Fichier de configuration Kerberos
Les propriétés de configuration Kerberos (fichier krb5.ini ou krb5.conf), doivent être configurées sur toutes les instances WebSphere Application Server d'une cellule afin d'utiliser l'intercepteur TAI (Trust Association Interceptor) SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour WebSphere Application Server.

Système d'exploitation | Emplacement par défaut |
---|---|
Windows | c:\winnt\krb5.ini Remarque : Si le fichier krb5.ini ne
se trouve pas dans le répertoire c:\winnt, il figure
sous c:\windows.
|
Linux | /etc/krb5.conf |
Autres plateformes UNIX | /etc/krb5/krb5.conf |
z/OS | /etc/krb5/krb5.conf |
IBM i | /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf |
Pour TAI SPNEGO, si vous n'utilisez pas l'emplacement et le fichier de configuration Kerberos par défaut, vous devez indiquer la propriété JVM java.security.krb5.conf.
Le fichier de configuration Kerberos par défaut sous Windows est /winnt/krb5.ini et etc/krb5 dans un environnement réparti. Si vous spécifiez un autre emplacement, vous devez également spécifier la propriété JVM java.security.krb5.conf.
Par exemple, si votre fichier krb5.conf est spécifié à l'emplacement /opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf, vous devez spécifier -Djava.security.krb5.conf=/opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf.
- le fichier référencé par la propriété Java™ java.security.krb5.conf
- <java.home>/lib/security/krb5.conf
- c:\winnt\krb5.ini sur les plateformes Microsoft Windows
- /etc/krb5/krb5.conf sur les plateformes UNIX
- /etc/krb5.conf su les plateformes Linux.
- Démarrez WebSphere Application Server.
Lancez l'utilitaire de ligne de commande en exécutant la commande wsadmin à partir du répertoire racine_serveur_app/bin.
Lancez l'utilitaire de ligne de commande en exécutant la commande wsadmin à partir du répertoire racine_serveur_app/bin sur la ligne de commande Qshell.
- A l'invite de wsadmin, entrez la commande suivante :
$AdminTask createKrbConfigFile
Vous pouvez utiliser les paramètres suivants avec cette commande :Tableau 2. Paramètres de commande. Ce tableau décrit les paramètres de la commande $AdminTask createKrbConfigFile. Option Description <krbPath> Ce paramètre est obligatoire. Il fournit le chemin complet du fichier de configuration Kerberos (krb5.ini or krb5.conf). <realm> Ce paramètre est obligatoire. Il fournit le nom du domaine Kerberos. La valeur de cet attribut est utilisée par le SPNEGO TAI pour former le nom principal du service Kerberos de chacun des hôtes spécifiés avec la propriété com.ibm.ws.security.spnego.SPNid.hostName. <kdcHost> Ce paramètre est obligatoire. Il fournit le nom d'hôte du centre de distribution de clés Kerberos. <kdcPort> Ce paramètre est facultatif. Il fournit le numéro de port du centre de distribution de clés. La valeur par défaut est 88. <dns> Ce paramètre est obligatoire. Il fournit le service de nom de domaine (DNS) utilisé par défaut pour obtenir un nom d'hôte complet. <keytabPath> Ce paramètre est obligatoire. Il fournit l'emplacement du fichier de clés Kerberos. <encryption> Ce paramètre est facultatif. Il identifie la liste des types de chiffrement pris en charge, délimités par un espace. La valeur spécifiée est utilisée pour default_tkt_enctypes et default_tgs_enctypes. Les types de chiffrement par défaut sont des-cbc-md5 et rc4-hmac.
Dans l'exemple suivant, la commande wsadmin crée le fichier krb5.ini dans le répertoire c:\winnt. Le fichier de clés Kerberos par défaut se trouve également dans c:\winnt. Le véritable nom du domaine Kerberos est WSSEC.AUSTIN.IBM.COM et le nom d'hôte du centre de distribution de clés est host1.austin.ibm.com.
wsadmin>$AdminTask createKrbConfigFile {-krbPath
c:\winnt\krb5.ini -realm WSSEC.AUSTIN.IBM.COM -kdcHost host1.austin.ibm.com
-dns austin.ibm.com -keytabPath c:\winnt\krb5.keytab}
[libdefaults]
default_realm = WSSEC.AUSTIN.IBM.COM
default_keytab_name = FILE:c:\winnt\krb5.keytab
default_tkt_enctypes = des-cbc-md5 rc4-hmac
default_tgs_enctypes = des-cbc-md5 rc4-hmac
[realms]
WSSEC.AUSTIN.IBM.COM = {
kdc = host1.austin.ibm.com:88
default_domain = austin.ibm.com
}
[domain_realm]
.austin.ibm.com = WSSEC.AUSTIN.IBM.COM
Un fichier de clés Kerberos contient la liste des clés analogues aux mots de passe utilisateur. Il est important que les hôtes protègent leurs fichiers de clés Kerberos en les stockant sur le disque local. Le droit d'accès au fichier krb5.conf doit être 644, ce qui signifie que vous pouvez lire et écrire le fichier ; en revanche, les membres du groupe auquel appartient le fichier pourront uniquement le lire.
Un fichier de clés Kerberos contient la liste des clés analogues aux mots de passe utilisateur. Il est important que les hôtes protègent leurs fichiers de clés Kerberos en les stockant sur le disque local. Le droit d'accès au fichier krb5.conf doit être 644, ce qui signifie que vous pouvez lire et écrire le fichier ; en revanche, les membres du groupe auquel appartient le fichier pourront uniquement le lire. L'ID utilisateur qui exécute l'auxiliaire, le contrôle et les servants, doit disposer d'un droit de lecture pour les fichiers krb5.conf et krb5.keytab.
- Si l'environnement d'exécution ne peut pas lire l'entrée default_tkt_enctypes ou default_tgs_enctypes dans le fichier krb5.ini, si ses valeurs sont manquantes ou si elles ne sont pas prises en charge, la valeur DES-CBC-MD5 est utilisée par défaut.
![[IBM i]](../images/iseries.gif)
- Remplacez les trigraphes du fichier krb5.conf par les caractères qu'ils représentent.
- Utilisez le fichier krb5.conf généré par WebSphere Application Server.
- Utilisez un fichier de clés Microsoft Windows ou KDC (Key Distribution Center).
Les paramètres de configuration kerberos, le nom du centre de répartition des clés kerberos (KDC) et les paramètres de domaine du TAI (Trust Association Interceptor) SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) sont fournis dans le fichier de configuration kerberos ou via les fichiers de propriétés système java.security.krb5.kdc et java.security.krb5.realm.