Configuración de Kerberos como mecanismo de autenticación para WebSphere Application Server

Debe llevar a cabo estos pasos para configurar Kerberos como mecanismo de autenticación para WebSphere Application Server.

Acerca de esta tarea

Nota: El mecanismo de autenticación de Kerberos en el lado del servidor debe ser llevado a cabo por el administrador del sistema y, por los usuarios finales, en el lado del cliente de Java™. El archivo keytab de Kerberos no debe estar protegido.

Primero debe asegurarse de que ha configurado el KDC. Para obtener más información, consulte la guía del administrador y del usuario de Kerberos.

[z/OS]Para configurar un KDC en z/OS, debe activar la clase APPL en RACF. Esta acción tiene el efecto de habilitar el perfil de clase APPL definido para WebSphere y puede restringir la posibilidad de que los usuarios autenticados accedan a aplicaciones que se ejecutan en WebSphere. Si su configuración de seguridad utiliza un prefijo de perfiles SAF, el nombre del perfil será el prefijo del perfil SAF. De lo contrario, el nombre del perfil será CBS390. Para controlar si se ha seleccionado el perfil APPL para la autorización WebSphere, puede configurar el recuadro de selección correspondiente a "Utilizar el perfil APPL para limitar el acceso al servidor" en el panel de autorización SAF de la consola administrativa. Este valor se puede configurar en un nivel de dominio de seguridad de WebSphere.

Avoid trouble Avoid trouble: Cuando se configura el archivo envar para un KDC de z/OS, solicite los tipos de cifrado de más seguros a menos seguros para la variable de entorno SKDC_TKT_ENCTYPES. El KDC de z/OS prefiere utilizar los tipos de cifrado que están en primer lugar de la lista, de izquierda a derecha.gotcha

Debe llevar a cabo los pasos siguientes para configurar Kerberos como mecanismo de autenticación para WebSphere Application Server.

Procedimiento

  1. Cree un nombre principal del servicio y un archivo de tabla de claves Kerberos
    1. Puede crear un nombre principal del servicio Kerberos y un archivo de tabla de claves cuando utiliza los Centros de distribución de claves (KDC) de los sistemas operativos Microsoft Windows, iSeries, Linux, Solaris, Massachusetts Institute of Technology (MIT) y z/OS. Kerberos prefiere que los servidores y servicios tengan un ID de servicio basado en host. El formato de este ID es <nombre_servicio>/<nombre_host_calificado>. El nombre del servicio predeterminado es WAS. Para la autenticación Kerberos, el nombre del servicio puede ser cualquier cadena que admita el KDC. Sin embargo, para la autenticación web de SPNEGO, el nombre de servicio deberá ser HTTP. Un ejemplo de ID WebSphere Application Server es WAS/myhost.austin.ibm.com.

      Cada host debe tener un ID de servidor exclusivo para el nombre de host. Todos los procesos del mismo nodo comparten el mismo ID de servicio basado en host.

      Un administrador Kerberos crea un nombre principal de servicio Kerberos (SPN) para cada nodo de la célula WebSphere. Por ejemplo, para un célula con tres nodos, (por ejemplo server1.austin.ibm.com, server2.austin.ibm.com y server3.austin.ibm.com), el administrador Kerberos deberá crear los principales de servicio Kerberos siguientes: WAS/server1.austin.ibm.com, WAS/server2.austin.ibm.com y WAS/server3.austin.ibm.com.

      El archivo keytab de kerberos krb5.keytab contiene todos los SPN del nodo y debe estar protegido. Este archivo se puede colocar en el directorio config/cells/<nombre_célula>.

      Lea el artículo sobre la creación de un principal y tabla de clave kerberos para obtener más información.

  2. Cree un archivo de configuración Kerberos
    1. La implementación de IBM® de JGSS (Java Generic Security Service) y KRB5 requiere un archivo de configuración de Kerberos krb5.conf o krb5.ini en cada nodo o JVM (Java Virtual Machine). En este release de WebSphere Application Server, este archivo de configuración se debe colocar en el directorio config/cells/<nombre_célula>, de modo que todos los servidores de aplicaciones puedan acceder a este archivo. Si no dispone de un archivo de configuración Kerberos, utilice un mandato wsadmin para crearlo. Lea el artículo acerca de la creación de un artículo de configuración Kerberos para obtener más información.
  3. Configure Kerberos como mecanismo de autenticación para WebSphere Application Server mediante la consola administrativa
    1. Utilice la consola administrativa para configurar Kerberos como mecanismo de autenticación para el servidor de aplicaciones. Cuando haya especificado y aplicado la información necesaria en la configuración, el nombre principal del servicio Kerberos se formará como <nombre de servicio>/<nombre de host completo>@KerberosRealm, y se utiliza para verificar las solicitudes entrantes de señales Kerberos. Lea el tema Configuración de Kerberos como el mecanismo de autenticación para obtener más información.
  4. Correlacionar un nombre principal de cliente Kerberos con el ID del registro de usuarios de WebSphere
    1. Puede correlacionar el nombre principal de cliente Kerberos con el ID del registro de usuarios de WebSphere tanto para la autenticación web SPNEGO (Simple and Protected GSS-API Negotiation) como para la autenticación Kerberos. Para obtener más información, consulte el artículo Correlación de un nombre principal de cliente Kerberos con el ID del registro de usuarios de WebSphere.

      [z/OS]Opcionalmente, puede correlacionar un principal de Kerberos con una identidad SAF (System Authorization Facility) en z/OS.

      [z/OS]Si elige el botón de selección Utilizar el segmento KERB de un perfil de usuario SAF en el panel de Kerberos de la consola administrativa de WebSphere Application Server, debe tener los usuarios del sistema operativo local correlacionados con un principal de Kerberos específico. Consulte Correlación de un principal de Kerberos con una identidad SAF (System Authorization Facility) en z/OS si desea más información.

  5. Configurar Kerberos como mecanismo de autenticación para el cliente Java puro (opcional)
    1. Un cliente Java se puede autenticar con WebSphere Application Server, con un nombre principal y una contraseña Kerberos o con la memoria caché de credenciales Kerberos (krb5Ccache). Para obtener más información, lea el artículo Configuración de un cliente Java para la autenticación Kerberos.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_setup
File name: tsec_kerb_setup.html