Utilisation de la commande ktab pour gérer le fichier de clés Kerberos

La commande de gestion des tableaux de clés Kerberos (Ktab) permet à l'administrateur du programme de gérer les noms et les clés des principaux services Kerberos conservés dans un fichier de clés Kerberos local. Dans IBM Software Development Kit (SDK) ou Sun Java Development Kit (JDK) 1.6 ou ultérieur, la commande ktab permet de fusionner deux fichiers de clés Kerberos.

[Solaris]Pour fusionner les fichiers ktab, vous devez installer le groupe de correctifs pour Java Development Kit (JDK) Version 1.6 SR3, qui met à niveau JDK vers la version 1.6.0_07.

[HP-UX]Pour fusionner les fichiers ktab, vous devez installer le groupe de correctifs pour Software Development Kit (SDK) Version 1.6 SR3, qui met à niveau JDK vers la version 1.6.0.02.

[AIX][Windows][Linux]Pour fusionner les fichiers ktab, vous devez installer le groupe de correctifs pour Java Development Kit (JDK) Version 1.6 SR3, qui met à niveau SDK vers la version 1.6.0 Java Technology Edition SR3.

Le nom principal de service (SPN) Kerberos et les clés répertoriées dans le fichier de clés Kerberos permettent aux services exécutés sur l'hôte de valider la requête de jeton Kerberos ou SPNEGO entrante. Avant de poursuivre l'authentification Web Kerberos ou SPNEGO, l'administrateur de WebSphere Application Server doit définir un fichier de clés Kerberos sur l'hôte qui exécute WebSphere Application Server.
Fonction obsolète Fonction obsolète:

Dans WebSphere Application Server Version 6.1, un TAI (trust association interceptor) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP des ressources sécurisées a été ajouté. Cette fonction n'est plus utilisée dans WebSphere Application Server Version 7.0.

L'authentification Web SPNEGO fournit les améliorations suivantes :

  • Configuration et activation de l'authentification Web SPNEGO et des filtres côté WebSphere Application Server à l'aide de la console d'administration.
  • Permet le rechargement dynamique de SPNEGO sans avoir à arrêter et redémarrer WebSphere Application Server.
  • Permet la rétromigration des méthodes de connexion d'application en cas d'échec de l'authentification Web SPNEGO.
depfeat
Important :
  • Il est essentiel de protéger ces fichiers de clés en autorisant leur lecture uniquement aux utilisateurs autorisés.
  • Toute mise à jour du fichier de clés Kerberos à l'aide de Ktab est sans conséquence pour la base de données Kerberos. Si vous modifiez les clés du fichiers de clés Kerberos, vous devez également effectuer les modifications correspondantes sur la base de données Kerberos.
La syntaxe de la commande Ktab est présentée ultérieurement avec utilisation de l'opérande -help.
$ ktab -help

Usage: java com.ibm.security.krb5.internal.tools.Ktab [options]
Options disponibles :
-l                              affiche le nom et les entrées du fichier de clés
-a <principal_name> [password]  ajoute une entrée au fichier keytab
-d <principal_name> supprime une entrée du fichier keytab
-k <keytab_name>	définit le nom et le chemin du fichier keytab avec FILE: prefix
-m <source_keytab_name> <destination_keytab_name> indique de fusionner le nom de fichier keytab source et le nom de fichier keytab de destination
Exemple d'utilisation de la commande Ktab pour fusionner le fichier krb5Host1.keytab avec le fichier krb5.keytab :
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Fichiers de clés à fusionner :   source=krb5Host1.keytab   destination=krb5.keytab
Done!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
L'exemple suivant illustre l'utilisation de la commande Ktab sur une plateforme Linux pour ajouter de nouveaux noms principaux au fichier de clés Kerberos, ot56prod représentant le mot de passe associé au nom principal Kerberos :
[root@wssecjibe bin]# ./ktab -a	
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Done!
Service key for principal HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM saved

L'exemple suivant illustre l'utilisation de la commande Ktab sur une plateforme Windows en vue de répertorier le contenu du fichier de clés Kerberos :
[root@wssecjibe bin]# ./ktab

        KVNO    Principal
        ----    ---------

        1       HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM

[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf 
/etc/krb5.keytab
[AIX Solaris HP-UX Linux Windows]Conseil : Vous pouvez exécuter la commande ktab à partir du répertoire racine_installation/java/jre/bin.
[z/OS]Conseil : Vous pouvez exécuter la commande ktab à partir du répertoire racine_installation/java/J5.0/bin ou racine_installation/java64/J5.0_64/bin.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_kerb
Nom du fichier : rsec_SPNEGO_kerb.html