Création d'un principal de service et d'un fichier de clés Kerberos utilisé par l'intercepteur TAI SPNEGO WebSphere Application Server (obsolète)
Vous effectuez cette tâche de configuration sur la machine contrôleur de domaine Microsoft Active Directory. Cette tâche est un composant nécessaire pour la préparation des demandes d'ouverture de session unique du navigateur sur WebSphere Application Server et sur l'intercepteur TAI SPNEGO.
Avant de commencer

Dans WebSphere Application Server version 6.1, un TAI (trust association interceptor) utilisant le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP des ressources sécurisées a été ajouté. Toutefois, cette fonction a été dépréciée dans WebSphere Application Server version 7.0. Elle a été remplacée par l'authentification Web SPNEGO, qui fournit un rechargement dynamique des filtres SPNEGO et autorise un repli sur la méthode d'ouverture de session de l'application.
depfeatPourquoi et quand exécuter cette tâche
Procédure
- Créez un compte utilisateur dans Microsoft Active
Directory pour WebSphere
Application Server.
Cliquez sur Démarrer->Programmes->Outils d'administration->Utilisateurs et ordinateurs Active Directory
Utilisez le nom pour WebSphere Application Server. Par exemple, si le serveur d'applications que vous exécutez sur la machine WebSphere Application Server s'appelle myappserver.austin.ibm.com, créez un utilisateur appelé myappserver dans Active Directory .Important : Ne sélectionnez pas "L'utilisateur doit changer son mot de passe à la prochaine ouverture de session".Important : Veillez à ce que vous n'ayez pas de nom d'ordinateur myappserver pour Ordinateurs et contrôleurs de domaine. Si vous disposez déjà d'un nom d'ordinateur myappserver, vous devez créer un nom de compte utilisateur différent.- Sélectionnez Démarrer -> Programmes -> Outils d'administration -> Utilisateurs et ordinateurs Active Directory->Ordinateurs
- Sélectionnez Démarrer -> Programmes -> Outils d'administration -> Utilisateurs et ordinateurs Active Directory->Contrôleurs de domaine
- Utilisez la commande setspn pour mapper le nom du principal de service Kerberos HTTP/<nom_hôte> sur un compte
utilisateur Microsoft. Voici un exemple de l'utilisation setspn :
C:\Program Files\Support Tools> setspn -A HTTP/myappserver.austin.ibm.com myappserver
Remarque : Il se peut que des noms de principal de service associés aux hôtes Microsoft Windows aient déjà été ajoutés au domaine. Vous pouvez afficher les noms existants à l'aide de la commande setspn -L mais vous devez cependant ajouter un nom de principal de service HTTP pour WebSphere Application Server. Par exemple, setspn -L myappserver répertorie les noms SPN.Important : Assurez-vous que vous n'avez pas le même mappage de noms de principal de service sur plusieurs comptes utilisateur Microsoft. Si vous mappez le même nom de principal de service sur un compte utilisateur, le client de navigateur Web peut envoyer un jeton NTLM au lieu d'un jeton SPNEGO à WebSphere Application Server.Des informations supplémentaires sur la commande setspn sont disponibles dans Windows 2003 Technical Reference (setspn command)
- Créez le fichier de clés Kerberos et rendez-le disponible pour WebSphere
Application Server. Utilisez la commande ktpass pour créer le fichier de clés Kerberos
(krb5.keytab).
Utilisez l'outil ktpass de Windows Server pour créer le fichier de clés Kerberos pour le nom principal de service (SPN). Utilisez la version de l'outil ktpass correspondant au niveau de serveur Windows que vous utilisez. Par exemple, utilisez la version Windows 2003 de l'outil pour un serveur Windows 2003.
Pour déterminer les valeurs de paramètre appropriées pour l'outil ktpass, exécutez la commande ktpass -? à partir de la ligne de commande. Cette commande indique si l'outil ktpass correspondant au système d'exploitation actif utilise la valeur de paramètre -crypto RC4-HMAC ou -crypto RC4-HMAC-NT. Pour éviter les messages d'avertissement du toolkit, vous devez spécifier la valeur de paramètre -ptype KRB5_NT_PRINCIPAL.
