Utilización del mandato ktab para gestionar el archivo keytab de Kerberos
El mandato del gestor de tablas de claves de Kerberos, Ktab, permite al administrador del producto gestionar los nombres y las claves de principal de servicio de Kerberos almacenadas en un archivo keytab local de Kerberos. Con IBM Software Development Kit (SDK) o Sun Java Development Kit (JDK) 1.6 o posterior, puede utilizar el mandato ktab para fusionar dos archivos de tablas de claves Kerberos.
Para fusionar archivos de tablas de claves, debe instalar el arreglos acumulativo Java Development Kit (JDK) Versión 1.6 SR3, que actualiza el JDK a la Versión 1.6.0_07.
Para fusionar los archivos de tablas de claves, debe instalar el arreglo acumulativo Software Development Kit (SDK) versión 1.6 SR3, que actualiza el JDK a la Versión 1.6.0.02.
Para fusionar los archivos de tablas de claves,
debe instalar el arreglo acumulativo Java Development Kit (JDK) versión 1.6
SR3, que actualiza el SDK a la versión 1.6.0 de Java
Technology Edition SR3.

En WebSphere Application Server Versión 6.1, se ha incluido un interceptor de asociación de confianza (TAI) que utiliza SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura las solicitudes HTTP para los recursos protegidos. En WebSphere Application Server versión 7.0, esta función está ahora en desuso.
La sustituye la autenticación web SPNEGO para proporcionar las mejoras siguientes:
- Configurar y habilitar la autenticación web SPNEGO y los filtros en el lado de WebSphere Application Server utilizando la consola administrativa.
- Proporciona la recarga dinámica de SPNEGO sin tener que detener y reiniciar WebSphere Application Server.
- Proporcionar el retorno a un método de inicio de sesión de aplicación si falla la autenticación web SPNEGO.
- Es importante proteger los archivos de tablas de claves y permitir que sólo puedan leerlos los usuarios autorizados del producto.
- Cualquier actualización realizada en el archivo keytab de Kerberos utilizando Ktab no afecta a la base de datos de Kerberos. Si cambia las claves en el archivo keytab de Kerberos, también debe realizar los cambios correspondientes en la base de datos Kerberos.
$ ktab -help
Uso: java com.ibm.security.krb5.internal.tools.Ktab [opciones]
Opciones disponibles:
-l lista del nombre de tabla de claves y entradas
-a <nombre_principal> [contraseña] añadir una entrada a la tabla de claves
-d <nombre_principal> suprimir una entrada de la tabla de claves
-k <nombre_tablaclaves> especificar vía de acceso y nombre de tabla de claves con FILE: prefijo
-m <nombre_archivo_claves_origen> <nombre_archivo_claves_destino> especifica la fusión del nombre de archivo de tabla de claves de origen y el nombre de archivo de tabla de claves de destino
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Fusión de archivos de tabla de claves: source=krb5Host1.keytab destination=krb5.keytab
Done!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
[root@wssecjibe bin]# ./ktab -a
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Done!
Service key for principal HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM saved
[root@wssecjibe bin]# ./ktab
KVNO Principal
---- ---------
1 HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf
/etc/krb5.keytab
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)