Fichier de configuration Kerberos

Les propriétés de configuration Kerberos (fichier krb5.ini ou krb5.conf), doivent être configurées sur toutes les instances WebSphere Application Server d'une cellule afin d'utiliser l'intercepteur TAI (Trust Association Interceptor) SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour WebSphere Application Server.

Fonction obsolète Fonction obsolète: WebSphere Application Server version 6.1 fournit un intercepteur de relations de confiance (TAI) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les demandes HTTP portant sur des ressources sécurisées. Dans WebSphere Application Server 7.0, cette fonction est obsolète. L'authentification Web SPNEGO fournit un rechargement dynamique des filtres SPNEGO et active la rétromigration sur la méthode de connexion d'application.depfeat
Le nom du fichier de configuration Kerberos pour Windows est krb5.ini. Pour les autres plateformes, le nom du fichier de configuration Kerberos par défaut est krb5.conf. L'emplacement par défaut du fichier de configuration Kerberos est le suivant :
Tableau 1. Emplacements par défaut pour le fichier de configuration Kerberos. Ce tableau décrit les emplacements par défaut du fichier de configuration Kerberos.
Système d'exploitation Emplacement par défaut
Windows c:\winnt\krb5.ini
Remarque : Si le fichier krb5.ini ne se trouve pas dans le répertoire c:\winnt, il figure sous c:\windows.
Linux /etc/krb5.conf
Autres plateformes UNIX /etc/krb5/krb5.conf
z/OS /etc/krb5/krb5.conf
IBM i /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf
Remarque : Si vous n'utilisez pas l'emplacement et le nom de fichier de configuration Kerberos par défaut, vous devez mettre à jour les propriétés *.krb5ConfigFile dans les fichiers soap.client.prop, ipc.client.props et sas.client.props. De plus, si la connexion par programme du client utilise le module WSKRBLogin, vous devez définir la propriété JVM java.security.krb5.conf.

Pour TAI SPNEGO, si vous n'utilisez pas l'emplacement et le fichier de configuration Kerberos par défaut, vous devez indiquer la propriété JVM java.security.krb5.conf.

Le fichier de configuration Kerberos par défaut sous Windows est /winnt/krb5.ini et etc/krb5 dans un environnement réparti. Si vous spécifiez un autre emplacement, vous devez également spécifier la propriété JVM java.security.krb5.conf.

Par exemple, si votre fichier krb5.conf est spécifié à l'emplacement /opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf, vous devez spécifier -Djava.security.krb5.conf=/opt/IBM/WebSphere/profiles/AppServer/etc/krb5.conf.

Le code d'exécution de WebSphere recherche le fichier de configuration Kerberos dans l'ordre suivant :
  1. le fichier référencé par la propriété Java™ java.security.krb5.conf
  2. <java.home>/lib/security/krb5.conf
  3. c:\winnt\krb5.ini sur les plateformes Microsoft Windows
  4. /etc/krb5/krb5.conf sur les plateformes UNIX
  5. /etc/krb5.conf su les plateformes Linux.
Faites appel à l'utilitaire wsadmin en vue de configurer l'intercepteur TAI SPNEGO pour WebSphere Application Server :
  1. Démarrez WebSphere Application Server.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Lancez l'utilitaire de ligne de commande en exécutant la commande wsadmin à partir du répertoire racine_serveur_app/bin.
  3. [IBM i]Lancez l'utilitaire de ligne de commande en exécutant la commande wsadmin à partir du répertoire racine_serveur_app/bin sur la ligne de commande Qshell.
  4. A l'invite de wsadmin, entrez la commande suivante :
    $AdminTask createKrbConfigFile
    Vous pouvez utiliser les paramètres suivants avec cette commande :
    Tableau 2. Paramètres de commande. Ce tableau décrit les paramètres de la commande $AdminTask createKrbConfigFile.
    Option Description
    <krbPath> Ce paramètre est obligatoire. Il fournit le chemin complet du fichier de configuration Kerberos (krb5.ini or krb5.conf).
    <realm> Ce paramètre est obligatoire. Il fournit le nom du domaine Kerberos. La valeur de cet attribut est utilisée par le SPNEGO TAI pour former le nom principal du service Kerberos de chacun des hôtes spécifiés avec la propriété com.ibm.ws.security.spnego.SPNid.hostName.
    <kdcHost> Ce paramètre est obligatoire. Il fournit le nom d'hôte du centre de distribution de clés Kerberos.
    <kdcPort> Ce paramètre est facultatif. Il fournit le numéro de port du centre de distribution de clés. La valeur par défaut est 88.
    <dns> Ce paramètre est obligatoire. Il fournit le service de nom de domaine (DNS) utilisé par défaut pour obtenir un nom d'hôte complet.
    <keytabPath> Ce paramètre est obligatoire. Il fournit l'emplacement du fichier de clés Kerberos.
    <encryption> Ce paramètre est facultatif. Il identifie la liste des types de chiffrement pris en charge, délimités par un espace. La valeur spécifiée est utilisée pour default_tkt_enctypes et default_tgs_enctypes. Les types de chiffrement par défaut sont des-cbc-md5 et rc4-hmac.

Dans l'exemple suivant, la commande wsadmin crée le fichier krb5.ini dans le répertoire c:\winnt. Le fichier de clés Kerberos par défaut se trouve également dans c:\winnt. Le véritable nom du domaine Kerberos est WSSEC.AUSTIN.IBM.COM et le nom d'hôte du centre de distribution de clés est host1.austin.ibm.com.

wsadmin>$AdminTask createKrbConfigFile {-krbPath 
c:\winnt\krb5.ini -realm WSSEC.AUSTIN.IBM.COM -kdcHost host1.austin.ibm.com
 -dns austin.ibm.com -keytabPath c:\winnt\krb5.keytab}
La commande wsadmin ci-dessus crée un fichierkrb5.ini comme suit :
[libdefaults]
 default_realm = WSSEC.AUSTIN.IBM.COM
        default_keytab_name = FILE:c:\winnt\krb5.keytab
        default_tkt_enctypes = des-cbc-md5 rc4-hmac
        default_tgs_enctypes = des-cbc-md5 rc4-hmac
[realms]
        WSSEC.AUSTIN.IBM.COM = {
  kdc = host1.austin.ibm.com:88
              default_domain = austin.ibm.com        
}
[domain_realm]
        .austin.ibm.com = WSSEC.AUSTIN.IBM.COM
Avertissement :
  • [AIX Solaris HP-UX Linux Windows][IBM i]Un fichier de clés Kerberos contient la liste des clés analogues aux mots de passe utilisateur. Il est important que les hôtes protègent leurs fichiers de clés Kerberos en les stockant sur le disque local. Le droit d'accès au fichier krb5.conf doit être 644, ce qui signifie que vous pouvez lire et écrire le fichier ; en revanche, les membres du groupe auquel appartient le fichier pourront uniquement le lire.
  • [z/OS]Un fichier de clés Kerberos contient la liste des clés analogues aux mots de passe utilisateur. Il est important que les hôtes protègent leurs fichiers de clés Kerberos en les stockant sur le disque local. Le droit d'accès au fichier krb5.conf doit être 644, ce qui signifie que vous pouvez lire et écrire le fichier ; en revanche, les membres du groupe auquel appartient le fichier pourront uniquement le lire. L'ID utilisateur qui exécute l'auxiliaire, le contrôle et les servants, doit disposer d'un droit de lecture pour les fichiers krb5.conf et krb5.keytab.
  • Si l'environnement d'exécution ne peut pas lire l'entrée default_tkt_enctypes ou default_tgs_enctypes dans le fichier krb5.ini, si ses valeurs sont manquantes ou si elles ne sont pas prises en charge, la valeur DES-CBC-MD5 est utilisée par défaut.
[IBM i]Le fichier de configuration krb5.conf prend en charge trois graphismes pour représenter les caractères {, }, [, et ]. Ces caractères dépendent du type de langage. Les clés générées nativement ne peuvent être lues par le client Kerberos. Si vous rencontrez des difficultés lors de la configuration de SPNEGO TAI avec les fichiers natifs krb5.conf et krb5.keytab, complétez l'un des scénarios suivants pour résoudre le problème de trigraphes :
  • Remplacez les trigraphes du fichier krb5.conf par les caractères qu'ils représentent.
  • Utilisez le fichier krb5.conf généré par WebSphere Application Server.
  • Utilisez un fichier de clés Microsoft Windows ou KDC (Key Distribution Center).

Les paramètres de configuration kerberos, le nom du centre de répartition des clés kerberos (KDC) et les paramètres de domaine du TAI (Trust Association Interceptor) SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) sont fournis dans le fichier de configuration kerberos ou via les fichiers de propriétés système java.security.krb5.kdc et java.security.krb5.realm.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_config_krb5
Nom du fichier : rsec_SPNEGO_config_krb5.html