La version de serveur Windows 2003 de l'outil ktpass prend en charge le type de chiffrement RC4-HMAC et DES (Single data encryption standard). Pour plus d'informations sur l'outil ktpass, voir la référence technique Windows 2003 intitulée Ktpass overview.
Le code suivant montre les fonctions disponibles quand vous entrez la commande ktpass -? sur la ligne de commande. Ces informations peuvent varier selon la version du toolkit que vous utilisez.C:\Program Files\Support Tools>ktpass -? Command line options: ---------------------most useful args [- /] out : Keytab to produce [- /] princ : Principal name (user@REALM) [- /] pass : password to use use "*" to prompt for password. [- +] rndPass : ... or use +rndPass to generate a random password [- /] minPass : minimum length for random password (def:15) [- /] maxPass : maximum length for random password (def:256) ---------------------less useful stuff [- /] mapuser : map princ to this user account (default: don't) [- /] mapOp : how to set the mapping attribute (default: add it) [- /] mapOp : is one of: [- /] mapOp : add : add value (default) [- /] mapOp : set : set value [- +] DesOnly : Set account for des-only encryption (default:don't) [- /] in : Keytab to read/digest ---------------------options for key generation [- /] crypto : Cryptosystem to use [- /] crypto : is one of: [- /] crypto : DES-CBC-CRC : for compatibility [- /] crypto : DES-CBC-MD5 : for compatibliity [- /] crypto : RC4-HMAC-NT : default 128-bit encryption [- /] ptype : principal type in question [- /] ptype : is one of: [- /] ptype : KRB5_NT_PRINCIPAL : The general ptype-- recommended [- /] ptype : KRB5_NT_SRV_INST : user service instance [- /] ptype : KRB5_NT_SRV_HST : host service instance [- /] kvno : Override Key Version Number Default: query DC for kvno. Use /kvno 1 for Win2K compat. [- +] Answer : +Answer answers YES to prompts. -Answer answers NO. [- /] Target : Which DC to use. Default:detect ---------------------options for trust attributes (Windows Server 2003 Sp1 Only [- /] MitRealmName : MIT Realm which we want to enable RC4 trust on. [- /] TrustEncryp : Trust Encryption to use; DES is default [- /] TrustEncryp : is one of: [- /] TrustEncryp : RC4 : RC4 Realm Trusts (default) [- /] TrustEncryp : DES : go back to DES
Important : N'utilisez pas l'option -pass avec la commande ktpass pour redéfinir un mot de passe pour un compte de serveur Microsoft Windows.Voir la référence technique Windows 2003 intitulée Ktpass overview pour plus d'informations. Vous devez utiliser l'option -mapUser avec la commande ktpass pour permettre à KDC de créer une clé de chiffrement. Sinon; lorsque le jeton SPENGO est reçu, le processus de validation échoue et le serveur d'applications demande à l'utilisateur d'entrer un nom d'utilisateur et un mot de passe.En fonction du type de chiffrement, vous utilisez l'outil ktpass de l'une des façons suivantes pour créer le fichier de clés Kerberos. La section qui suit décrit les différents types de chiffrement utilisés par l'outil ktpass. Il est important d'exécuter la commande ktpass -? pour déterminer quelle valeur de paramètre -crypto est attendue par le toolkit dans votre environnement Microsoft Windows.Le fichier de clés Kerberos a été créé pour l'utilisation avec SPNEGO TAI.- Pour un type de chiffrement Single DESA partir d'une invite de la ligne de commande, exécutez la commande ktpass suivante :
ktpass -out c:\temp\myappserver.keytab -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM -mapUser myappserv -mapOp set -pass was1edu -crypto DES-CBC-MD5 -pType KRB5_NT_PRINCIPAL +DesOnly
Tableau 1. Utilisation de ktpass pour le type de chiffrement Single DES. Ce tableau explique l'utilisation de ktpass pour le type de chiffrement Single DES.
