Archivo de configuración de Kerberos
Las propiedades de configuración de Kerberos, los archivos krb5.ini o krb5.conf, se deben configurar en todas las instancias de WebSphere Application Server de una célula a fin de utilizar el interceptor de asociación de confianza (TAI) de WebSphere Application Server.

Sistema operativo | Ubicación predeterminada |
---|---|
Windows | c:\winnt\krb5.ini Nota: Si el archivo krb5.ini no se encuentra en el directorio c:\winnt, es posible que se encuentre en el directorio c:\windows.
|
Linux | /etc/krb5.conf |
otros basados en UNIX | /etc/krb5/krb5.conf |
z/OS | /etc/krb5/krb5.conf |
IBM i | /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf |
Para SPNEGO TAI, si no utiliza la ubicación y el nombre de archivo de configuración Kerberos por omisión, deberá especificar la propiedad java.security.krb5.conf de la JVM.
El archivo de configuración Kerberos por omisión en Windows es /winnt/krb5.ini y en un entorno distribuido es etc/krb5. Si especifica otra vía de acceso de ubicación, también deberá especificar la propiedad de JVM java.security.krb5.conf.
Por ejemplo, si se especifica el archivo krb5.conf en /opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf, debe especificar -Djava.security.krb5.conf=/opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf.
- El archivo al que hace referencia la propiedad Java™ property java.security.krb5.conf
- <java.home>/lib/security/krb5.conf
- c:\winnt\krb5.ini en plataformas Microsoft Windows
- /etc/krb5/krb5.conf en plataformas UNIX
- /etc/krb5.conf en plataformas Linux.
- Inicie WebSphere Application Server.
Inicie el programa de utilidad de la línea de mandatos ejecutando el mandato wsadmin desde el directorio raíz_servidor_apl/bin.
Inicie el programa de utilidad de la línea de mandatos ejecutando el mandato wsadmin desde el directorio raíz_servidor_apl/bin desde la línea de mandatos de Qshell.
- En el indicador de mandatos wsadmin, escriba el mandato siguiente:
$AdminTask createKrbConfigFile
Puede utilizar los parámetros siguientes con este mandato:Tabla 2. Parámetros de mandato. En esta tabla se describen los parámetros para el mandato $AdminTask createKrbConfigFile. Opción Descripción <krbPath> Este parámetro es obligatorio. Proporciona la ubicación en el sistema del archivo totalmente cualificado del archivo de configuración de Kerberos (krb5.ini o krb5.conf). <realm> Este parámetro es obligatorio. Proporciona el nombre de la esfera de Kerberos. El valor de este atributo es utilizado por el SPNEGO TAI para formar el nombre principal del servicio de Kerberos para cada uno de los hosts especificados con la propiedad com.ibm.ws.security.spnego.SPNid.hostName. <kdcHost> Este parámetro es obligatorio. Proporciona el nombre de host del KDC (Centro de distribución de claves) de Kerberos. <kdcPort> Este parámetro es opcional. Proporciona el número de puerto del KDC. El valor predeterminado, si no se especifica, es 88. <dns> Este parámetro es obligatorio. Proporciona el servicio de nombres de dominio (DNS) por omisión que se utiliza para producir un nombre de host totalmente cualificado. <keytabPath> Este parámetro es obligatorio. Proporciona la ubicación del sistema de archivos del archivo de la tabla de claves de Kerberos. <encryption> Este parámetro es opcional. Identifica la lista de tipos de cifrado soportados, separados por un espacio. El valor especificado se utiliza para default_tkt_enctypes y default_tgs_enctypes. Los tipos de cifrado por omisión, si no se especifica, son des-cbc-md5 y rc4-hmac.
En el ejemplo siguiente, el mandato wsadmin crea el archivo krb5.ini en el directorio c:\winnt. El archivo por omisión de la tabla de claves de Kerberos también está en c:\winnt. El nombre real de la esfera de Kerberos es WSSEC.AUSTIN.IBM.COM y el nombre de host del KDC es host1.austin.ibm.com.
wsadmin>$AdminTask createKrbConfigFile {-krbPath
c:\winnt\krb5.ini -realm WSSEC.AUSTIN.IBM.COM -kdcHost host1.austin.ibm.com
-dns austin.ibm.com -keytabPath c:\winnt\krb5.keytab}
[libdefaults]
default_realm = WSSEC.AUSTIN.IBM.COM
default_keytab_name = FILE:c:\winnt\krb5.keytab
default_tkt_enctypes = des-cbc-md5 rc4-hmac
default_tgs_enctypes = des-cbc-md5 rc4-hmac
[realms]
WSSEC.AUSTIN.IBM.COM = {
kdc = host1.austin.ibm.com:88
default_domain = austin.ibm.com
}
[domain_realm]
.austin.ibm.com = WSSEC.AUSTIN.IBM.COM
Un archivo de tabla de claves de Kerberos contiene una lista de claves que son análogas a las contraseñas de usuario. Es importante que los hosts protejan sus archivos de tabla de claves de Kerberos almacenándolos en el disco local. El permiso del archivo krb5.conf debe ser 644, lo que significa que puede leer y grabar el archivo. No obstante, los miembros del grupo al que pertenece el archivo y todos los demás sólo pueden leer el archivo.
Un archivo de tabla de claves de Kerberos contiene una lista de claves que son análogas a las contraseñas de usuario. Es importante que los hosts protejan sus archivos de tabla de claves de Kerberos almacenándolos en el disco local. El permiso del archivo krb5.conf debe ser 644, lo que significa que puede leer y grabar el archivo. No obstante, los miembros del grupo al que pertenece el archivo y todos los demás sólo pueden leer el archivo. El ID de usuario que ejecuta adjuntos, el control y los sirvientes debe tener acceso de lectura a los archivos krb5.conf y krb5.keytab.
- Si el tiempo de ejecución no puede leer las entradas default_tkt_enctypes o default_tgs_enctypes del archivo krb5.ini, si faltan sus valores o si estos no son compatibles, se utiliza el valor DES-CBC-MD5 de manera predeterminada.
![[IBM i]](../images/iseries.gif)
- Sustituya los trigráficos del archivo krb5.conf por los caracteres que representan.
- Utilice el archivo krb5.conf generado por WebSphere Application Server.
- Utilice un archivo de tabla de claves generado del centro de distribución de claves (KDC) o de Microsoft Windows.
Los valores de configuración Kerberos, el nombre KDC (Key Distribution Center) de Kerberos y los valores de dominio para el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) de TAI (Trust Association Interceptor) se proporcionan en el archivo de configuración Kerberos o por medio de los archivos de propiedades del sistema java.security.krb5.kdc y java.security.krb5.realm.