Señal Kerberos de seguridad de servicios Web para la autenticación en un entorno reino Kerberos individual o cruzado
Para proteger los mensajes de servicios web, puede utilizar una señal Kerberos como señal de autenticación o señal de protección de mensajes. Para la autenticación Kerberos, se soportan el entorno de reino Kerberos individual y el entorno de reino Kerberos cruzado o de confianza.
Entorno de reino individual
ServiceName/HostName@Kerberos_Realm_Name
Para
la configuración a nivel de célula en WebSphere
Application Server, todos los proveedores de servicios utilizan el mismo reino
Kerberos.Si el proveedor de servicios utiliza la identidad Kerberos del cliente para las solicitudes de servicios web en sentido descendente, debe existir un tíquet Kerberos delegado en la señal Kerberos especificada en el archivo de configuración de Kerberos. El módulo de inicio de sesión JAAS de sistema para Kerberos se añade al emisor de seguridad de servicios Web proporcionado. Para obtener más información sobre cómo utilizar la señal Kerberos para credenciales de emisor, lea la información sobre cómo actualizar el inicio de sesión JAAS (Java™ Authentication and Authorization Service) de sistema con el módulo de inicio de sesión Kerberos y cómo crear un archivo de configuración Kerberos.
Entorno de reino cruzado o entorno de reino de confianza
- Se debe realizar la configuración de reino de confianza de Kerberos para todos los KDC Kerberos configurados. Consulte la guía del administrador y del usuario de Kerberos para obtener más información sobre cómo configurar un reino de confianza de Kerberos.
- El archivo de configuración de Kerberos (krb5.ini en Windows y krb5.conf para plataformas Unix y z/OS) debe listar los reinos de confianza. Consulte la guía del administrador y del usuario de Kerberos para obtener más información.
- Los enlaces de generador de señales de aplicación cliente se deben configurar con la información SPN de Kerberos del proveedor de servicios. Para obtener más información, consulte la configuración de los enlaces para la protección de mensajes para Kerberos.
NombreServicio/NombreHost@Nombre_Reino_Kerberos
La
aplicación cliente debe especificar el nombre de reino Kerberos para el cliente
en la parte de manejador de retorno de llamada de los enlaces de generador de señal
de política de cliente. A nivel de célula, todos los proveedores de servicios utilizan el mismo reino
Kerberos. Sin embargo, las aplicaciones cliente pueden seguir definiendo
su propio reino Kerberos. Sólo se soporta la autenticación entre reinos de confianza de igual a igual y
de confianza transitiva.La figura siguiente ilustra la relación entre reinos de confianza tal como se define en el Centro de distribución de claves de (KDC) de Kerberos:

Si el proveedor de servicios utiliza la identidad Kerberos del cliente para las solicitudes de servicios web en sentido descendente, debe existir un tíquet Kerberos delegado en la señal Kerberos configurada en el archivo de configuración de Kerberos. El módulo de inicio de sesión JAAS de sistema para Kerberos se añade al emisor de seguridad de servicios Web proporcionado. Para obtener más información sobre cómo utilizar la señal Kerberos para las credenciales de emisor, lea la información sobre cómo actualizar el inicio de sesión de JAAS de sistema con el módulo de inicio de sesión Kerberos y cómo crear un archivo de configuración Kerberos.