Mandatos de autenticación Kerberos
Utilice los mandatos de wsadmin para crear, modificar o suprimir Kerberos como mecanismo de autenticación de WebSphere Application Server.
Crear el mecanismo de autenticación de Kerberos
Son necesarios los siguientes elementos para poder utilizar el mandato createKrbAuthMechanism con el fin de crear el campo del objeto de seguridad del mecanismo de autenticación de KRB5 en el archivo de configuración de la seguridad:
- Si aún no tiene un archivo de configuración Kerberos (krb5.ini o krb5.conf), utilice la tarea de mandato createkrbConfigFile para crear el archivo de configuración Kerberos. Lea la información sobre la creación de un archivo de configuración de Kerberos para obtener más información.
- Debe tener un archivo de tabla de claves Kerberos (krb5.keytab) que contenga un nombre principal de servicio (SPN) Kerberos, <nombre de servicio>/<nombre de host totalmente calificado>@KerberosRealm, para las máquinas en las que se ejecutan servidores de aplicaciones WebSphere. El nombre de servicio puede ser cualquier cosa; el valor predeterminado es WAS.
Por ejemplo, si tiene dos máquinas del servidor de aplicaciones, host1.austin.ibm.com y host2.austin.ibm.com, el archivo de tabla de claves Kerberos debe contener los SPN <nombre de servicio>/host1.austin.ibm.com y nombre de servicio>/host2.austin.ibm.com y sus claves Kerberos.
Utilice el mandato createKrbAuthMechanism para crear el campo del objeto de seguridad del mecanismo de autenticación de KRB5 en el archivo de configuración de la seguridad.
En el indicador de mandatos wsadmin, escriba el mandato siguiente:
$AdminTask help createKrbAuthMechanism
Opción | Descripción |
---|---|
<krb5Realm> | Este parámetro es opcional. Indica el nombre de dominio de Kerberos. Si no especifica este parámetro, se utilizará el reino Kerberos predeterminado del archivo de configuración de Kerberos. |
<krb5Config> | Este parámetro es obligatorio. Indica el directorio y nombre de archivo donde se ubica el archivo de configuración (krb5.ini o krb5.conf). |
<krb5Keytab> | Este parámetro es opcional. Indica el directorio y nombre de archivo donde se ubica el archivo de tabla de claves de Kerberos. Si no especifica este parámetro, se utilizará la tabla de claves predeterminada del archivo de configuración de Kerberos. |
<serviceName> | Este parámetro es obligatorio. Indica el nombre de servicio de Kerberos. El nombre de servicio Kerberos por omisión es WAS. |
<trimUserName> | Este parámetro es opcional.
Elimina el sufijo del nombre de usuario principal, empezando desde el símbolo “@” que precede al nombre de reino Kerberos. Este parámetro es opcional.
El valor predeterminado es true. ![]() |
<enabledGssCredDelegate> | Este parámetro no es obligatorio. Puede utilizarlo para indicar si se debe extraer y colocar la credencial de delegación GSS de cliente en el asunto. El valor predeterminado es true. |
<allowKrbAuthForCsiInbound> | Este parámetro es opcional. Habilita el mecanismo de autenticación Kerberos para CSI (Common Secure Interoperability) de entrada. El valor predeterminado es true. |
<allowKrbAuthForCsiOutbound> | Este parámetro es obligatorio. Habilita el mecanismo de autenticación Kerberos para CSI de salida. El valor predeterminado es true. |
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
wsadmin>$AdminTask
createKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
Modificar el mecanismo de autenticación Kerberos
Utilice el mandato modifyKrbAuthMechanism para efectuar cambios en el campo del objeto de seguridad del mecanismo de autenticación KRB5 del archivo de configuración de la seguridad.
En el indicador de mandatos wsadmin, escriba el mandato siguiente:
$AdminTask help modifyKrbAuthMechanism
Opción | Descripción |
---|---|
<krb5Realm> | Este parámetro es opcional. Indica el nombre de dominio de Kerberos. Si no especifica este parámetro, se utilizará el reino Kerberos predeterminado del archivo de configuración de Kerberos. |
<krb5Config> | Este parámetro es obligatorio. Indica el directorio y nombre de archivo donde se ubica el archivo de configuración (krb5.ini o krb5.conf). |
<krb5Keytab> | Este parámetro es opcional. Indica el directorio y nombre de archivo donde se ubica el archivo de tabla de claves de Kerberos. Si no especifica este parámetro, se utilizará la tabla de claves predeterminada del archivo de configuración de Kerberos. |
<serviceName> | Este parámetro es obligatorio. Indica el nombre de servicio de Kerberos. El nombre de servicio Kerberos por omisión es WAS. |
<trimUserName> | Este parámetro es opcional. Elimina el sufijo del nombre de usuario principal, empezando desde el símbolo “@” que precede al nombre de reino Kerberos. Este parámetro es opcional. El valor predeterminado es true. |
<enabledGssCredDelegate> | Este parámetro no es obligatorio. Utilice este parámetro
para indicar si se debe extraer y colocar la credencial de delegación Kerberos
GSS en la señal de autenticación Kerberos (KRBAuthnToken). El valor predeterminado es true. Nota: Si este parámetro es
true, y el tiempo de ejecución no puede extraer la credencial de
delegación Kerberos GSS, el tiempo de ejecución registra un mensaje de aviso.
|
<allowKrbAuthForCsiInbound> | Este parámetro es opcional. Habilita el mecanismo de autenticación Kerberos para CSI (Common Secure Interoperability) de entrada. El valor predeterminado es true. |
<allowKrbAuthForCsiOutbound> | Este parámetro es opcional. Habilita el mecanismo de autenticación Kerberos para CSI de salida. El valor predeterminado es true. |
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
A continuación se incluye un ejemplo del mandato modifyKrbAuthMechanism:
wsadmin>$AdminTask
modifyKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
Suprimir el mecanismo de autenticación Kerberos
Utilice el mandato deleteKrbAuthMechanism para eliminar el campo del objeto de seguridad del mecanismo de autenticación KRB5 del archivo de configuración de la seguridad.
En el indicador de mandatos wsadmin, escriba el mandato siguiente:
$AdminTask help deleteKrbAuthMechanism
A continuación se incluye un ejemplo del mandato deleteKrbAuthMechanism:
wsadmin>$AdminTask deleteKrbAuthMechanism
Establecer el mecanismo de autenticación activo
Utilice el mandato setActiveAuthMechanism para establecer el atributo de mecanismo de autenticación activo en la configuración de la seguridad.
En el indicador de mandatos wsadmin, escriba el mandato siguiente:
$AdminTask help setActiveAuthMechanism
Opción | Descripción |
---|---|
<authMechanismType> | Este parámetro no es obligatorio. Indica el tipo de mecanismo de autenticación. El valor predeterminado es KRB5. |
A continuación se incluye un ejemplo del mandato setActiveAuthMechanism:
wsadmin>
$AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }