Commandes de configuration de l'authentification Web SPNEGO

Les commandes wsadmin permettent de configurer le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism), d'en annuler la configuration, de le valider ou de l'afficher dans la configuration de la sécurité.

Configuration de l'authentification Web SPNEGO

Remarque : Vous devez d'abord disposer d'un fichier de configuration Kerberos exploitable et d'un fichier de clés Kerberos. Pour plus d'informations, consultez les rubriques relatives à la création d'un fichier de configuration Kerberos et à la création d'un nom de principal de service et d'un fichier de clés Kerberos.

La commande configureSpnego permet de configurer SPNEGO en tant qu'authentificateur Web dans la configuration de la sécurité.

A l'invite de wsadmin, entrez la commande suivante pour obtenir l'aide :

Wsadmin>$AdminTask help configureSpnego

Tableau 1. Paramètres de commande. Vous pouvez utiliser les paramètres suivants avec la commande configureSpnego :
Option Description
<enabled> Ce paramètre est facultatif. Il active l'authentification Web SPNEGO.
<dynamicReload> Ce paramètre est facultatif. Il active le rechargement dynamique des filtres d'authentification web SPNEGO.
<allowAppAuthMethodFallback> Ce paramètre est facultatif. Il permet d'autoriser l'utilisation du mécanisme d'authentification de l'application.
<krb5Config> Ce paramètre est obligatoire. Il indique l'emplacement du répertoire et le nom du fichier de configuration (krb5.ini ou krb5.conf).
<krb5Keytab> Ce paramètre est facultatif. Il indique l'emplacement du répertoire et le nom du fichier de clés Kerberos. Si vous n'indiquez pas ce paramètre, le fichier de clés par défaut dans le fichier de configuration Kerberos est utilisé.
Remarque : Les variables WebSphere permettent d'indiquer les chemins de fichier de krb5Config et de krb5Keytab. Si votre environnement comprend plusieurs types de plateformes, vous pouvez utiliser une variable ${CONF_OR_INI} pour le fichier de configuration Kerberos. La configuration des paramètres de sécurité lui ajoutera l'extension “ini” pour Windows ou “conf” pour les autres plateformes. Par exemple :
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Remarque : Les commandes configureSpnego et validateSpnegoConfig vérifient les fichiers de krb5Config et krb5Keytab uniquement quand SPNEGO est activé. Dans le cas contraire, ces commandes ne font que vérifier l'existence de ces fichiers. Cela vous permet de configurer SPNEGO sans l'activer.

Annulation de la configuration de l'authentification Web SPNEGO

La commande unconfigureSpnego permet d'annuler la configuration de l'authentification Web SPNEGO dans la configuration de la sécurité.

A l'invite de wsadmin, entrez la commande suivante pour obtenir l'aide :

wsadmin>$AdminTask help unconfigureSpnego

Affichage de l'authentification web SPNEGO

La commande showSPNEGO permet d'afficher l'authentification Web SPNEGO dans la configuration de la sécurité.

A l'invite de wsadmin, entrez la commande suivante pour obtenir l'aide :

wsadmin>$AdminTask help showSpnego

Validation de la configuration Kerberos

La commande validateKrbConfig permet de valider les données de configuration Kerberos contenues dans le fichier de sécurité global security.xml ou indiquées sous forme de paramètres d'entrée.

A l'invite de wsadmin, entrez la commande suivante pour obtenir l'aide :

wsadmin>$AdminTask help validateKrbConfig

Vous pouvez utiliser les paramètres suivants avec la commande validateKrbConfig :
Tableau 2. Paramètres de commande.

Ce tableau décrit les paramètres de la commande validateKrbConfig.

Option Description
<checkConfigOnly> Vérifie la configuration Kerberos sans validation. Vous devez utiliser la sécurité globale pour cette vérification.
<useGlobalSecurityConfig> Utilise les données de configuration de la sécurité globale, security.xml, au lieu des paramètres d'entrée.
<validateKrbRealm> Valide le domaine Kerberos par rapport au domaine Kerberos par défaut dans le fichier de configuration Kerberos (krb5.ini ou krb5.conf).
<IDserveur> Indique l'identité du serveur utilisée pour les communications de processus internes.
<serverIdPassword> Indique le mot de passe associé à l'identité du serveur.
<krb5Spn> Indique le nom du principal de service Kerberos dans le fichier de clés Kerberos.
<krb5Config> Ce paramètre est obligatoire. Il indique l'emplacement du répertoire et le nom du fichier de configuration (krb5.ini ou krb5.conf).
<krb5Keytab> Ce paramètre est facultatif. Il indique l'emplacement du répertoire et le nom du fichier de clés Kerberos. Si vous n'indiquez pas ce paramètre, le fichier de clés par défaut dans le fichier de configuration Kerberos est utilisé.
<krb5Realm> Ce paramètre est obligatoire. Il indique la valeur du nom de domaine Kerberos.
Remarque : Les variables WebSphere permettent d'indiquer les chemins de fichier de krb5Config et de krb5Keytab. Si votre environnement comprend plusieurs types de plateformes, vous pouvez utiliser une variable ${CONF_OR_INI} pour le fichier de configuration Kerberos. La configuration des paramètres de sécurité lui ajoutera l'extension ini pour Windows ou conf pour les autres plateformes. Exemple :
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Remarque : Pour valider la configuration Kerberos définie dans le fichier de configuration de sécurité globale security.xml, exécutez la commande validateKrbConfig sans paramètres, ou en affectant au paramètre useGlobalSecurityConfig la valeur true. Pour valider la configuration Kerberos avec des paramètres d'entrée, affectez aux propriétés useGlobalSecurityConfig et checkConfigOnly la valeur false et indiquez des valeurs pour krb5Spn, krb5Config, krb5Keytab et krb5Realm.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_auth_commands
Nom du fichier : rsec_SPNEGO_auth_commands.html