Token do Kerberos do Web Services Security para Autenticação em um Ambiente Único ou Cruzado da Região do Kerberos
Para proteger mensagens de serviços da Web, é possível usar um token do Kerberos como um token de autenticação ou um token de proteção de mensagens. Para autenticação Kerberos, ambos os ambientes únicos da região do Kerberos, o cruzado ou o confiável, são suportados.
Ambiente Único da Região
ServiceName/HostName@Kerberos_Realm_Name
Para configuração no nível de célula no WebSphere Application Server, todos os provedores de serviços usam a mesma região do Kerberos.Se o provedor de serviços usar a identidade do Kerberos do cliente para solicitações de serviços da Web de recebimento de dados, um chamado delegado do Kerberos deverá existir no token do Kerberos que está especificado no arquivo de configuração do Kerberos. O módulo de login do JAAS do sistema para Kerberos está incluído no responsável pela chamada do Web Services Security fornecido. Para obter informações adicionais sobre o uso do token Kerberos para credenciais do responsável pela chamada, leia sobre a atualização do login Java™ Authentication and Authorization Service (JAAS) do sistema com o módulo de login do Kerberos, e criando um arquivo de configuração do Kerberos.
Ambiente de Região Cruzada ou Ambiente de Região Confiável
- A configuração da região confiável do Kerberos deve ser concluída para todos os KDCs do Kerberos configurados. Consulte o Kerberos Administrator and User's Guide para obter informações adicionais sobre como configurar uma região confiável do Kerberos.
- O arquivo de configuração do Kerberos (krb5.ini no Windows, e krb5.conf para Unix e plataformas z/OS) deve listar as regiões confiáveis. Consulte o Guia do Usuário e Administrador do Kerberos para obter informações adicionais.
- As ligações do gerador de token do aplicativo cliente devem ser configuradas com as informações de SPN do Kerberos a partir do provedor de serviços. Para obter mais informações, consulte Configurando as ligações para proteção de mensagem para Kerberos.
ServiceName/HostName@Kerberos_Realm_Name
O aplicativo cliente deve especificar o nome da região do Kerberos para o cliente em uma parte do manipulador de retorno de chamada das ligações do gerador de token da política do cliente. No nível de célula, todos os provedores de serviço usam a mesma região do Kerberos. Porém, os aplicativos clientes ainda podem definir suas próprias regiões do Kerberos. Somente autenticação ponto a ponto e
transitiva entre regiões confiáveis são suportadas.A figura a seguir ilustra o relacionamento entre regiões confiáveis como definidas no Kerberos Key Distribution Center (KDC):

Se o provedor de serviços usar a identidade do Kerberos do cliente para solicitações de serviços da Web de recebimento de dados, um chamado delegado do Kerberos deverá existir no token do Kerberos que está configurado no arquivo de configuração do Kerberos. O módulo de login do JAAS do sistema para Kerberos está incluído no responsável pela chamada do Web Services Security fornecido. Para obter informações adicionais sobre o uso do token Kerberos para credenciais do responsável pela chamada, leia sobre a atualização do login do JAAS do sistema com o módulo de login do Kerberos, e criando um arquivo de configuração do Kerberos.