Création d'un principal de service et d'un fichier de clés Kerberos utilisé par l'intercepteur TAI SPNEGO WebSphere Application Server (obsolète)

Vous effectuez cette tâche de configuration sur la machine contrôleur de domaine Microsoft Active Directory. Cette tâche est un composant nécessaire pour la préparation des demandes d'ouverture de session unique du navigateur sur WebSphere Application Server et sur l'intercepteur TAI SPNEGO.

Avant de commencer

Vous devez disposer d'un contrôleur de domaine en cours d'exécution et au moins d'une machine client dans ce domaine.
Fonction obsolète Fonction obsolète:

Dans WebSphere Application Server version 6.1, un TAI (trust association interceptor) utilisant le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP des ressources sécurisées a été ajouté. Toutefois, cette fonction a été dépréciée dans WebSphere Application Server version 7.0. Elle a été remplacée par l'authentification Web SPNEGO, qui fournit un rechargement dynamique des filtres SPNEGO et autorise un repli sur la méthode d'ouverture de session de l'application.

depfeat

Pourquoi et quand exécuter cette tâche

Cette tâche est effectuée sur la machine du contrôleur de domaine Active Directory. Procédez aux étapes suivantes pour vérifier que Microsoft Windows Server exécutant le contrôleur de domaine Active Directory est configuré correctement sur le centre de distribution de clés associé (KDC).

Procédure

  1. Créez un compte utilisateur dans Microsoft Active Directory pour WebSphere Application Server.

    Cliquez sur Démarrer->Programmes->Outils d'administration->Utilisateurs et ordinateurs Active Directory

    Utilisez le nom pour WebSphere Application Server. Par exemple, si le serveur d'applications que vous exécutez sur la machine WebSphere Application Server s'appelle myappserver.austin.ibm.com, créez un utilisateur appelé myappserver dans Active Directory .
    Important : Ne sélectionnez pas "L'utilisateur doit changer son mot de passe à la prochaine ouverture de session".
    Important : Veillez à ce que vous n'ayez pas de nom d'ordinateur myappserver pour Ordinateurs et contrôleurs de domaine. Si vous disposez déjà d'un nom d'ordinateur myappserver, vous devez créer un nom de compte utilisateur différent.
    • Sélectionnez Démarrer -> Programmes -> Outils d'administration -> Utilisateurs et ordinateurs Active Directory->Ordinateurs
    • Sélectionnez Démarrer -> Programmes -> Outils d'administration -> Utilisateurs et ordinateurs Active Directory->Contrôleurs de domaine
  2. Utilisez la commande setspn pour mapper le nom du principal de service Kerberos HTTP/<nom_hôte> sur un compte utilisateur Microsoft. Voici un exemple de l'utilisation setspn :
    C:\Program Files\Support Tools>
    setspn -A HTTP/myappserver.austin.ibm.com myappserver
    Remarque : Il se peut que des noms de principal de service associés aux hôtes Microsoft Windows aient déjà été ajoutés au domaine. Vous pouvez afficher les noms existants à l'aide de la commande setspn -L mais vous devez cependant ajouter un nom de principal de service HTTP pour WebSphere Application Server. Par exemple, setspn -L myappserver répertorie les noms SPN.
    Important : Assurez-vous que vous n'avez pas le même mappage de noms de principal de service sur plusieurs comptes utilisateur Microsoft. Si vous mappez le même nom de principal de service sur un compte utilisateur, le client de navigateur Web peut envoyer un jeton NTLM au lieu d'un jeton SPNEGO à WebSphere Application Server.

    Des informations supplémentaires sur la commande setspn sont disponibles dans Windows 2003 Technical Reference (setspn command)

  3. Créez le fichier de clés Kerberos et rendez-le disponible pour WebSphere Application Server. Utilisez la commande ktpass pour créer le fichier de clés Kerberos (krb5.keytab).

    Utilisez l'outil ktpass de Windows Server pour créer le fichier de clés Kerberos pour le nom principal de service (SPN). Utilisez la version de l'outil ktpass correspondant au niveau de serveur Windows que vous utilisez. Par exemple, utilisez la version Windows 2003 de l'outil pour un serveur Windows 2003.

    Pour déterminer les valeurs de paramètre appropriées pour l'outil ktpass, exécutez la commande ktpass -? à partir de la ligne de commande. Cette commande indique si l'outil ktpass correspondant au système d'exploitation actif utilise la valeur de paramètre -crypto RC4-HMAC ou -crypto RC4-HMAC-NT. Pour éviter les messages d'avertissement du toolkit, vous devez spécifier la valeur de paramètre -ptype KRB5_NT_PRINCIPAL.

