Commandes d'authentification Kerberos

Les commandes wsadmin vous permettent de créer, de modifier ou de supprimer Kerberos comme mécanisme d'authentification pour WebSphere Application Server.

Création du mécanisme d'authentification Kerberos

Remarque :

Les éléments suivants sont requis avant de pouvoir essayer d'utiliser la commande createKrbAuthMechanism pour créer la zone de l'objet sécurité du mécanisme d'authentification KRB5 dans le fichier de configuration :

  • Si vous ne disposez pas encore d'un fichier de configuration Kerberos (krb5.ini ou krb5.conf), utilisez la tâche de commande createkrbConfigFile pour créer le fichier de configuration Kerberos. Pour plus d'informations, consultez la rubrique relative à la création d'une configuration Kerberos.
  • Vous devez disposer d'un fichier keytab Kerberos(krb5.keytab) contenant un nom de principal de service Kerberos (SPN), <nom_service>/<nom_hôte_qualifié_complet>@KerberosRealm, pour chaque machine exécutant des serveurs d'applications WebSphere. Vous pouvez donner un intitulé quelconque comme nom de service, le valeur par défaut est WAS.

    Par exemple, si vous avez deux machines de serveur d'applications, host1.austin.ibm.com et host2.austin.ibm.com, le fichier de clés Kerberos doit contenir les SPN <nom_service>/host1.austin.ibm.com et nom_service >/host2.austin.ibm.com, ainsi que leurs clés Kerberos.

La commande createKrbAuthMechanism vous permet de créer la zone de l'objet sécurité du mécanisme d'authentification KRB5 dans le fichier de configuration.

Dans l'invite wsadmin, entrez la commande suivante :

$AdminTask help createKrbAuthMechanism
Tableau 1. Paramètres de commande. Vous pouvez utiliser les paramètres suivants avec la commande createKrbAuthMechanism.
Option Description
<krb5Realm> Ce paramètre est facultatif. Il indique le nom du domaine Kerberos. Si vous n'indiquez pas ce paramètre, le domaine Kerberos par défaut du fichier de configuration Kerberos est utilisé.
<krb5Config> Ce paramètre est obligatoire. Il indique l'emplacement du répertoire et le nom du fichier de configuration (krb5.ini ou krb5.conf).
<krb5Keytab> Ce paramètre est facultatif. Il indique l'emplacement du répertoire et le nom du fichier de clés Kerberos. Si vous n'indiquez pas ce paramètre, le fichier de clés par défaut dans le fichier de configuration Kerberos est utilisé.
< nomService> Ce paramètre est obligatoire. Il indique le nom du service Kerberos. Le nom du service Kerberos par défaut est WAS.
<trimUserName> Ce paramètre est facultatif. Il supprime le suffixe du nom d'utilisateur principal, à partir du caractère "@" précédant le nom principal de domaine Kerberos. Ce paramètre est facultatif. La valeur par défaut est true.
[z/OS]Remarque : Vous devez entrer true si vous utilisez à la fois le registre du système d'exploitation local sur z/OS et si vous sélectionnez le bouton radio Utiliser le segment KERB d'un profil utilisateur SAF pour mapper des principaux Kerberos à des identités SAF.
<enabledGssCredDelegate> Ce paramètre est facultatif. Il permet d'indiquer si les droits d'accès de délégation GSS client doivent être extraits dans le sujet. La valeur par défaut est true.
<allowKrbAuthForCsiInbound> Ce paramètre est facultatif. Il active le mécanisme d'authentification Kerberos pour le CSI entrant. La valeur par défaut est true.
<allowKrbAuthForCsiOutbound> Ce paramètre est obligatoire. Il active le mécanisme d'authentification Kerberos pour le CSI sortant. La valeur par défaut est true.
Remarque : Le chemin du nom du fichier de configuration Kerberos et le chemin du nom de fichier de la commande keytab ne doivent pas obligatoirement être des chemins d'accès absolu. Vous pouvez utiliser les variables WebSphere pour indiquer ces chemins d'accès. Si votre environnement comprend plusieurs types de plateformes, vous pouvez utiliser une variable ${CONF_OR_INI} pour le fichier de configuration Kerberos. La configuration des paramètres de sécurité lui ajoutera l'extension “ini” pour Windows ou “conf” pour les autres plateformes. Par exemple :
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Voici un exemple de commande createKrbAuthMechanism :
wsadmin>$AdminTask createKrbAuthMechanism { 
		-krb5Realm  WSSEC.AUSTIN.IBM.COM 
		-krb5Config C:\\WINNT\\krb5.ini 
		-krb5Keytab C:\\WINNT\\krb5.keytab 
		-serviceName WAS }

Modification du mécanisme d'authentification Kerberos

La commande modifyKrbAuthMechanism vous permet d'effectuer des modifications à la zone de l'objet de sécurité du mécanisme d'authentification KRB5 dans le fichier de configuration.

