Comandos de Autenticação do Kerberos
Utilize comandos wsadmin para criar, modificar ou excluir o Kerberos como o mecanismo de autenticação do WebSphere Application Server.
Criar o Mecanismo de Autenticação Kerberos
Os itens a seguir são necessários antes de você tentar utilizar o comando createKrbAuthMechanism para criar o campo de objeto de segurança do mecanismo de autenticação KRB5 no arquivo de configuração de segurança:
- Se você ainda não tiver um arquivo de configuração Kerberos (krb5.ini ou krb5.conf), utilize a tarefa de comando createkrbConfigFile para criar o arquivo de configuração Kerberos. Leia sobre como criar um arquivo de configuração do Kerberos para obter mais informações.
- Você deve ter um arquivo keytab Kerberos (krb5.keytab)
que contenha um nome do principal de serviço (SPN) do Kerberos, <service
name>/<fully qualified hostname>@KerberosRealm,
para cada máquina que executa servidores de aplicativos do WebSphere. O nome de serviço pode ser qualquer um; o valor padrão é WAS.
Por exemplo, se você tiver duas máquinas servidor de aplicativos, host1.austin.ibm.com e host2.austin.ibm.com, o arquivo keytab do Kerberos deverá conter os SPNs <service name>/host1.austin.ibm.com e service name>/host2.austin.ibm.com e suas chaves do Kerberos.
Utilize o comando createKrbAuthMechanism para criar o campo de objeto de segurança do mecanismo de autenticação KRB5 no arquivo de configuração de segurança.
No prompt do wsadmin, digite o seguinte comando:
$AdminTask help createKrbAuthMechanism
Opção | Descrição |
---|---|
<krb5Realm> | Esse parâmetro é opcional. Ele indica o nome da região do Kerberos. Se você não especificar esse parâmetro, a região padrão do Kerberos no arquivo de configuração do Kerberos será utilizada. |
<krb5Config> | Este parâmetro é requerido. Ele indica o local do diretório e o nome do arquivo de configuração (krb5.ini ou krb5.conf). |
<krb5Keytab> | Esse parâmetro é opcional. Ele indica o local do diretório e o nome do arquivo keytab do Kerberos. Se você não especificar esse parâmetro, o nome do keytab padrão no arquivo de configuração do Kerberos será utilizado. |
<serviceName> | Este parâmetro é requerido. Ele indica o nome do serviço Kerberos. O nome do serviço Kerberos padrão é WAS. |
<trimUserName> | Esse parâmetro é
opcional. Ele remove o sufixo do
nome de usuário do proprietário, iniciando a partir de “@” que precede o nome
da região do Kerberos. Esse parâmetro é
opcional. O valor padrão é verdadeiro. ![]() |
<enabledGssCredDelegate> | Este parâmetro não é necessário. Utilize para indicar se a credencial de delegação GSS do cliente deve ser extraída e colocada no assunto. O valor padrão é verdadeiro. |
<allowKrbAuthForCsiInbound> | Esse parâmetro é opcional. Ele ativa o mecanismo de autenticação Kerberos para a entrada CSI (Common Secure Interoperability). O valor padrão é verdadeiro. |
<allowKrbAuthForCsiOutbound> | Este parâmetro é requerido. Ele ativa o mecanismo de autenticação Kerberos para a saída CSI. O valor padrão é verdadeiro. |
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
wsadmin>$AdminTask createKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
Modificar o Mecanismo de Autenticação Kerberos
Utilize o comando modifyKrbAuthMechanism para fazer alterações no campo de objeto de segurança do mecanismo de autenticação KRB5 no arquivo de configuração de segurança.
No prompt do wsadmin, digite o seguinte comando:
$AdminTask help modifyKrbAuthMechanism
Opção | Descrição |
---|---|
<krb5Realm> | Esse parâmetro é opcional. Ele indica o nome da região do Kerberos. Se você não especificar esse parâmetro, a região padrão do Kerberos no arquivo de configuração do Kerberos será utilizada. |
<krb5Config> | Este parâmetro é requerido. Ele indica o local do diretório e o nome do arquivo de configuração (krb5.ini ou krb5.conf). |
<krb5Keytab> | Esse parâmetro é opcional. Ele indica o local do diretório e o nome do arquivo keytab do Kerberos. Se você não especificar esse parâmetro, o nome do keytab padrão no arquivo de configuração do Kerberos será utilizado. |
<serviceName> | Este parâmetro é requerido. Ele indica o nome do serviço Kerberos. O nome do serviço Kerberos padrão é WAS. |
<trimUserName> | Esse parâmetro é opcional. Ele remove o sufixo do nome de usuário do proprietário, iniciando a partir de “@” que precede o nome da região do Kerberos. Esse parâmetro é opcional. O valor padrão é verdadeiro. |
<enabledGssCredDelegate> | Este parâmetro não é necessário. Utilize para indicar
se a credencial de delegação do Kerberos e GSS do cliente deve ser extraída e colocada
no token de autenticação do Kerberos (KRBAuthnToken). O valor padrão é verdadeiro. Nota: Se esse parâmetro for true e o tempo de
execução não puder extrair a credencial de delegação GSS Kerberos, o tempo de execução registrará
uma mensagem de aviso.
|
<allowKrbAuthForCsiInbound> | Esse parâmetro é opcional. Ele ativa o mecanismo de autenticação Kerberos para a entrada CSI (Common Secure Interoperability). O valor padrão é verdadeiro. |
<allowKrbAuthForCsiOutbound> | Esse parâmetro é opcional. Ele ativa o mecanismo de autenticação Kerberos para a saída CSI. O valor padrão é verdadeiro. |
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
A seguir, um exemplo do comando modifyKrbAuthMechanism:
wsadmin>$AdminTask modifyKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
Excluir o Mecanismo de Autenticação Kerberos
Utilize o comando deleteKrbAuthMechanism para remover o campo de objeto de segurança do mecanismo de autenticação KRB5 no arquivo de configuração de segurança.
No prompt do wsadmin, digite o seguinte comando:
$AdminTask help deleteKrbAuthMechanism
A seguir, um exemplo do comando deleteKrbAuthMechanism:
wsadmin>$AdminTask deleteKrbAuthMechanism
Configurar o Mecanismo de Autenticação Ativo
Utilize o comando setActiveAuthMechanism para configurar o atributo de mecanismo de autenticação ativo na configuração de segurança.
No prompt do wsadmin, digite o seguinte comando:
$AdminTask help setActiveAuthMechanism
Opção | Descrição |
---|---|
<authMechanismType> | Este parâmetro não é necessário. Ele indica o tipo de mecanismo de autenticação. O padrão é KRB5. |
A seguir, um exemplo do comando setActiveAuthMechanism:
wsadmin> $AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }