Kerberos에 대한 Java 클라이언트 인증 구성
Java™ 클라이언트는 Kerberos 신임 정보 캐시(krb5Ccache)가 있는 Kerberos 프린시펄 이름과 비밀번호가 포함된 WebSphere® Application Server로 인증할 수 있습니다.
프로시저
- Kerberos 구성 파일(krb5.ini 또는 krb5.conf)을 작성하십시오. 자세한 정보는 Kerberos 구성 파일 작성의 내용을 참조하십시오.
- 작성한 krb5.ini 또는
krb5.conf 파일을 기본 위치에 지정하십시오. 파일이 기본 위치에 없는 경우
sas.client.props 파일의 com.ibm.COBRA.krb5ConfigFile을 올바른 경로와 Kerberos 구성 파일 이름으로
설정해야 합니다.
기본 위치는 c:\winnt\krb5.ini입니다.
기본 위치는 /etc/krb5.conf입니다.
기본 위치는 /etc/krb5/krb5.conf입니다.
기본 위치는 /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf입니다.
- sas.client.props 파일에서 com.ibm.CORBA.authenticationTarget 특성을 KRB5로 설정하십시오. 자세한 정보는 스크립트를 사용한 보안 구성에 관해 읽으십시오.
- 또한 sas.client.props 파일에서 com.ibm.CORBA.loginSource
특성을 여기에 표시된 지원되는 값 중 하나로 설정하십시오. authenticationTarget이 BasicAuth인 경우, loginSource 지원은 다음과 같습니다.
- prompt [default]
- 특성
- stdin
- 없음
authenticationTarget이 KRB5인 경우 loginSource 지원은 다음과 같습니다.- prompt [default]
- 특성
- stdin
- 없음
- krb5Ccache
- krb5Ccache:prompt
- krb5Ccache:properties
- krb5Ccache:stdin
다음도 고려하십시오.- krb5Ccache:prompt
- krb5Ccache를 사용하여 먼저 WebSphere Application Server을 인증하십시오. 실패하는 경우, 프롬프트로 다시 돌아갑니다.
- krb5Ccache:properties
- krb5Ccache를 사용하여 먼저 WebSphere Application Server을 인증하십시오. 실패하는 경우, 특성으로 다시 돌아갑니다.
- krb5Ccache:stdin
- krb5Ccache를 사용하여 먼저 WebSphere Application Server을 인증하십시오. 실패하는 경우, stdin으로 다시 돌아갑니다.
- authenticationTarget이 KRB5인 경우, Java 클라이언트 애플리케이션에
wsjaas_client.conf 파일이 있어야 합니다. launchClient 명령을 사용하지 않는 경우,
다음과 같이 java 옵션을 설정해야 합니다.
-Djava.security.auth.login.config=wsjaas_client.config
- authenticationTarget이 KRB5이고
loginSource가 Kerberos 신임 정보 캐시인 경우, 다음을 수행하십시오.
- wsjaas_client.conf 파일에서 WSKRB5Login
항목을 업데이트하십시오.
WSKRB5Login{ com.ibm.ws.security.auth.kerberos.Krb5LoginModuleWrapperClient required credsType=INITIATOR useFirstPass=false forwardable=false renewable=false noAddress=false; };
- Kerberos 신임 정보 캐시가
기본 위치가 아닌 경우, com.ibm.CORBA.krb5CcacheFile 특성을 URL로 설정하십시오. 예를 들면, 다음과 같습니다.
com.ibm.CORBA.krb5CcacheFile=FILE:/home/smith/krb5cc_smith
Kerberos 신임 정보 캐시 파일의 기본 위치는 사용하는 운영 체제에 따라 다릅니다. 사용자 신임 정보 캐시는 다음 순서로 배치됩니다.Java 특성 KRB5CCNAME에서 참조하는 파일
<user.home>/krb5cc_<user.name>
<user.home>/krb5cc (<user.name>을 확보할 수 없는 경우)참고: Kerberos 신임 정보가 인증에 사용되는 경우, 클라이언트 Kerberos 위임 티켓을 재생할 수 없습니다.
- wsjaas_client.conf 파일에서 WSKRB5Login
항목을 업데이트하십시오.
- 옵션: 오류가 발생하면,
모든 WebSphere Application Server 시스템의 시계가
KDC 시스템과 동기화되는지 확인 하십시오. kinit 명령을 사용하여 Kerberos 프린시펄 이름과 비밀번호의 유효성을 검사하십시오. Java
SE Development Kit(JDK) 8과 함께 제공되는 kinit 명령을 사용하는 것이 좋습니다. 다음을 입력하여 이 명령의 도움말을 수신하십시오.
kinit -help
kinit 명령의 예제는 다음과 같습니다. 이 예제에서, Kerberos TGT(ticket-granting ticket)는 duke에 대해 얻을 수 있으며, Kerberos 신임 정보 캐시가 기본 위치, c:\Documents and Settings\duke\krb5cc_duke에 저장됩니다.kinit duke@JAVA.SUN.COM
참고: 이 명령은 모든 버전의 KDC에서 동작하지 않을 수 있습니다.참고: Kerberos 프린시펄 이름 및 비밀번호 모두는 대소문자를 구분합니다. z/OS에서 KDC를 사용 중인 경우에는 RACF 사용자 ID의 KERB 세그먼트에 표시된 대로 정확히 Kerberos 프린시펄 이름을 입력해야 합니다. RACF로 대소문자를 혼용한 비밀번호를 사용 불가능한 경우, kinit 명령에 대한 비밀번호를 모두 대문자로 입력해야 합니다.
결과
관리 콘솔을 사용하거나 wsadmin 명령을 사용하여 서버 측에서 Kerberos의 구성을 완료할 수 있습니다. 자세한 정보는 관리 콘솔을 사용하여 Kerberos를 인증 메커니즘으로 구성 또는 Kerberos 인증 명령에 대해 개별적으로 읽으십시오.
관련 태스크:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_auth_client
파일 이름:tsec_kerb_auth_client.html