    La version de serveur Windows 2003 de l'outil ktpass prend en charge le type de chiffrement RC4-HMAC et DES (Single data encryption standard). Pour plus d'informations sur l'outil ktpass, voir la référence technique Windows 2003 intitulée Ktpass overview.

    Le code suivant montre les fonctions disponibles quand vous entrez la commande ktpass -? sur la ligne de commande. Ces informations peuvent varier selon la version du toolkit que vous utilisez.
    C:\Program Files\Support Tools>ktpass -?                                  
    Command line options:                                                     
                                                                              
    ---------------------most useful args                                     
    [- /]          out : Keytab to produce                                    
    [- /]        princ : Principal name (user@REALM)                          
    [- /]         pass : password to use                                      
                         use "*" to prompt for password.                      
    [- +]      rndPass : ... or use +rndPass to generate a random password    
    [- /]      minPass : minimum length for random password (def:15)          
    [- /]      maxPass : maximum length for random password (def:256)         
    ---------------------less useful stuff                                    
    [- /]      mapuser : map princ to this user account (default:     
    don't)                                                                    
    [- /]        mapOp : how to set the mapping attribute (default: add it)   
    [- /]        mapOp :  is one of:                                          
    [- /]        mapOp :        add : add value (default)                     
    [- /]        mapOp :        set : set value                               
    [- +]      DesOnly : Set account for des-only encryption (default:don't)  
    [- /]           in : Keytab to read/digest                                
    ---------------------options for key generation                           
    [- /]       crypto : Cryptosystem to use                                  
    [- /]       crypto :  is one of:                                          
    [- /]       crypto : DES-CBC-CRC : for compatibility                      
    [- /]       crypto : DES-CBC-MD5 : for compatibliity                      
    [- /]       crypto : RC4-HMAC-NT : default 128-bit encryption             
    [- /]        ptype : principal type in question                           
    [- /]        ptype :  is one of:                                          
    [- /]        ptype : KRB5_NT_PRINCIPAL : The general ptype-- recommended  
    [- /]        ptype : KRB5_NT_SRV_INST : user service instance             
    [- /]        ptype : KRB5_NT_SRV_HST : host service instance              
    [- /]         kvno : Override Key Version Number                          
                         Default: query DC for kvno.  Use /kvno 1 for Win2K   
    compat.                                                                   
    [- +]       Answer : +Answer answers YES to prompts.  -Answer answers     
    NO.                                                                       
    [- /]       Target : Which DC to use.  Default:detect                     
    ---------------------options for trust attributes (Windows Server 2003    
    Sp1 Only                                                                  
    [- /] MitRealmName : MIT Realm which we want to enable RC4 trust on.      
    [- /]  TrustEncryp : Trust Encryption to use; DES is default              
    [- /]  TrustEncryp :  is one of:                                          
    [- /]  TrustEncryp :        RC4 : RC4 Realm Trusts (default)              
    [- /]  TrustEncryp :        DES : go back to DES
    Important : N'utilisez pas l'option -pass avec la commande ktpass pour redéfinir un mot de passe pour un compte de serveur Microsoft Windows.
    Voir la référence technique Windows 2003 intitulée Ktpass overview pour plus d'informations. Vous devez utiliser l'option -mapUser avec la commande ktpass pour permettre à KDC de créer une clé de chiffrement. Sinon; lorsque le jeton SPENGO est reçu, le processus de validation échoue et le serveur d'applications demande à l'utilisateur d'entrer un nom d'utilisateur et un mot de passe.
    En fonction du type de chiffrement, vous utilisez l'outil ktpass de l'une des façons suivantes pour créer le fichier de clés Kerberos. La section qui suit décrit les différents types de chiffrement utilisés par l'outil ktpass. Il est important d'exécuter la commande ktpass -? pour déterminer quelle valeur de paramètre -crypto est attendue par le toolkit dans votre environnement Microsoft Windows.
    • Pour un type de chiffrement Single DES
      A partir d'une invite de la ligne de commande, exécutez la commande ktpass suivante :
      ktpass -out c:\temp\myappserver.keytab
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
      -mapUser myappserv 
      -mapOp set 
      -pass was1edu
      -crypto DES-CBC-MD5 
      -pType KRB5_NT_PRINCIPAL
      +DesOnly
      Tableau 1. Utilisation de ktpass pour le type de chiffrement Single DES.

      Ce tableau explique l'utilisation de ktpass pour le type de chiffrement Single DES.