Option Explication -out c:\temp\myappserver.keytab La clé est écrite dans ce fichier de sortie. -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM La concaténation du nom de connexion de l'utilisateur et du nom de domaine doit se trouver en majuscules. -mapUser La clé est mappée vers l'utilisateur, myappserver. -mapOp Cette option définit le mappage. -pass was1edu Cette option correspond au mot de passe de l'ID utilisateur. -crypto DES-CBC-MD5 Cette option utilise le type de chiffrement DES. -pType KRB5_NT_PRINCIPAL Cette option spécifie la valeur du principal KRB5_NT_PRINCIPAL. Indiquez cette option pour éviter les messages d'avertissement du toolkit. +DesOnly Cette option génère uniquement des chiffrements DES. - Pour le type de chiffrement RC4-HMACImportant : Le chiffrement RC4-HMAC n'est pris en charge que lorsque Windows 2003 Server est utilisé comme centre de distribution de clés.A partir d'une invite de commande, exécutez la commande ktpass suivante.
ktpass -out c:\temp\myappserver.keytab -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM -mapUser myappserver -mapOp set –pass was1edu -crypto RC4-HMAC -pType KRB5_NT_PRINCIPAL
Tableau 2. Utilisation de ktpass pour le type de chiffrement RC4-HMAC. Ce tableau identifie et décrit les options ktpass pour le chiffrement RC4-HMAC
Option Explication -out c:\temp\myappserver.keytab La clé est écrite dans ce fichier de sortie. -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM La concaténation du nom de connexion de l'utilisateur et du nom de domaine doit se trouver en majuscules. -mapUser La clé est mappée vers l'utilisateur, myappserver. -mapOp Cette option définit le mappage. -pass was1edu Cette option correspond au mot de passe de l'ID utilisateur. -crypto RC4-HMAC Cette option sélectionne le type de chiffrement RC4-HMAC. -pType KRB5_NT_PRINCIPAL Cette option spécifie la valeur du principal KRB5_NT_PRINCIPAL. Indiquez cette option pour éviter les messages d'avertissement du toolkit. - Pour le type de chiffrement RC4-HMAC-NT :A partir d'une invite de commande, exécutez la commande ktpass suivante.
ktpass -out c:\temp\myappserver.keytab -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM -mapUser myappserver -mapOp set -pass was1edu -crypto RC4-HMAC-NT -pType KRB5_NT_PRINCIPAL
Tableau 3. Utilisation de ktpass pour le type de chiffrement RC4-HMAC. Ce tableau décrit l'utilisation de ktpass pour les types de chiffrement RC4-HMAC. Option Explication -out c:\temp\myappserver.keytab La clé est écrite dans ce fichier de sortie. -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM La concaténation du nom de connexion de l'utilisateur et du nom de domaine doit se trouver en majuscules. -mapUser La clé est mappée vers l'utilisateur, myappserver. -mapOp Cette option définit le mappage. -pass was1edu Cette option correspond au mot de passe de l'ID utilisateur. -crypto RC4-HMAC-NT Cette option sélectionne le type de chiffrement RC4-HMAC-NT. -pType KRB5_NT_PRINCIPAL Cette option spécifie la valeur du principal KRB5_NT_PRINCIPAL. Indiquez cette option pour éviter les messages d'avertissement du toolkit.
Remarque : Un fichier de configuration de clés Kerberos contient la liste des clés analogues aux mots de passe utilisateur. Il est important que les hôtes protègent leurs fichiers de clés Kerberos en les stockant sur le disque local, ce qui ne les rend lisibles que par les utilisateurs autorisés.Rendez le ficher de clés disponible pourWebSphere Application Server en copiant le fichier krb5.keytab du contrôleur de domaine (machine LDAP) vers la machine WebSphere Application Server.ftp> bin ftp> put c:\temp\KRB5_NT_SEV_HST\krb5.keytab
- Pour un type de chiffrement Single DES
Résultats
Votre contrôleur de domaine Active Directory est correctement configuré pour traiter des demandes de connexion unique sur WebSphere Application Server et l'intercepteur TAI SPNEGO.
Sous-rubriques
Utilisation de la commande ktab pour gérer le fichier de clés Kerberos
La commande de gestion des tableaux de clés Kerberos (Ktab) permet à l'administrateur du programme de gérer les noms et les clés des principaux services Kerberos conservés dans un fichier de clés Kerberos local. Dans IBM Software Development Kit (SDK) ou Sun Java Development Kit (JDK) 1.6 ou ultérieur, la commande ktab permet de fusionner deux fichiers de clés Kerberos.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_config_dc
Nom du fichier : tsec_SPNEGO_config_dc.html