Jeton Kerberos Web Services Security pour l'authentification dans un environnement Kerberos à un ou plusieurs domaines
Pour sécuriser des services Web, vous pouvez utiliser un jeton Kerberos comme jeton d'authentification ou comme jeton de protection de message. L'authentification Kerberos peut s'utiliser dans les environnements comprenant un seul domaine Kerberos ou plusieurs domaines Kerberos croisés sécurisés.
Environnement à un seul domaine
ServiceName/HostName@Kerberos_Realm_Name
Pour les configurations WebSphere Application
Server définies au niveau de la cellule, tous les fournisseurs de services utilisent le même domaine Kerberos.Si le fournisseur de services utilise l'identité Kerberos du client pour les demandes de services Web en aval, il doit exister un ticket Kerberos délégué dans le jeton Kerberos spécifié dans le fichier de configuration Kerberos. Le module de connexion JAAS du système pour Kerberos est ajouté au demandeur de sécurité des services Web. Pour plus d'informations sur l'utilisation d'un jeton Kerberos avec les données d'identification du programme appelant, voir la rubrique relative à la mise à jour de la connexion JAAS (Java™ Authentication and Authorization Service) du système avec le module de connexion Kerberos et à la création d'un fichier de configuration Kerberos.
Environnement interdomaine ou environnement de domaine sécurisé
- La configuration du domaine Kerberos sécurisé doit être effectuée sur chaque KDC Kerberos. Voir le guide d'utilisation et d'administration Kerberos pour plus d'informations sur la configuration d'un domaine accrédité Kerberos.
- Le fichier de configuration Kerberos (krb5.ini surWindows, et krb5.conf sur Unix et z/OS) doit répertorier les domaines sécurisés. Voir le Guide de l'administrateur et de l'utilisateur de Kerberos pour plus d'informations.
- Vous devez configurer les liaisons du générateur de jetons de l'application client avec les données du SPN Kerberos du fournisseur de services. Pour plus d'informations, voir la rubrique sur la configuration des liaisons pour la protection des messages avec Kerberos.
ServiceName/HostName@nom_domaine_Kerberos
L'application client doit indiquer le nom de son domaine Kerberos dans la section du gestionnaire d'appel des liaisons du générateur de jetons des règles du client. Au niveau de la cellule, tous les fournisseurs de services utilisent le même domaine Kerberos. Toutefois, chaque application client peut définir son propre domaine Kerberos. Seules les authentifications
d'égal à égal et inter-domaines transitive trust sont prises en charge.La figure suivante illustre la relation qui existe entre les domaines sécurisés telle qu'elle est définie dans le KDC (Key Distribution Center) Kerberos :

Si le fournisseur de services utilise l'identité Kerberos du client pour les demandes de services Web en aval, il doit exister un ticket Kerberos délégué dans le jeton Kerberos spécifié dans le fichier de configuration Kerberos. Le module de connexion JAAS du système pour Kerberos est ajouté au demandeur de sécurité des services Web. Pour plus d'informations sur l'utilisation d'un jeton Kerberos avec les données d'identification du programme appelant, voir la rubrique relative à la mise à jour de la connexion JAAS du système avec le module de connexion Kerberos et à la création d'un fichier de configuration Kerberos.