Utilizando o Comando ktab para Gerenciar o Arquivo ktab de Kerberos
O comando do gerenciador de tabelas de chaves do Kerberos (Ktab) permite que o administrador da produto gerencie os nomes principais e chaves de serviços de Kerberos armazenados em um arquivo keytab do Kerberos local. Com o IBM Software Development Kit (SDK) ou o Sun Java Development Kit (JDK) 1.6 ou posterior, você pode usar o comando ktab para mesclar dois arquivos keytab Kerberos.
Para mesclar os arquivos ktab, você deverá instalar
a correção acumulativa SR3 do Java Development Kit (JDK) Versão 1.6, que faz upgrade
do JDK para a Versão 1.6.0_07.
Para mesclar os arquivos ktab, você deverá instalar
a correção acumulativa SR3 do Software Development Kit (SDK) Versão 1.6, que faz upgrade
do JDK para a Versão 1.6.0.02.
Para mesclar os arquivos ktab, você deverá instalar
a correção acumulativa SR3 do Java Development Kit (JDK) Versão 1.6, que faz upgrade
do SDK para a Versão 1.6.0 Java Technology Edition SR3.

No WebSphere Application Server Versão 6.1, foi introduzido um TAI (trust association interceptor) que utiliza o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar e autenticar com segurança os pedidos HTTP para recursos seguros. No WebSphere Application Server Versão 7.0, essa função está agora reprovada.
A autenticação da Web SPNEGO tomou esse lugar para fornecer os seguintes aprimoramentos:
- Configurar e ativar a Autenticação da Web e os filtros SPNEGO no lado do WebSphere Application Server usando o console administrativo.
- Fornecer recarregamento dinâmico do SPNEGO sem precisar parar e reiniciar o WebSphere Application Server.
- Fornecer o fallback para um método de login de aplicativo se a autenticação da Web SPNEGO falhar.
- É importante proteger os arquivos keytab e torná-los legíveis apenas pelos usuários do produto autorizados.
- Quaisquer atualizações no arquivo keytab do Kerberos utilizando a Ktab não afeta o banco de dados do Kerberos. Se alterar as chaves no arquivo de keytab do Kerberos, faça as alterações correspondentes no banco de dados do Kerberos.
$ ktab -help
Uso: java com.ibm.security.krb5.internal.tools.Ktab [opções]
Opções disponíveis:
-l lista o nome e as entradas do keytab
-a <principal_name> [password] incluir uma entrada no keytab
-d <principal_name> excluir uma entrada do keytab
-k <keytab_name> especificar o nome do keytab e o caminho com o prefixo FILE:
-m <source_keytab_name> <destination_keytab_name> especificar o nome do arquivo keytab de origem e o nome do arquivo keytab de destino de mesclagem
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Merging keytab files: source=krb5Host1.keytab destination=krb5.keytab
Feito!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
[root@wssecjibe bin]# ./ktab -a
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Feito!
A chave de serviço do proprietário HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM salvo
[root@wssecjibe bin]# ./ktab
KVNO Principal
---- ---------
1 HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf
/etc/krb5.keytab
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)