Configuration de Kerberos comme un mécanisme d'authentification utilisant la console d'administration

Vous pouvez utiliser la console d'administration pour configurer Kerberos comme mécanisme d'authentification pour le serveur d'applications. Une fois les informations requises entrées et appliquées à la configuration, le nom de principal du service Kerberos se présente sous la forme <nom_service>>/<nom_hôte_qualifié_complet>>@KerberosRealm, et permet de vérifier les demandes de jeton Kerberos entrantes.

Avant de commencer

Consultez la rubrique Prise en charge du mécanisme d'authentification Kerberos (KRB5) pour la sécurité pour comprendre le mécanisme d'authentification Kerberos dans cette version de WebSphere Application Server. Les étapes qui suivent doivent être terminées avant le début de la configuration de Kerberos comme mécanisme d'authentification à l'aide de la console d'administration :

  • Si vous ne disposez pas encore d'un fichier de configuration Kerberos, krb5.ini ou krb5.conf), utilisez la tâche de commande createkrbConfigFile pour créer le fichier de configuration Kerberos. Pour plus d'informations, lire Création d'un fichier de configuration Kerberos.
  • Vous devez disposer d'un fichier de clés Kerberos krb5.keytab contenant un nom de principal de service Kerberos (SPN) <nom_service>/<nom_hôte_qualifié_complet>@KerberosRealm pour chaque machine exécutant des serveurs d'applications WebSphere. Le nom du service est sans importance ; la valeur par défaut est WAS.

    Par exemple, si vous disposez de deux machines comme serveur d'applications, host1.austin.ibm.com et host2.austin.ibm.com, le fichier de clés Kerberos doit contenir les SPN <nom de service>/host1.austin.ibm.com et <nom de service>/host2.austin.ibm.com et leurs clés Kerberos.

    Kerberos chargera et utilisera uniquement un fichier de clés par session. Par exemple, si Kerberos est configuré et que vous voulez utiliser un nouveau fichier de clés possédant le même nom et le même emplacement que le fichier de clés, vous devez d'abord redémarrer le serveur pour utiliser le nouveau fichier de clés.

    Si vous configurez Kerberos pour la première fois et si vous utilisez accidentellement un fichier de clés incorrect, vous devez à nouveau annuler la configuration de Kerberos à l'aide d'un nouveau fichier de clés. Ceci ne s'applique pas toutefois si le JDK (Java™ SE Development Kit) avec SP3 est installé.

Vous devez tout d'abord activer la sécurité globale et de l'application.

Si Kerberos est configuré dans la sécurité globale, mais que vous voulez configurer la négociation de l'interface GSS-API SPNEGO (Simple and Protected GSS-API Negotiation) sur un domaine utilisant un autre super domaine Kerberos, vous devez d'abord utiliser la commande Java ktab -m pour fusionner les fichiers de clés existants dans un seul fichier de clés. Utilisez le fichier de clés fusionné pour configurer Kerberos et SPNEGO sur la sécurité globale et du domaine.

Procédure

  1. Dans la console d'administration, sélectionnez Sécurité > Sécurité globale.
  2. A partir de l'authentification, cliquez sur Configuration Kerberos.
  3. Entrez le nom de service Kerberos. Par convention, un principal de service Kerberos est divisé en trois parties : l'élément principal, l'instance et le nom de super domaine Kerberos. Le format du nom principal du service Kerberos est <nom de service>/<nom d'hôte complet>@SUPER_DOMAINE_KERBEROS. Le nom de service constitue la première partie du nom de principal de service Kerberos. Par exemple, dans WAS/test.austin.ibm.com@AUSTIN.IBM.COM, le nom de service est WAS. Dans cet exemple, le fichier de clés doit avoir le nom principal du service Kerberos, WAS/test.austin.ibm.com@AUSTIN.IBM.COM, ainsi que ses clés.

