formato del nombre principal del servicio Kerberos es servicio/<nombre_host_completo>@KERBEROS_REALM.nombre_servicio. El nombre de servicio es la primera parte del nombre de principal del servicio Kerberos. Por ejemplo, en WAS/test.austin.ibm.com@AUSTIN.IBM.COM, el nombre de servicio es WAS.
Información | Valor |
---|---|
Tipo de datos: | Serie |
Archivo de configuración Kerberos con la vía de acceso completa
El archivo de configuración de Kerberos, krb5.conf o krb5.ini, contiene información de configuración de cliente, incluidas las ubicaciones de los Centros de distribución de claves (KDC) del dominio de interés. El archivo krb5.conf se utiliza para todas las plataformas excepto en el sistema operativo Windows, que utiliza el archivo krb5.ini.
Información | Valor |
---|---|
Tipo de datos: | Serie |
Nombre del archivo de tabla de claves Kerberos con la vía de acceso completa
Especifica el nombre de archivo de la tabla de claves Kerberos con su vía de acceso completa. Puede pulsar Examinar para localizarlo. Si este campo está vacío, se utiliza el nombre de archivo de la tabla de claves especificado en el archivo de configuración de Kerberos.
Información | Valor |
---|---|
Tipo de datos: | Serie |
Recortar el dominio Kerberos del nombre de principal
Especifica si Kerberos debe eliminar el sufijo del nombre de usuario principal, empezando desde el símbolo @ que precede al nombre de reino Kerberos. Si este atributo se establece en true, el sufijo del nombre de usuario del principal se eliminará. Si este atributo se establece en false, se mantiene el sufijo del nombre principal. El valor predeterminado utilizado es true.
Información | Valor |
---|---|
Valor predeterminado: | Habilitada |
Habilitar la delegación de credenciales Kerberos
Especifica si la autenticación Kerberos debe almacenar las credenciales delegadas de Kerberos en el asunto.
Esta opción también permite que una aplicación recupere las credenciales almacenadas y las propague a otras aplicaciones en sentido descendente para la autenticación Kerberos adicional con la credencial del cliente Kerberos.
Si este parámetro es boolean: no, y el tiempo de ejecución no puede extraer una credencial de delegación GSS del cliente, se registra un mensaje de aviso.
Información | Valor |
---|---|
Valor predeterminado: | Habilitada |
![[z/OS]](../images/ngzos.gif)
Correlación de los nombres de principal de Kerberos con identidades SAF
Especifica si se debe utilizar el módulo de correlación incorporado para correlacionar el nombre de principal Kerberos con una identidad SAF en z/OS. Esta opción sólo se utiliza cuando el registro de usuarios activo es un sistema operativo local.
![[z/OS]](../images/ngzos.gif)
![[z/OS]](../images/ngzos.gif)
- No utilizar perfiles SAF para correlacionar principales de Kerberos con identidades SAF
- Seleccione esta opción si el nombre principal de Kerberos ya coincide con un usuario SAF de forma que la
correlación no es necesaria, o si se ha configurado un módulo de inicio de sesión JAAS
(Java Authentication and Authorization Service) para realizar la
correlación. Nota: Este botón sólo está visible cuando el registro de usuarios activo es el sistema operativo local y la plataforma es z/OS.
- Utilice el segmento KERB de un perfil de usuario SAF
- Seleccione esta opción para correlacionar un principal de Kerberos con un usuario SAF, en el principal de Kerberos se especifica en el segmento KERB de ese usuario SAF. Si se selecciona, la propiedad
personalizada de seguridad, com.ibm.websphere.security.krb.useBuiltInMappingToSAF, se establece en
true. Nota: Este botón sólo está visible cuando el registro de usuarios activo es el sistema operativo local y la plataforma es z/OS. Esta opción utiliza el nombre de principal de Kerberos completo y el reino Kerberos de la correlación, independientemente del valor establecido en el campo Recortar el reino Kerberos del nombre de principal.
- Utilizar perfiles RACMAP en el producto SAF para la correlación de variables distribuidas
- Seleccione esta opción para correlacionar un principal de Kerberos con un usuario SAF, en el que el
principal de Kerberos y el reino de Kerberos se especifican en los perfiles RACMAP del producto SAF. Antes de seleccionar esta opción, el producto SAF debe
dar soporte a la correlación de identidades distribuidas.
Si se selecciona, la propiedad personalizada de seguridad,
com.ibm.websphere.security.krb.useRACMAPMappingToSAF, se establece en true. Nota: Este botón sólo está visible cuando el registro de usuarios activo es un sistema operativo local, la célula no es una célula de varias versiones y el producto de seguridad z/OS da soporte a la correlación de identidades SAF (para RACF, esto significa z/OS versión 1.11 o posterior). Esta opción utiliza el nombre de principal de Kerberos completo y el reino Kerberos de la correlación, independientemente del valor establecido en el campo Recortar el reino Kerberos del nombre de principal.