Configurando um Cliente Java para Autenticação do Kerberos
Um cliente Java™ pode autenticar-se no WebSphere Application Server com um nome do principal e senha do Kerberos ou com o cache de credenciais do Kerberos (krb5Ccache).
Procedimento
- Crie um arquivo de configuração do Kerberos (krb5.ini ou krb5.conf). Leia sobre Criando um Arquivo de Configuração do Kerberos para obter informações adicionais.
- Coloque
os arquivos krb5.ini ou krb5.conf que você criou em um local padrão. Se nenhum dos arquivos estiver no local padrão, você deverá configurar com.ibm.COBRA.krb5ConfigFile no arquivo sas.client.props com o caminho correto e o nome do arquivo de configuração do Kerberos.
O local padrão é c:\winnt\krb5.ini.
O local padrão é /etc/krb5.conf.
O local padrão é /etc/krb5/krb5.conf.
O local padrão é /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf
- No arquivo sas.client.props, configure a propriedade com.ibm.CORBA.authenticationTarget para KRB5. Leia sobre configuração de segurança com scripts para obter mais informações.
- Também no, sas.client.props file, configure a propriedade com.ibm.CORBA.loginSource com um dos valores suportados mostrados aqui: Quando authenticationTarget é BasicAuth, os loginSource suportados são:
- prompt [padrão]
- properties
- stdin
- nenhum
Quando authenticationTarget é KRB5, os loginSource suportados são:- prompt [padrão]
- properties
- stdin
- nenhum
- krb5Ccache
- krb5Ccache:prompt
- krb5Ccache:properties
- krb5Ccache:stdin
Considere também o seguinte:- krb5Ccache:prompt
- Use krb5Ccache para autenticar-se primeiro com o WebSphere Application Server. Se falhar, ele alternará para o prompt.
- krb5Ccache:properties
- Use krb5Ccache para autenticar-se primeiro com o WebSphere Application Server. Se falhar, ele alternará para as propriedades.
- krb5Ccache:stdin
- Use krb5Ccache para autenticar-se primeiro com o WebSphere Application Server. Se falhar, ele alternará para stdin.
- Se authenticationTarget for KRB5, o aplicativo cliente Java
deverá ter o arquivo wsjaas_client.conf. Se não utilizar o comando launchClient, você deverá configurar a opção java da seguinte forma:
-Djava.security.auth.login.config=wsjaas_client.config
- Se o authenticationTarget for KRB5 e loginSource for
o cache de credenciais do Kerberos, execute o seguinte procedimento:
- No arquivo wsjaas_client.conf, atualize a entrada
WSKRB5Login:
WSKRB5Login{ com.ibm.ws.security.auth.kerberos.Krb5LoginModuleWrapperClient required credsType=INITIATOR useFirstPass=false forwardable=false renewable=false noAddress=false; };
- Se o cache de credenciais do Kerberos não estiver no local padrão,
configure a propriedade com.ibm.CORBA.krb5CcacheFile como uma URL: Exemplo:
com.ibm.CORBA.krb5CcacheFile=FILE:/home/smith/krb5cc_smith
O local padrão do arquivo de cache de credenciais Kerberos depende de qual sistema operacional você utiliza. O cache de credenciais do usuário está localizado na seguinte ordem:O arquivo referido pela propriedade Java KRB5CCNAME
<user.home>/krb5cc_<user.name>
<user.home>/krb5cc (se <user.name> não puder ser obtido)Nota: Quando o cache de credenciais Kerberos é utilizado para autenticação, o ticket de delegação Kerberos cliente não é renovável.
- No arquivo wsjaas_client.conf, atualize a entrada
WSKRB5Login:
- Opcional: Se ocorrer um erro, certifique-se de que todos os relógios da
máquinas WebSphere Application Server estejam sincronizados
com as máquinas do KDC. Valide um nome de proprietário e senha
do Kerberos utilizando o comando kinit. É recomendado que você use o comando kinit que é fornecido com o Java SE
Development Kit (JDK) 8. Digite o seguinte para receber a ajuda para este comando:
kinit -help
Um exemplo do comando kinit é mostrado a seguir. Nesse exemplo, um TGT (Ticket-Granting Ticket) Kerberos pode ser obtido para duke, e o cache de credenciais Kerberos é armazenado no local padrão, c:\Documents and Settings\duke\krb5cc_duke:kinit duke@JAVA.SUN.COM
Nota: Este uso de comando pode não funcionar em todas as versões de KDCs.Nota: O nome do proprietário e a senha do Kerberos fazem distinção entre maiúsculas e minúsculas. No caso de você estar utilizando um KDC no z/OS, será necessário digitar o nome do proprietário do Kerberos exatamente como ele aparece no segmento KERB do ID do usuário RACF. A menos que você tenha senhas compostas por letras maiúsculas e minúsculas ativadas para o RACF, deverá digitar a senha com todas as letras em maiúsculo para o comando kinit.
Resultados
É possível concluir sua configuração do Kerberos no lado do servidor utilizando o console administrativo ou utilizando os comandos wsadmin. Leia sobre Configurando Kerberos como o Mecanismo de Autenticação Utilizando o Console Administrativo ou comandos de autenticação do Kerberos respectivamente para obter mais informações.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_auth_client
Nome do arquivo: tsec_kerb_auth_client.html