Jeton Kerberos Web Services Security pour l'authentification dans un environnement Kerberos à un ou plusieurs domaines

Pour sécuriser des services Web, vous pouvez utiliser un jeton Kerberos comme jeton d'authentification ou comme jeton de protection de message. L'authentification Kerberos peut s'utiliser dans les environnements comprenant un seul domaine Kerberos ou plusieurs domaines Kerberos croisés sécurisés.

Environnement à un seul domaine

Dans un environnement ne comprenant qu'un seul domaine Kerberos, l'application client et le fournisseur de services utilisent le même domaine Kerberos. L'application client obtient un jeton Kerberos sur la base du domaine Kerberos utilisé par le fournisseur de services. Pour configurer le jeton, l'application client définit le nom principal du service (SPN) Kerberos du fournisseur de services dans les liaisons du générateur de jetons des règles du client. Le format du SPN est indiqué ultérieurement dans cette section (la variable nom_domaine_Kerberos est facultative).
ServiceName/HostName@Kerberos_Realm_Name
Pour les configurations WebSphere Application Server définies au niveau de la cellule, tous les fournisseurs de services utilisent le même domaine Kerberos.

Si le fournisseur de services utilise l'identité Kerberos du client pour les demandes de services Web en aval, il doit exister un ticket Kerberos délégué dans le jeton Kerberos spécifié dans le fichier de configuration Kerberos. Le module de connexion JAAS du système pour Kerberos est ajouté au demandeur de sécurité des services Web. Pour plus d'informations sur l'utilisation d'un jeton Kerberos avec les données d'identification du programme appelant, voir la rubrique relative à la mise à jour de la connexion JAAS (Java™ Authentication and Authorization Service) du système avec le module de connexion Kerberos et à la création d'un fichier de configuration Kerberos.

Environnement interdomaine ou environnement de domaine sécurisé

Vous devez exécuter les étapes de configuration suivantes dans le cas d'un environnement de domaine sécurisé :
  • La configuration du domaine Kerberos sécurisé doit être effectuée sur chaque KDC Kerberos. Voir le guide d'utilisation et d'administration Kerberos pour plus d'informations sur la configuration d'un domaine accrédité Kerberos.
  • Le fichier de configuration Kerberos (krb5.ini surWindows, et krb5.conf sur Unix et z/OS) doit répertorier les domaines sécurisés. Voir le Guide de l'administrateur et de l'utilisateur de Kerberos pour plus d'informations.
  • Vous devez configurer les liaisons du générateur de jetons de l'application client avec les données du SPN Kerberos du fournisseur de services. Pour plus d'informations, voir la rubrique sur la configuration des liaisons pour la protection des messages avec Kerberos.
Dans un environnement Kerberos interdomaine ou à domaine sécurisé, l'application client et le fournisseur de services utilisent des domaines Kerberos différents qui sont sécurisés entre eux. L'application client obtient un jeton Kerberos sur la base du domaine Kerberos utilisé par le fournisseur de services. Pour configurer le jeton, l'application client définit le nom principal du service (SPN) Kerberos du fournisseur de services dans les liaisons du générateur de jetons des règles du client. Le format du SPN est indiqué ultérieurement dans cette section (la variable nom_domaine_Kerberos est obligatoire).
ServiceName/HostName@nom_domaine_Kerberos
L'application client doit indiquer le nom de son domaine Kerberos dans la section du gestionnaire d'appel des liaisons du générateur de jetons des règles du client. Au niveau de la cellule, tous les fournisseurs de services utilisent le même domaine Kerberos. Toutefois, chaque application client peut définir son propre domaine Kerberos. Seules les authentifications d'égal à égal et inter-domaines transitive trust sont prises en charge.

La figure suivante illustre la relation qui existe entre les domaines sécurisés telle qu'elle est définie dans le KDC (Key Distribution Center) Kerberos :

Configuration de domaine sécurisé Kerberos

Si le fournisseur de services utilise l'identité Kerberos du client pour les demandes de services Web en aval, il doit exister un ticket Kerberos délégué dans le jeton Kerberos spécifié dans le fichier de configuration Kerberos. Le module de connexion JAAS du système pour Kerberos est ajouté au demandeur de sécurité des services Web. Pour plus d'informations sur l'utilisation d'un jeton Kerberos avec les données d'identification du programme appelant, voir la rubrique relative à la mise à jour de la connexion JAAS du système avec le module de connexion Kerberos et à la création d'un fichier de configuration Kerberos.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_kerberoscrossrealm
Nom du fichier : cwbs_kerberoscrossrealm.html