  4. Entrez le nom du fichier de configuration Kerberos ou cliquez sur Parcourir pour le localiser. Le fichier de configuration client, krb5.conf ou krb5.ini, contient des informations de configuration Kerberos, y compris les emplacements des centres de distribution de clés (KDC) du domaine en question. Le fichier krb5.conf est le nom de fichier par défaut pour toutes les plateformes à l'exception de Windows, qui utilise le fichier krb5.ini.
    Remarque : Le chemin du nom du fichier de configuration Kerberos et le chemin du nom de fichier de la commande keytab ne doivent pas obligatoirement être des chemins d'accès absolu. Vous pouvez utiliser les variables WebSphere pour indiquer ces chemins d'accès. Si votre environnement comprend plusieurs types de plateformes, vous pouvez utiliser la variable ${CONF_OR_INI} pour le fichier de configuration Kerberos. La configuration des paramètres de sécurité lui ajoutera l'extension ini pour Windows ou conf pour les autres plateformes. Par exemple :
    ${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
  5. Facultatif : Entrez le nom du fichier de la commande keytab Kerberos ou cliquez sur Parcourir pour le localiser. Le fichier de clés Kerberos contient un ou plusieurs noms de principal de service Kerberos et des clés. Le fichier de clés par défaut est krb5.keytab. Il est important que les hôtes protègent leurs fichiers de clés Kerberos en les stockant sur le disque local, ce qui ne les rend lisibles que par les utilisateurs autorisés. Pour plus d'informations, voir Création d'un nom de principal de service Kerberos et d'un fichier de clés. Si vous n'indiquez pas ce paramètre, le fichier de clés par défaut dans le fichier de configuration Kerberos est utilisé.
    Remarque : Le chemin du nom du fichier de configuration Kerberos et le chemin du nom de fichier de la commande keytab ne doivent pas obligatoirement être des chemins d'accès absolu. Vous pouvez utiliser les variables WebSphere pour indiquer ces chemins d'accès.
    ${WAS_INSTALL_ROOT}\etc\krb5\krb5.keytab
  6. Entrez le nom de votre super domaine Kerberos dans la zone Nom du super domaine Kerberos. Dans la plupart des cas, votre super domaine Kerberos correspond au nom de domaine en majuscules. Si vous n'indiquez pas ce paramètre, le nom du domaine Kerberos par défaut figurant dans le fichier de configuration Kerberos est utilisé.

    Par exemple, une machine portant le nom de domaine test.austin.ibm.com possède le nom de super domaine Kerberos AUSTIN.IBM.COM.

    Remarque : Le nom de super domaine Kerberos pour le centre de distribution de clés Microsoft est le nom du contrôleur de domaine Microsoft en majuscule.
  7. Facultatif : L'option Retirer le super domaine Kerberos du nom de principal est sélectionnée par défaut. Vous pouvez désélectionner cette option si vous souhaitez que le suffixe du nom de principal Kerberos soit conservé. Cette option indique si le module de connexion Kerberos doit supprimer le suffixe du nom d'utilisateur principal, à partir du caractère @ précédant le nom de super domaine Kerberos. Si la valeur true est attribuée à cet attribut, le suffixe du nom d'utilisateur principal est supprimé. Si cet attribut est défini sur false, le suffixe du nom de principal est conservé. La valeur utilisée par défaut est true.

  8. Facultatif : L'option Activer la délégation des justificatifs Kerberos est sélectionnée par défaut. Elle indique si les justificatifs délégués Kerberos doivent être extraits de la demande du client. Le jeton d'authentification Kerberos (KRBAuthnToken) est créé avec le nom du principal du client et le ticket Kerberos de délégation si le client a envoyé les informations d'identification de délégation Kerberos dans la demande. Le jeton KRBAuthnToken est stocké dans l'objet du client. Le jeton KRBAuthnToken est envoyé au serveur aval dans la propagation d'attribut de sécurité. Si une application client a besoin de GSSCredential pour s'authentifier sur une ressource dorsale ou un serveur aval, vous devez extraire GSSCredential du jeton KRBAuthnToken en utilisant la méthode com.ibm.wsspi.wssecurity.platform.token.KRBAuthnToken.getGSSCredential() et le placer dans l'objet.

    Si vous ne sélectionnez pas l'option, le jeton KRBAuthnToken dispose uniquement du nom du principal Kerberos.

    Remarque : Si ce paramètre est true et que l'environnement d'exécution ne peut pas extraire les droits d'accès de délégation GSS client, un message d'avertissement apparaît.
  9. Cliquez sur OK.

Résultats

Lorsque vous sélectionnez Valider ou OK l'authentification Kerberos est testée automatiquement. Si la configuration Kerberos est incomplète, un message indiquant que l'authentification a échoué s'affiche.

Vous avez maintenant configuré et sauvegardé Kerberos en tant que mécanisme d'authentification pour WebSphere Application Server.

Que faire ensuite

Pour activer SPNEGO, cliquez sur SPNEGO web authentication enablement dans Configuration associée.

Une authentification Web SPNEGO et une authentification Kerberos utilisent les mêmes fichiers de configuration client et de clés Kerberos.

Lorsque vous tentez de vous authentifier dans la console d'administration, utilisez un ID d'administrateur qui existe dans le KDC associé au serveur d'applications. Si vous utilisez un ID d'administrateur dans un KDC différent non associé à la console d'administration;, la connexion échoue et le message suivant est consigné dans le fichier journal :
SECJ9200E: No Kerberos credential found in subject credential set.
For example, the client might be associated with a different KDC than the application server.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_auth_mech
Nom du fichier : tsec_kerb_auth_mech.html