      Option Explication
      -out c:\temp\myappserver.keytab La clé est écrite dans ce fichier de sortie.
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM La concaténation du nom de connexion de l'utilisateur et du nom de domaine doit se trouver en majuscules.
      -mapUser La clé est mappée vers l'utilisateur, myappserver.
      -mapOp Cette option définit le mappage.
      -pass was1edu Cette option correspond au mot de passe de l'ID utilisateur.
      -crypto DES-CBC-MD5 Cette option utilise le type de chiffrement DES.
      -pType KRB5_NT_PRINCIPAL Cette option spécifie la valeur du principal KRB5_NT_PRINCIPAL. Indiquez cette option pour éviter les messages d'avertissement du toolkit.
      +DesOnly Cette option génère uniquement des chiffrements DES.
    • Pour le type de chiffrement RC4-HMAC
      Important : Le chiffrement RC4-HMAC n'est pris en charge que lorsque Windows 2003 Server est utilisé comme centre de distribution de clés.
      A partir d'une invite de commande, exécutez la commande ktpass suivante.
      ktpass -out c:\temp\myappserver.keytab 
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM 
      -mapUser myappserver
      -mapOp set 
      –pass was1edu 
      -crypto RC4-HMAC
      -pType KRB5_NT_PRINCIPAL
      Tableau 2. Utilisation de ktpass pour le type de chiffrement RC4-HMAC.

      Ce tableau identifie et décrit les options ktpass pour le chiffrement RC4-HMAC

      Option Explication
      -out c:\temp\myappserver.keytab La clé est écrite dans ce fichier de sortie.
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM La concaténation du nom de connexion de l'utilisateur et du nom de domaine doit se trouver en majuscules.
      -mapUser La clé est mappée vers l'utilisateur, myappserver.
      -mapOp Cette option définit le mappage.
      -pass was1edu Cette option correspond au mot de passe de l'ID utilisateur.
      -crypto RC4-HMAC Cette option sélectionne le type de chiffrement RC4-HMAC.
      -pType KRB5_NT_PRINCIPAL Cette option spécifie la valeur du principal KRB5_NT_PRINCIPAL. Indiquez cette option pour éviter les messages d'avertissement du toolkit.
    • Pour le type de chiffrement RC4-HMAC-NT :
      A partir d'une invite de commande, exécutez la commande ktpass suivante.
      ktpass -out c:\temp\myappserver.keytab 
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM 
      -mapUser myappserver 
      -mapOp set 
      -pass was1edu 
      -crypto RC4-HMAC-NT
      -pType KRB5_NT_PRINCIPAL
      Tableau 3. Utilisation de ktpass pour le type de chiffrement RC4-HMAC. Ce tableau décrit l'utilisation de ktpass pour les types de chiffrement RC4-HMAC.
      Option Explication
      -out c:\temp\myappserver.keytab La clé est écrite dans ce fichier de sortie.
      -princ HTTP/myappserver.austin.ibm.com@WSSEC.AUSTIN.IBM.COM La concaténation du nom de connexion de l'utilisateur et du nom de domaine doit se trouver en majuscules.
      -mapUser La clé est mappée vers l'utilisateur, myappserver.
      -mapOp Cette option définit le mappage.
      -pass was1edu Cette option correspond au mot de passe de l'ID utilisateur.
      -crypto RC4-HMAC-NT Cette option sélectionne le type de chiffrement RC4-HMAC-NT.
      -pType KRB5_NT_PRINCIPAL Cette option spécifie la valeur du principal KRB5_NT_PRINCIPAL. Indiquez cette option pour éviter les messages d'avertissement du toolkit.
    Le fichier de clés Kerberos a été créé pour l'utilisation avec SPNEGO TAI.
    Remarque : Un fichier de configuration de clés Kerberos contient la liste des clés analogues aux mots de passe utilisateur. Il est important que les hôtes protègent leurs fichiers de clés Kerberos en les stockant sur le disque local, ce qui ne les rend lisibles que par les utilisateurs autorisés.
    Rendez le ficher de clés disponible pourWebSphere Application Server en copiant le fichier krb5.keytab du contrôleur de domaine (machine LDAP) vers la machine WebSphere Application Server.
    ftp> bin
    ftp> put c:\temp\KRB5_NT_SEV_HST\krb5.keytab

Résultats

Votre contrôleur de domaine Active Directory est correctement configuré pour traiter des demandes de connexion unique sur WebSphere Application Server et l'intercepteur TAI SPNEGO.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_config_dc
Nom du fichier : tsec_SPNEGO_config_dc.html