Utilisation de la commande ktab pour gérer le fichier de clés Kerberos
La commande de gestion des tableaux de clés Kerberos (Ktab) permet à l'administrateur du programme de gérer les noms et les clés des principaux services Kerberos conservés dans un fichier de clés Kerberos local. Dans IBM Software Development Kit (SDK) ou Sun Java Development Kit (JDK) 1.6 ou ultérieur, la commande ktab permet de fusionner deux fichiers de clés Kerberos.
Pour fusionner les fichiers ktab, vous devez installer le groupe de correctifs
pour Java Development Kit (JDK) Version 1.6 SR3, qui met à niveau JDK vers la version 1.6.0_07.
Pour fusionner les fichiers ktab, vous devez installer le groupe de correctifs
pour Software Development Kit (SDK) Version 1.6 SR3, qui met à niveau JDK vers la version 1.6.0.02.
Pour fusionner les fichiers ktab, vous devez installer le groupe de correctifs
pour Java Development Kit (JDK) Version 1.6 SR3, qui met à niveau SDK vers la version 1.6.0 Java Technology Edition SR3.

Dans WebSphere Application Server Version 6.1, un TAI (trust association interceptor) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP des ressources sécurisées a été ajouté. Cette fonction n'est plus utilisée dans WebSphere Application Server Version 7.0.
L'authentification Web SPNEGO fournit les améliorations suivantes :
- Configuration et activation de l'authentification Web SPNEGO et des filtres côté WebSphere Application Server à l'aide de la console d'administration.
- Permet le rechargement dynamique de SPNEGO sans avoir à arrêter et redémarrer WebSphere Application Server.
- Permet la rétromigration des méthodes de connexion d'application en cas d'échec de l'authentification Web SPNEGO.
- Il est essentiel de protéger ces fichiers de clés en autorisant leur lecture uniquement aux utilisateurs autorisés.
- Toute mise à jour du fichier de clés Kerberos à l'aide de Ktab est sans conséquence pour la base de données Kerberos. Si vous modifiez les clés du fichiers de clés Kerberos, vous devez également effectuer les modifications correspondantes sur la base de données Kerberos.
$ ktab -help
Usage: java com.ibm.security.krb5.internal.tools.Ktab [options]
Options disponibles :
-l affiche le nom et les entrées du fichier de clés
-a <principal_name> [password] ajoute une entrée au fichier keytab
-d <principal_name> supprime une entrée du fichier keytab
-k <keytab_name> définit le nom et le chemin du fichier keytab avec FILE: prefix
-m <source_keytab_name> <destination_keytab_name> indique de fusionner le nom de fichier keytab source et le nom de fichier keytab de destination
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Fichiers de clés à fusionner : source=krb5Host1.keytab destination=krb5.keytab
Done!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
[root@wssecjibe bin]# ./ktab -a
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Done!
Service key for principal HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM saved
[root@wssecjibe bin]# ./ktab
KVNO Principal
---- ---------
1 HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf
/etc/krb5.keytab
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)