Paramètres d'authentification Kerberos

Cette page permet de configurer et de vérifier Kerberos en tant que mécanisme d'authentification pour le serveur d'applications.

Une fois les informations requises entrées et appliquées à la configuration, le nom principal du serveur est créé à partir du nom de service, du nom de domaine et du nom d'hôte. Il permet de vérifier automatiquement l'authentification auprès du service Kerberos.

Une fois configuré, Kerberos est le mécanisme d'authentification principal. Configurez l'authentification Enterprise JavaBeans (EJB) auprès des ressources en accédant aux liens des références des ressources sur le panneau des détails de l'application.

Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Sécurité globale. Sous Authentification, cliquez sur Configuration de Kerberos.

Remarque : Lorsque vous configurez Kerberos, le format du service principal doit être le suivant : <nom du service>/<nom_hôte_qualifié_complet>@KerberosRealm. Si vous ne respectez pas ce format, l'erreur suivante peut survenir :
org.ietf.jgss.GSSException ; code d'événement majeur :11 ; code
d'événement mineur : 0 ; chaîne de l'événement majeur : Echec
général,
informations non spécifiées au niveau de GSSAPI ; chaîne de
l'événement mineur : Impossible d'obtenir les données
d'identification pour 
le service principal service
WAS/test@AUSTIN.IBM.COM
Dans cet exemple d'exception, le nom d'hôte qualifié complet n'a pas été indiqué, ce qui a causé l'échec. Pour ce type d'échec, on obtient généralement le nom d'hôte du système depuis le fichier /etc/hosts au lieu du serveur DNS (Domain Name Server). Sur les systèmes UNIX et Linux, si la ligne "hosts": qui figure dans le fichier /etc/nsswitch.conf est configurée avant le DNS, la configuration de Kerberos échoue si le fichier hosts contient une entrée pour le système qui n'est pas le nom d'hôte qualifié complet.

Nom du domaine Kerberos

Indique le nom de votre domaine Kerberos. Dans la plupart des cas, votre domaine Kerberos correspond au nom de domaine en majuscules. Par exemple, une machine portant le nom de domaine test.austin.ibm.com possède généralement le nom de domaine Kerberos AUSTIN.IBM.COM.

Il existe deux composants qui utilisent un nom de domaine. L'implémentation IBM® du composant JGSS (Java™ Generic Security Service) obtient le nom de domaine du fichier krb5.conf. WebSphere Application Server conserve également un nom de domaine, lequel est généralement identique à celui utilisé par JGSS. Si vous n'indiquez pas de nom de domaine Kerberos, WebSphere Application Server hérite du nom de domaine à partir de JGSS.

Vous pouvez faire en sorte que WebSphere Application Server emploie un nom de domaine différent et puisse utiliser la zone Nom du domaine Kerberos pour le modifier. Notez cependant que si vous modifiez le nom de domaine dans la console d'administration, seul le nom de domaine WebSphere Application Server est modifié.

Information valeur
Type de données : String (chaîne)

Nom du service Kerberos

Par convention, un principal de service Kerberos est divisé en trois parties : l'élément principal, l'instance et le nom de domaine Kerberos. Le format du nom de principal du service Kerberos est service/<nom hôte qualifié complet>@KERBEROS_REALM.nom_service. Le nom de service constitue la première partie du nom de principal de service Kerberos. Par exemple, dans WAS/test.austin.ibm.com@AUSTIN.IBM.COM, le nom de service est WAS.

Information valeur
Type de données : String (chaîne)

Fichier de configuration Kerberos avec chemin complet

Le fichier de configuration Kerberos, krb5.conf ou krb5.ini, contient les informations de configuration client, incluant les emplacements des centres KDC (Key Distribution Center) du domaine concerné. Le fichier krb5.conf est utilisé pour toutes les plateformes à l'exception de Windows qui utilise le fichier krb5.ini.

Information valeur
Type de données : String (chaîne)

Nom du fichier de clés Kerberos avec chemin complet

Indique le nom du fichier de clés Kerberos avec son chemin complet. Vous pouvez cliquer sur Parcourir pour le localiser. Si cette zone est vide, le nom du fichier de clés spécifié dans le fichier de configuration Kerberos est utilisé.

