Configuration de Kerberos comme mécanisme d'authentification pour WebSphere Application Server

Vous devez effectuer les étapes de configuration de Kerberos comme mécanisme d'authentification de WebSphere Application Server.

Pourquoi et quand exécuter cette tâche

Remarque : La configuration du mécanisme d'authentification Kerberos côté serveur doit être effectuée par l'administrateur système et par les utilisateurs finals sur le côté clientJava™. Le nom du fichier de clés Kerberos doit être protégé.

Assurez-vous d'abord que le centre de distribution de clés est configuré. Pour plus d'informations, reportez-vous au Guide d'administration et d'utilisation de Kerberos.

[z/OS]Pour configurer un KDC sur z/OS, vous devez activer la classe APPL dans RACF. Cela a pour effet d'activer le profil de la classe APPL défini pour WebSphere et peut limiter la capacité des utilisateur authentifiés à accéder aux applications WebSphere. Si la configuration des paramètres de sécurité a recours à un préfixe de profil SAF, le nom du profil correspondra à ce préfixe. Si ce n'est pas le cas, le nom du profil sera CBS390. Pour savoir si le profil APPL est activé pour l'autorisation WebSphere, reportez-vous à la case à cocher "Utiliser le profil APPL pour restreindre l'accès au serveur", dans le panneau des autorisations de SAF, dans la console d'administration. Ce paramètre peut être configuré au niveau du domaine de sécurité de WebSphere.

Eviter les incidents Eviter les incidents: Lorsque vous configurez le fichier envar pour un centre de distribution de clés z/OS, classez les types de chiffrement du plus sécurisé au moins sécurisé pour la variable d'environnement SKDC_TKT_ENCTYPES. Le centre de distribution de clés z/OS préfère utiliser les types de chiffrement placés en tête de liste et de gauche à droite.gotcha

Vous devez effectuer les étapes ci-après pour configurer Kerberos comme mécanisme d'authentification de WebSphere Application Server.

Procédure

  1. Créez un nom de principal de service Kerberos et un fichier de clés
    1. Vous pouvez créer un nom de principal de service et un fichier de clés keytab Kerberos si vous utilisez des centres de distribution de clés système d'exploitation (KDC) Microsoft Windows, iSeries, Linux, Solaris, Massachusetts Institute of Technology (MIT) et z/OS (KDCs). Kerberos préfère les serveurs et services qui ont un ID de service basé sur l'hôte. Le format de cet ID est <nom_service>/<nom d'hôte qualifié complet>. Le nom de service par défaut est WAS. Pour l'authentification Kerberos, le nom de service peut être n'importe quelle chaîne autorisée par le KDC. Toutefois, pour l'authentification Web SPNEGO, le nom de service doit être HTTP. Un exemple d'ID WebSphere Application Server est WAS/myhost.austin.ibm.com.

      Chaque hôte doit avoir un ID serveur unique pour le nom d'hôte. Tous les processus du même noeud partagent le même ID de service basé sur l'hôte.

      Un administrateur Kerberos crée un nom de principal de service (SPN) Kerberos pour chaque noeud dans la cellule WebSphere. Par exemple, pour une cellule à trois noeuds (tels que server1.austin.ibm.com, server2.austin.ibm.com et server3.austin.ibm.com), l'administrateur Kerberos doit créer les principaux de service Kerberos suivants : WAS/server1.austin.ibm.com, WAS/server2.austin.ibm.com et WAS/server3.austin.ibm.com.

      Le fichier de clés Kerberos krb5.keytab contient tous les SPN du noeud et doit être protégé. Ce fichier peut être placé dans le répertoire config/cells/<nom_cellule>.

      Pour plus d'informations, consultez l'article Création d'un nom de principal de service Kerberos et d'un fichier de clés.

  2. Créez un fichier de configuration Kerberos
    1. L'implémentation IBM® de JGSS Java Generic Security Service) et KRB5 requièrent un fichier de configuration Kerberos krb5.conf ou krb5.ini) sur chaque noeud ou machine virtuelle Java. Dans cette version de WebSphere Application Server, ce fichier de configuration doit être placé dans le répertoire config/cells/<nom_cellule> afin que tous les serveurs d'application puissent y accéder. Si vous n'avez pas de fichier de configuration Kerberos, créez-en un avec une commande wsadmin. Pour plus d'informations, consultez l'article Création d'une configuration Kerberos.
  3. Configurez Kerberos en tant que mécanisme d'authentification pour WebSphere Application Server à l'aide de la console d'administration
    1. Utilisez la console d'administration pour configurer Kerberos comme mécanisme d'authentification pour le serveur d'applications. Une fois les informations requises entrées et appliquées à la configuration, le nom de principal du service Kerberos se présente sous la forme <nom_service>>/<nom_hôte_qualifié_complet>>@KerberosRealm, et permet de vérifier les demandes de jeton Kerberos entrantes. Pour plus d'informations, consultez la rubrique Configuration de Kerberos comme un mécanisme d'authentification utilisant la console d'administration.
  4. Mappez le nom de principal Kerberos client à l'ID du registre d'utilisateurs WebSphere
    1. Vous pouvez mapper le nom de principal client Kerberos à l'ID du registre d'utilisateurs WebSphere à la fois pour l'authentification SPNEGO (Simple and Protected GSS-API Negotiation) et l'authentification Kerberos. Pour plus d'informations, consultez la rubrique Mappage d'un nom de principal Kerberos client à l'ID du registre d'utilisateurs WebSphere

      [z/OS]Si vous le souhaitez, vous pouvez mapper un principal Kerberos sur une identité SAF (System Authorization Facility) sous z/OS.

      [z/OS]Si vous sélectionnez le bouton d'option Utiliser le segment KERB d'un profil utilisateur SAF dans le panneau Kerberos de la console d'administration de WebSphere Application Server, vos utilisateurs du système d'exploitation local doivent être mappés à un principal Kerberos spécifique. Pour plus d'informations, voir Mappage d'un principal Kerberos à une identité SAF (System Authorization Facility) sur z/OS.

  5. Configurez Kerberos comme mécanisme d'authentification pour le client Java pur (facultatif).
    1. Un client Java peut être authentifié auprès de WebSphere Application Server à l'aide d'un nom et d'un mot de passe de principal Kerberos ou avec le cache de justificatifs Kerberos (krb5Ccache). Pour plus d'informations, consultez Configuration d'un client Java pour l'authentification Kerberos.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_setup
Nom du fichier : tsec_kerb_setup.html