Commandes d'authentification Kerberos
Les commandes wsadmin vous permettent de créer, de modifier ou de supprimer Kerberos comme mécanisme d'authentification pour WebSphere Application Server.
Création du mécanisme d'authentification Kerberos
Les éléments suivants sont requis avant de pouvoir essayer d'utiliser la commande createKrbAuthMechanism pour créer la zone de l'objet sécurité du mécanisme d'authentification KRB5 dans le fichier de configuration :
- Si vous ne disposez pas encore d'un fichier de configuration Kerberos (krb5.ini ou krb5.conf), utilisez la tâche de commande createkrbConfigFile pour créer le fichier de configuration Kerberos. Pour plus d'informations, consultez la rubrique relative à la création d'une configuration Kerberos.
- Vous devez disposer d'un fichier keytab Kerberos(krb5.keytab) contenant un nom de principal de service Kerberos (SPN), <nom_service>/<nom_hôte_qualifié_complet>@KerberosRealm, pour chaque machine exécutant des serveurs d'applications WebSphere. Vous pouvez donner un intitulé quelconque comme nom de service, le valeur par défaut est WAS.
Par exemple, si vous avez deux machines de serveur d'applications, host1.austin.ibm.com et host2.austin.ibm.com, le fichier de clés Kerberos doit contenir les SPN <nom_service>/host1.austin.ibm.com et nom_service >/host2.austin.ibm.com, ainsi que leurs clés Kerberos.
La commande createKrbAuthMechanism vous permet de créer la zone de l'objet sécurité du mécanisme d'authentification KRB5 dans le fichier de configuration.
Dans l'invite wsadmin, entrez la commande suivante :
$AdminTask help createKrbAuthMechanism
Option | Description |
---|---|
<krb5Realm> | Ce paramètre est facultatif. Il indique le nom du domaine Kerberos. Si vous n'indiquez pas ce paramètre, le domaine Kerberos par défaut du fichier de configuration Kerberos est utilisé. |
<krb5Config> | Ce paramètre est obligatoire. Il indique l'emplacement du répertoire et le nom du fichier de configuration (krb5.ini ou krb5.conf). |
<krb5Keytab> | Ce paramètre est facultatif. Il indique l'emplacement du répertoire et le nom du fichier de clés Kerberos. Si vous n'indiquez pas ce paramètre, le fichier de clés par défaut dans le fichier de configuration Kerberos est utilisé. |
< nomService> | Ce paramètre est obligatoire. Il indique le nom du service Kerberos. Le nom du service Kerberos par défaut est WAS. |
<trimUserName> | Ce paramètre est facultatif. Il supprime le suffixe
du nom d'utilisateur principal, à partir du caractère "@" précédant le nom principal de
domaine Kerberos. Ce paramètre est facultatif. La valeur par défaut est true. ![]() |
<enabledGssCredDelegate> | Ce paramètre est facultatif. Il permet d'indiquer si les droits d'accès de délégation GSS client doivent être extraits dans le sujet. La valeur par défaut est true. |
<allowKrbAuthForCsiInbound> | Ce paramètre est facultatif. Il active le mécanisme d'authentification Kerberos pour le CSI entrant. La valeur par défaut est true. |
<allowKrbAuthForCsiOutbound> | Ce paramètre est obligatoire. Il active le mécanisme d'authentification Kerberos pour le CSI sortant. La valeur par défaut est true. |
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
wsadmin>$AdminTask createKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
Modification du mécanisme d'authentification Kerberos
La commande modifyKrbAuthMechanism vous permet d'effectuer des modifications à la zone de l'objet de sécurité du mécanisme d'authentification KRB5 dans le fichier de configuration.
Dans l'invite wsadmin, entrez la commande suivante :
$AdminTask help modifyKrbAuthMechanism
Option | Description |
---|---|
<krb5Realm> | Ce paramètre est facultatif. Il indique le nom du domaine Kerberos. Si vous n'indiquez pas ce paramètre, le domaine Kerberos par défaut du fichier de configuration Kerberos est utilisé. |
<krb5Config> | Ce paramètre est obligatoire. Il indique l'emplacement du répertoire et le nom du fichier de configuration (krb5.ini ou krb5.conf). |
<krb5Keytab> | Ce paramètre est facultatif. Il indique l'emplacement du répertoire et le nom du fichier de clés Kerberos. Si vous n'indiquez pas ce paramètre, le fichier de clés par défaut dans le fichier de configuration Kerberos est utilisé. |
< nomService> | Ce paramètre est obligatoire. Il indique le nom du service Kerberos. Le nom du service Kerberos par défaut est WAS. |
<trimUserName> | Ce paramètre est facultatif. Il supprime le suffixe du nom d'utilisateur principal, à partir du caractère "@" précédant le nom principal de domaine Kerberos. Ce paramètre est facultatif. La valeur par défaut est true. |
<enabledGssCredDelegate> | Ce paramètre est facultatif. Il indique si
les droits d'accès de délégation GSS et Kerberos du client doivent être extraits et placés dans le jeton d'authentification Kerberos (KRBAuthnToken). La valeur par défaut est true. Remarque : Si ce paramètre a la valeur true et que l'exécution ne peut pas extraire les droits d'accès de délégation GSS et Kerberos, un message d'avertissement est consigné.
|
<allowKrbAuthForCsiInbound> | Ce paramètre est facultatif. Il active le mécanisme d'authentification Kerberos pour le CSI entrant. La valeur par défaut est true. |
<allowKrbAuthForCsiOutbound> | Ce paramètre est facultatif. Il active le mécanisme d'authentification Kerberos pour le CSI sortant. La valeur par défaut est true. |
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Voici un exemple de la commande modifyKrbAuthMechanism :
wsadmin>$AdminTask modifyKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
Suppression du mécanisme d'authentification Kerberos
La commande deleteKrbAuthMechanism vous permet de supprimer la zone de l'objet sécurité du mécanisme d'authentification KRB5 dans le fichier de configuration.
Dans l'invite wsadmin, entrez la commande suivante :
$AdminTask help deleteKrbAuthMechanism
Voici un exemple de la commande deleteKrbAuthMechanism :
wsadmin>$AdminTask deleteKrbAuthMechanism
Définition du mécanisme d'authentification active
La commande setActiveAuthMechanism vous permet de définir l'attribut du mécanisme d'authentification active dans la configuration de sécurité.
A l'invite de wsadmin, entrez la commande suivante :
$AdminTask help setActiveAuthMechanism
Option | Description |
---|---|
<authMechanismType> | Ce paramètre est facultatif. Il indique le type de mécanisme d'authentification. Le type par défaut est KRB5. |
Voici un exemple de la commande setActiveAuthMechanism :
wsadmin> $AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }