Utilizando o Comando ktab para Gerenciar o Arquivo ktab de Kerberos

O comando do gerenciador de tabelas de chaves do Kerberos (Ktab) permite que o administrador da produto gerencie os nomes principais e chaves de serviços de Kerberos armazenados em um arquivo keytab do Kerberos local. Com o IBM Software Development Kit (SDK) ou o Sun Java Development Kit (JDK) 1.6 ou posterior, você pode usar o comando ktab para mesclar dois arquivos keytab Kerberos.

[Solaris]Para mesclar os arquivos ktab, você deverá instalar a correção acumulativa SR3 do Java Development Kit (JDK) Versão 1.6, que faz upgrade do JDK para a Versão 1.6.0_07.

[HP-UX]Para mesclar os arquivos ktab, você deverá instalar a correção acumulativa SR3 do Software Development Kit (SDK) Versão 1.6, que faz upgrade do JDK para a Versão 1.6.0.02.

[AIX][Windows][Linux]Para mesclar os arquivos ktab, você deverá instalar a correção acumulativa SR3 do Java Development Kit (JDK) Versão 1.6, que faz upgrade do SDK para a Versão 1.6.0 Java Technology Edition SR3.

O SPN (nome do proprietário de serviço) e as chaves do Kerberos listados no arquivo de keytab do Kerberos permitem que os serviços em execução no host validem o pedido de token Kerberos ou SPNEGO de entrada. Antes de configurar a autenticação da web do Kerberos ou SPNEGO, o administrador do WebSphere Application Server deve configurar um arquivo keytab Kerberos no host que estiver executando o WebSphere Application Server.
Recurso Reprovado Recurso Reprovado:

No WebSphere Application Server Versão 6.1, foi introduzido um TAI (trust association interceptor) que utiliza o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar e autenticar com segurança os pedidos HTTP para recursos seguros. No WebSphere Application Server Versão 7.0, essa função está agora reprovada.

A autenticação da Web SPNEGO tomou esse lugar para fornecer os seguintes aprimoramentos:

  • Configurar e ativar a Autenticação da Web e os filtros SPNEGO no lado do WebSphere Application Server usando o console administrativo.
  • Fornecer recarregamento dinâmico do SPNEGO sem precisar parar e reiniciar o WebSphere Application Server.
  • Fornecer o fallback para um método de login de aplicativo se a autenticação da Web SPNEGO falhar.
depfeat
Importante:
  • É importante proteger os arquivos keytab e torná-los legíveis apenas pelos usuários do produto autorizados.
  • Quaisquer atualizações no arquivo keytab do Kerberos utilizando a Ktab não afeta o banco de dados do Kerberos. Se alterar as chaves no arquivo de keytab do Kerberos, faça as alterações correspondentes no banco de dados do Kerberos.
A sintaxe de Ktab é ilustrada posteriormente nesta seção usando o Ktab com o operando -help.
$ ktab -help

Uso: java com.ibm.security.krb5.internal.tools.Ktab [opções]
Opções disponíveis:
-l					lista o nome e as entradas do keytab
-a <principal_name> [password]  incluir uma entrada no keytab
-d <principal_name>             excluir uma entrada do keytab
-k <keytab_name>                especificar o nome do keytab e o caminho com o prefixo FILE:
-m <source_keytab_name> <destination_keytab_name>      especificar o nome do arquivo keytab de origem e o nome do arquivo keytab de destino de mesclagem
A seguir está um exemplo de como o Ktab é usado para mesclar o arquivo krb5Host1.keytab com o arquivo krb5.keytab:
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Merging keytab files:   source=krb5Host1.keytab   destination=krb5.keytab
Feito!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
A seguir está um exemplo de como o Ktab é usado em uma plataforma LINUX para incluir novos nomes dos principais no arquivo keytab Kerberos, em que ot56prod é a senha para o nome do principal do Kerberos:
[root@wssecjibe bin]# ./ktab -a	
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Feito!
A chave de serviço do proprietário HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM salvo

A seguir está um exemplo de como o Ktab é usado em uma plataforma Windows para listar o conteúdo do arquivo keytab do Kerberos.
[root@wssecjibe bin]# ./ktab

        KVNO    Principal
        ----    ---------

        1       HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM

[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf 
/etc/krb5.keytab
[AIX Solaris HP-UX Linux Windows]Dica: Você pode executar o comando ktab a partir do diretório install_root/java/jre/bin.
[z/OS]Dica: Você pode executar o comando ktab a partir do diretório install_root/java/J5.0/bin ou install_root/java64/J5.0_64/bin.

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_kerb
Nome do arquivo: rsec_SPNEGO_kerb.html