Information valeur
Type de données : String (chaîne)

Retirer le domaine Kerberos du nom de principal

Indique si Kerberos supprime le suffixe du nom d'utilisateur principal, à partir du caractère @ précédant le nom de domaine Kerberos. Si la valeur true est attribuée à cet attribut, le suffixe du nom d'utilisateur principal est supprimé. Si, par contre, la valeur false lui est attribuée, le suffixe du nom principal est conservé. La valeur utilisée par défaut est true.

Information valeur
Valeur par défaut Activé

Activer la délégation des justificatifs Kerberos

Indique si les données d'identification déléguées de Kerberos doivent être stockées dans le sujet par l'authentification Kerberos.

Cette option permet également à une application de récupérer les justificatifs stockés et de les propager vers d'autres applications en aval pour une authentification Kerberos supplémentaire avec le justificatif du client Kerberos.

Si ce paramètre a pour valeur boolean: no et si aucun justificatif de délégation GSS client n'est extrait au cours de l'exécution, un message d'avertissement est consigné.

Information valeur
Valeur par défaut Activé
[z/OS]

Mappage des noms de principal Kerberos à des identités SAF

Indique si l'utilisation du module de mappage intégré est requise pour mapper un nom de principal Kerberos à une identité SAF sous z/OS. Cette option ne s'applique que lorsque le registre d'utilisateurs actif est le système d'exploitation local.

Remarque : Une configuration supplémentaire est requise. Pour plus d'informations, voir [z/OS]Mappage d'un principal Kerberos à une identité SAF (System Authorization Facility) sur z/OS.
Remarque : L'option Utiliser le segment KERB d'un profil utilisateur SAF utilise le nom de principal Kerberos complet et le domaine Kerberos pour le mappage, quelle que soit la valeur définie dans la zone Retirer le domaine Kerberos du nom de principal.
Cliquez sur l'un des boutons d'option suivants :
Remarque : L'option par défaut est Ne pas utiliser de profils SAF pour le mappage de principaux Kerberos à des identités SAF.
[z/OS]
Ne pas utiliser de profils SAF pour le mappage de principaux Kerberos à des identités SAF
Sélectionnez cette option si le nom du principal Kerberos correspond déjà à un utilisateur et que le mappage n'est pas nécessaire ou si un module de connexion JAAS (Java Authentication and Authorization Service) est configuré pour le mappage.
Remarque : Ce bouton n'est visible que si le registre d'utilisateurs actif est le système d'exploitation local et la plateforme est z/OS.
Utiliser le segment KERB d'un profil utilisateur SAF
Sélectionnez cette option pour mapper un principal Kerberos sur un utilisateur SAF lorsque le principal Kerberos est indiqué dans le segment KERB de cet utilisateur SAF. Lorsqu'elle est sélectionné, la propriété de sécurité personnalisée, com.ibm.websphere.security.krb.useBuiltInMappingToSAF, est paramétrée sur true.
Remarque : Ce bouton n'est visible que si le registre d'utilisateurs actif est le système d'exploitation local et la plateforme est z/OS. Cette option utilise le nom de principal Kerberos et le domaine Kerberos complet pour le mappage, quelle que soit la valeur dans la zone Retirer le domaine Kerberos du nom de principal.
Utiliser les profils RACMAP du produit SAF pour le mappage d'identité réparti
Sélectionnez cette option pour mapper un principal Kerberos sur un utilisateur SAF lorsque le principal Kerberos et le domaine Kerberos sont indiqués dans les profils RACMAP du produit SAF. Pour pouvoir sélectionner cette option, le produit SAF doit prendre en charge le mappage d'identité réparti. Lorsqu'elle est sélectionné, la propriété de sécurité personnalisée, com.ibm.websphere.security.krb.useRACMAPMappingToSAF, est paramétrée sur true.
Remarque : Ce bouton n'est visible que lorsque le registre d'utilisateurs actif est le système d'exploitation local, que la cellule n'est pas une version mixte et que le produit de sécurité z/OS prend en charge le mappage d'identité SAF (pour RACF, cela signifie z/OS version 1.11 ou ultérieure). Cette option utilise le nom de principal Kerberos et le domaine Kerberos complet pour le mappage, quelle que soit la valeur dans la zone Retirer le domaine Kerberos du nom de principal.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_kerb_auth_mech
Nom du fichier : usec_kerb_auth_mech.html