Dans l'invite wsadmin, entrez la commande suivante :

$AdminTask help modifyKrbAuthMechanism
Tableau 2. Paramètres de commande. Vous pouvez utiliser les paramètres suivants avec la commande modifyKrbAuthMechanism.
Option Description
<krb5Realm> Ce paramètre est facultatif. Il indique le nom du domaine Kerberos. Si vous n'indiquez pas ce paramètre, le domaine Kerberos par défaut du fichier de configuration Kerberos est utilisé.
<krb5Config> Ce paramètre est obligatoire. Il indique l'emplacement du répertoire et le nom du fichier de configuration (krb5.ini ou krb5.conf).
<krb5Keytab> Ce paramètre est facultatif. Il indique l'emplacement du répertoire et le nom du fichier de clés Kerberos. Si vous n'indiquez pas ce paramètre, le fichier de clés par défaut dans le fichier de configuration Kerberos est utilisé.
< nomService> Ce paramètre est obligatoire. Il indique le nom du service Kerberos. Le nom du service Kerberos par défaut est WAS.
<trimUserName> Ce paramètre est facultatif. Il supprime le suffixe du nom d'utilisateur principal, à partir du caractère "@" précédant le nom principal de domaine Kerberos. Ce paramètre est facultatif. La valeur par défaut est true.
<enabledGssCredDelegate> Ce paramètre est facultatif. Il indique si les droits d'accès de délégation GSS et Kerberos du client doivent être extraits et placés dans le jeton d'authentification Kerberos (KRBAuthnToken). La valeur par défaut est true.
Remarque : Si ce paramètre a la valeur true et que l'exécution ne peut pas extraire les droits d'accès de délégation GSS et Kerberos, un message d'avertissement est consigné.
<allowKrbAuthForCsiInbound> Ce paramètre est facultatif. Il active le mécanisme d'authentification Kerberos pour le CSI entrant. La valeur par défaut est true.
<allowKrbAuthForCsiOutbound> Ce paramètre est facultatif. Il active le mécanisme d'authentification Kerberos pour le CSI sortant. La valeur par défaut est true.
Remarque : Le chemin du nom du fichier de configuration Kerberos et le chemin du nom de fichier de la commande keytab ne doivent pas obligatoirement être des chemins d'accès absolu. Vous pouvez utiliser les variables WebSphere pour indiquer ces chemins d'accès. Si votre environnement comprend plusieurs types de plateformes, vous pouvez utiliser une variable ${CONF_OR_INI} pour le fichier de configuration Kerberos. La configuration des paramètres de sécurité lui ajoutera l'extension “ini” pour Windows ou “conf” pour les autres plateformes. Par exemple :
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}

Voici un exemple de la commande modifyKrbAuthMechanism :

wsadmin>$AdminTask modifyKrbAuthMechanism {
			-krb5Realm  WSSEC.AUSTIN.IBM.COM 
			-krb5Config C:\\WINNT\\krb5.ini 
			-krb5Keytab C:\\WINNT\\krb5.keytab 
			-serviceName WAS }

Suppression du mécanisme d'authentification Kerberos

La commande deleteKrbAuthMechanism vous permet de supprimer la zone de l'objet sécurité du mécanisme d'authentification KRB5 dans le fichier de configuration.

Dans l'invite wsadmin, entrez la commande suivante :

$AdminTask help deleteKrbAuthMechanism

Voici un exemple de la commande deleteKrbAuthMechanism :

	wsadmin>$AdminTask deleteKrbAuthMechanism

Définition du mécanisme d'authentification active

La commande setActiveAuthMechanism vous permet de définir l'attribut du mécanisme d'authentification active dans la configuration de sécurité.

A l'invite de wsadmin, entrez la commande suivante :

$AdminTask help setActiveAuthMechanism
Tableau 3. Paramètres de commande. Vous pouvez utiliser le paramètre suivant avec la commande setActiveAuthMechanism.
Option Description
<authMechanismType> Ce paramètre est facultatif. Il indique le type de mécanisme d'authentification. Le type par défaut est KRB5.

Voici un exemple de la commande setActiveAuthMechanism :

wsadmin> $AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_kerb_auth_commands
Nom du fichier : rsec_kerb_auth_commands.html