Configurando o Kerberos como Mecanismo de Autenticação do WebSphere Application Server

Deve-se executar as etapas para configurar o Kerberos como o mecanismo de autenticação para o WebSphere Application Server.

Sobre Esta Tarefa

Nota: O mecanismo de autenticação do Kerberos no lado do servidor deve ser executado pelo administrador do sistema e no lado do cliente Java™ pelos usuários finais. O arquivo keytab do Kerberos deve estar protegido.

Você deve primeiro assegurar que o KDC está configurado. Para obter informações adicionais, consulte o guia do Usuário e Administrador do Kerberos.

[z/OS]Para configurar um KDC no z/OS, você deve ativar a classe APPL no RACF. Essa ação tem como efeito ativar o perfil da classe APPL que é definido para o WebSphere e pode restringir a capacidade que os usuários autenticados têm de acessar aplicativos executados no WebSphere. Se a configuração de segurança estiver utilizando um prefixo de perfil do SAF, o nome do perfil será esse prefixo. Caso contrário, o nome do perfil será CBS390. Para controlar se o perfil APPL é verificado em busca de autorização do WebSphere, é possível configurar a caixa de opção denominada "Usar perfil APPL para restringir o acesso ao servidor" no painel de autorização do SAF no console administrativo. Essa definição pode ser configurada em um nível de domínio de segurança do WebSphere.

Evitar Problemas Evitar Problemas: Ao configurar o arquivo envar para um KDC do z/OS, ordene os tipos de criptografia do mais seguro para o menos seguro para a variável de ambiente SKDC_TKT_ENCTYPES. O z/OS KDC prefere usar os tipos de criptografia que estão no início da lista, da esquerda para a direita.gotcha

Execute as etapas a seguir para configurar o Kerberos como o mecanismo de autenticação para o WebSphere Application Server.

Procedimento

  1. Crie um Service Principal Name e um arquivo keytab do Kerberos.
    1. É possível criar um nome do proprietário de serviço do Kerberos e um arquivo keytab ao usar os centros de distribuição de chaves (KDCs) dos sistemas operacionais Microsoft Windows, iSeries, Linux, Solaris, Massachusetts Institute of Technology (MIT) e z/OS. O Kerberos prefere que os servidores e serviços tenham um ID de serviço baseado em host. O formato deste ID é <service name>/<fully qualified hostname>. O nome do serviço padrão é WAS. Para autenticação Kerberos, o nome do serviço pode ser qualquer cadeia permitida pelo KDC. Entretanto, para autenticação da Web do SPNEGO, o nome do serviço deverá ser HTTP. Um exemplo de um ID do WebSphere Application Server é WAS/myhost.austin.ibm.com.

      Cada host deve ter um ID de servidor exclusivo para o nome do host. Todos os processos no mesmo nó compartilham o mesmo ID de serviço baseado em host.

      Um administrador Kerberos cria um nome de proprietário de serviço (SPN) Kerberos para cada nó na célula do WebSphere. Por exemplo, para uma célula com três nós (como server1.austin.ibm.com, server2.austin.ibm.com e server3.austin.ibm.com), o administrador do Kerberos deve criar os seguintes proprietários de serviço do Kerberos: WAS/server1.austin.ibm.com, WAS/server2.austin.ibm.com e WAS/server3.austin.ibm.com.

      O arquivo keytab do Kerberos krb5.keytab contém todos os SPNs para o nó e deve estar protegido. Esse arquivo pode ser colocado no diretório config/cells/<cell_name>.

      Consulte o artigo Criando um Principal e um Arquivo keytab do Kerberos para obter mais informações.

  2. Crie um arquivo de configuração do Kerberos
    1. A implementação da IBM® do Java Generic Security Service (JGSS) e do KRB5 requer um arquivo de configuração do Kerberos krb5.conf ou krb5.ini em cada nó ou Java virtual machine (JVM). Neste release do WebSphere Application Server, esse arquivo de configuração deve ser colocado no diretório config/cells/<cell_name> para que todos os servidores de aplicativos possam acessar esse arquivo. Se você não tiver um arquivo de configuração do Kerberos, utilize um comando wsadmin para criar um. Consulte o artigo Criando uma Configuração do Kerberos para obter informações adicionais.
  3. Configurar o Kerberos como o mecanismo de autenticação para o WebSphere Application Server usando o console administrativo
    1. Use o console administrativo para configurar o Kerberos como o mecanismo de autenticação para o servidor de aplicativos. Ao inserir e aplicar as informações necessárias à configuração, o nome do proprietário de serviço do Kerberos será formado como <service name>/<fully qualified hostname>@KerberosRealm e usado para verificar solicitações recebidas de token do Kerberos. Consulte o artigo Configurando o Kerberos como o Mecanismo de Autenticação Usando o Console Administrativo para obter mais informações.
  4. Mapeie um nome do Kerberos principal do cliente para o ID do registro do usuário do WebSphere.
    1. É possível mapear o nome do proprietário do cliente Kerberos para o ID de registro de usuários do WebSphere para a autenticação da web Simple and Protected GSS-API Negotiation (SPNEGO) e para a autenticação do Kerberos. Consulte o artigo Mapeamento de um Nome do Kerberos Principal do Cliente para o ID do Registro do Usuário do WebSphere.

      [z/OS]Opcionalmente, é possível mapear um Kerberos principal para uma identidade System Authorization Facility (SAF) no z/OS.

      [z/OS]Ao escolher o botão de opções Usar o segmento KERB de um perfil do usuário SAF no painel do Kerberos do console administrativo do WebSphere Application Server, você deve ter seus usuários de SO Locais que são mapeados para um proprietário do Kerberos específico. Leia Mapeando um Kerberos principal para uma identidade de System Authorization Facility (SAF) em z/OS para obter informações adicionais.

  5. Configurando o Kerberos como Mecanismo de Autenticação do Cliente Java Puro (opcional)
    1. Um cliente Java pode autenticar-se com o WebSphere Application Server usando um nome de proprietário e senha do Kerberos ou com o cache de credenciais do Kerberos (krb5Ccache). Consulte o artigo Configurando um Cliente Java para Autenticação do Kerberos.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_setup
Nome do arquivo: tsec_kerb_setup.html