Kerberos 인증 명령
wsadmin 명령을 사용하여 WebSphere® Application Server에 대한 인증 메커니즘으로 Kerberos를 작성하거나 수정하거나 삭제할 수 있습니다.
Kerberos 인증 메커니즘 작성
보안 구성 파일에서 KRB5 인증 메커니즘 보안 오브젝트 필드를 작성하기 위해 createKrbAuthMechanism 명령을 사용하려고 시도하기 전에 다음 항목이 필요합니다.
- 아직 Kerberos 구성 파일(krb5.ini 또는 krb5.conf)이 없는 경우 createkrbConfigFile 명령 태스크를 사용하여 Kerberos 구성 파일을 작성하십시오. 자세한 정보는 Kerberos 구성 파일에 대해 읽어 보십시오.
- WebSphere Application Server를 실행하는 각 머신에 대해 Kerberos 서비스 프린시펄 이름(SPN)인 <service
name>/<fully qualified hostname>@KerberosRealm을 포함하는
Kerberos keytab 파일(krb5.keytab)이 있어야 합니다. 이 서비스 이름은
임의로 정할 수 있으며 기본값은 WAS입니다.
예를 들어, 두 애플리케이션 서버 머신인 host1.austin.ibm.com 및 host2.austin.ibm.com이 있는 경우 Kerberos keytab 파일은 <service name>/host1.austin.ibm.com 및 service name>/host2.austin.ibm.com SPN과 해당 Kerberos 키를 포함해야 합니다.
createKrbAuthMechanism 명령을 사용하여 보안 구성 파일에서 KRB5 인증 메커니즘 보안 오브젝트 필드를 작성할 수 있습니다.
wsadmin 프롬프트에서 다음 명령을 입력하십시오.
$AdminTask help createKrbAuthMechanism
옵션 | 설명 |
---|---|
<krb5Realm> | 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos 영역 이름을 표시합니다. 이 매개변수를 지정하지 않을 경우 Kerberos 구성 파일의 기본 Kerberos 영역이 사용됩니다. |
<krb5Config> | 이 매개변수는 필수입니다. 이 매개변수는 구성(krb5.ini 또는 krb5.conf) 파일의 디렉토리 위치 및 파일 이름을 표시합니다. |
<krb5Keytab> | 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos keytab 파일의 디렉토리 위치 및 파일 이름을 표시합니다. 이 매개변수를 지정하지 않을 경우 Kerberos 구성 파일의 기본 keytab이 사용됩니다. |
<serviceName> | 이 매개변수는 필수입니다. 이 매개변수는 Kerberos 서비스 이름을 표시합니다. 기본 Kerberos 서비스 이름은 WAS입니다. |
<trimUserName> | 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos 영역 이름 앞에 있는 "@"로 시작하는 프린시펄 사용자 이름의 접미부를 제거합니다. 이 매개변수는 선택적입니다. 기본값은 true입니다. ![]() |
<enabledGssCredDelegate> | 이 매개변수는 필수가 아닙니다. 주제에서 클라이언트 GSS 위임 신임 정보를 추출하고 배치할지 여부를 표시하기 위해 사용합니다. 기본값은 true입니다. |
<allowKrbAuthForCsiInbound> | 이 매개변수는 선택적입니다. 이 매개변수는 CSI(Common Secure Interoperability) 인바운드에 대해 Kerberos 인증 메커니즘을 사용으로 설정합니다. 기본값은 true입니다. |
<allowKrbAuthForCsiOutbound> | 이 매개변수는 필수입니다. 이 매개변수는 CSI 아웃바운드에 대한 Kerberos 인증 메커니즘을 사용으로 설정합니다. 기본값은 true입니다. |
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
wsadmin>$AdminTask createKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
Kerberos 인증 메커니즘 수정
modifyKrbAuthMechanism 명령을 사용하여 보안 구성 파일에서 KRB5 인증 메커니즘 보안 오브젝트 필드를 변경할 수 있습니다.
wsadmin 프롬프트에서 다음 명령을 입력하십시오.
$AdminTask help modifyKrbAuthMechanism
옵션 | 설명 |
---|---|
<krb5Realm> | 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos 영역 이름을 표시합니다. 이 매개변수를 지정하지 않을 경우 Kerberos 구성 파일의 기본 Kerberos 영역이 사용됩니다. |
<krb5Config> | 이 매개변수는 필수입니다. 이 매개변수는 구성(krb5.ini 또는 krb5.conf) 파일의 디렉토리 위치 및 파일 이름을 표시합니다. |
<krb5Keytab> | 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos keytab 파일의 디렉토리 위치 및 파일 이름을 표시합니다. 이 매개변수를 지정하지 않을 경우 Kerberos 구성 파일의 기본 keytab이 사용됩니다. |
<serviceName> | 이 매개변수는 필수입니다. 이 매개변수는 Kerberos 서비스 이름을 표시합니다. 기본 Kerberos 서비스 이름은 WAS입니다. |
<trimUserName> | 이 매개변수는 선택적입니다. 이 매개변수는 Kerberos 영역 이름 앞에 있는 "@"로 시작하는 프린시펄 사용자 이름의 접미부를 제거합니다. 이 매개변수는 선택적입니다. 기본값은 true입니다. |
<enabledGssCredDelegate> | 이 매개변수는 필수가 아닙니다. Kerberos 인증 토큰(KRBAuthnToken)에서 클라이언트 Kerberos 및 클라이언트 GSS 위임 신임 정보를
추출하고 배치할지 여부를 표시하기 위해 사용합니다. 기본값은 true입니다. 참고: 이 매개변수가
true이고 런타임이 Kerberos GSS 위임 신임 정보를 추출할 수 없는 경우
런타임이 경고 메시지를 로그합니다.
|
<allowKrbAuthForCsiInbound> | 이 매개변수는 선택적입니다. 이 매개변수는 CSI(Common Secure Interoperability) 인바운드에 대해 Kerberos 인증 메커니즘을 사용으로 설정합니다. 기본값은 true입니다. |
<allowKrbAuthForCsiOutbound> | 이 매개변수는 선택적입니다. 이 매개변수는 CSI 아웃바운드에 대한 Kerberos 인증 메커니즘을 사용으로 설정합니다. 기본값은 true입니다. |
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
다음은 modifyKrbAuthMechanism 명령의 예제입니다.
wsadmin>$AdminTask modifyKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
Kerberos 인증 메커니즘 삭제
deleteKrbAuthMechanism 명령을 사용하여 보안 구성 파일에서 KRB5 인증 메커니즘 보안 오브젝트 필드를 제거할 수 있습니다.
wsadmin 프롬프트에서 다음 명령을 입력하십시오.
$AdminTask help deleteKrbAuthMechanism
다음은 deleteKrbAuthMechanism 명령의 예제입니다.
wsadmin>$AdminTask deleteKrbAuthMechanism
활성 인증 메커니즘 설정
setActiveAuthMechanism 명령을 사용하여 보안 구성에서 활성 인증 메커니즘 속성을 설정할 수 있습니다.
wsadmin 프롬프트에서 다음 명령을 입력하십시오.
$AdminTask help setActiveAuthMechanism
옵션 | 설명 |
---|---|
<authMechanismType> | 이 매개변수는 필수가 아닙니다. 이 매개변수는 인증 메커니즘 유형을 표시합니다. 기본값은 KRB5입니다. |
다음은 setActiveAuthMechanism 명령의 예제입니다.
wsadmin> $AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }