Configurações de Autenticação do Kerberos
Utilize essa página para configurar e verificar o Kerberos como o mecanismo de autenticação para o servidor de aplicativos.
Depois que você tiver digitado e aplicado as informações necessárias para a configuração, o nome do proprietário do servidor será criado a partir do nome do serviço, nome da região e nome do host, além de ser utilizado para verificar automaticamente a autenticação para o serviço Kerberos.
Quando configurado, o Kerberos é o mecanismo de autenticação primário. Configure a autenticação EJB (Enterprise JavaBeans) para recursos, acessando os links de referências de recursos no painel de detalhes do aplicativo.
Para visualizar esta página do console administrativo, clique em Configuração do Kerberos.
. Em Autenticação, clique emorg.ietf.jgss.GSSException, código principal: 11, código secundário: 0 cadeia principal: Falha geral, não especificada na cadeia de nível inferior GSSAPI: Não é possível obter credencial para serviço do proprietário WAS/test@AUSTIN.IBM.COMNo exemplo de exceção, o nome completo do host não está especificado, o que é a razão da falha. Para essa falha, o nome do host do sistema geralmente é obtido do arquivo /etc/hosts ao invés de a partir do Domain Name Server (DNS). Nos sistemas UNIX ou Linux, se a linha "hosts": no arquivo /etc/nsswitch.conf estiver configurada para usar o arquivo de hosts antes do DNS, a configuração do Kerberos falhará se o arquivo de hosts contiver uma entrada para o sistema que não seja o nome completo do host.
Nome da Região do Kerberos
Especifica o nome de sua região do Kerberos. Na maioria dos casos, a região é o nome do domínio em letras maiúsculas. Por exemplo, uma máquina com o nome de domínio de test.austin.ibm.com possui um nome de região do Kerberos de AUSTIN.IBM.COM.
Existem dois componentes que utilizam nome da região. A implementação da IBM® do componente Java™ Generic Security Service (JGSS) obtém o nome da região do arquivo krb5.conf. O WebSphere Application Server também mantém um nome de região, que geralmente é igual ao que o JGSS usa. Se você deixar o campo de nome da região do Kerberos em branco, o WebSphere Application Server herdará o nome da região do JGSS.
É possível desejar que o WebSphere Application Server use um nome de região diferente, e pode usar o campo Nome da Região do Kerberos para alterá-lo. No entanto, saiba que se você alterar o nome da região no console administrativo, somente o nome da região do WebSphere Application Server será alterado.
Informações | Valor |
---|---|
Tipo de Dados: | String |
Nome do Serviço Kerberos
Por convenção, um proprietário do serviço Kerberos é dividido em três partes: o nome principal, o da instância e o da região do Kerberos. O formato do nome do principal do serviço Kerberos é service/<nome do host completo>@KERBEROS_REALM.service_name. O nome do serviço é a primeira parte do nome principal do serviço Kerberos. Por exemplo, em WAS/test.austin.ibm.com@AUSTIN.IBM.COM, o nome de serviço é WAS.
Informações | Valor |
---|---|
Tipo de Dados: | String |
Arquivo de Configuração do Kerberos com Caminho Completo
O arquivo de configuração do Kerberos, krb5.conf ou krb5.ini, contém informações de configuração do cliente, incluindo os locais dos KDCs (Key Distribution Centers) para a região de interesse. O arquivo krb5.conf é utilizado para todas as plataformas, exceto o sistema operacional Windows, que utiliza o arquivo krb5.ini.
Informações | Valor |
---|---|
Tipo de Dados: | String |
Nome do Arquivo keytab do Kerberos com Caminho Completo
Especifica o nome do arquivo keytab do Kerberos com seu caminho completo. É possível clicar em Procurar para localizá-lo. Se este campo estiver vazio, o nome do arquivo keytab especificado no arquivo de configuração Kerberos será usado.
Informações | Valor |
---|---|
Tipo de Dados: | String |
Remover Região do Kerberos do Nome do Proprietário
Especifica se o Kerberos removerá o sufixo do nome de usuário do proprietário, iniciando a partir do @ que precede o nome da região do Kerberos. Se esse atributo for configurado como true, o sufixo do nome do usuário do proprietário será removido. Se esse atributo estiver configurado como false, o sufixo do nome do proprietário será retido. O valor padrão utilizado é true.
Informações | Valor |
---|---|
Padrão: | Enabled |
Ativar Delegação de Credenciais Kerberos
Especifica se as credenciais delegadas pelo Kerberos serão armazenadas no assunto pela autenticação Kerberos.
Essa opção também permite que um aplicativo recupere as credenciais armazenadas e as propague para outro recebimento de dados de aplicativo, para a autenticação adicional do Kerberos com a credencial do cliente Kerberos.
Se esse parâmetro for boolean: no, e o tempo de execução não puder extrair uma credencial de delegação GSS do cliente, será registrada uma mensagem de aviso.
Informações | Valor |
---|---|
Padrão: | Enabled |
![[z/OS]](../images/ngzos.gif)
Mapeando nomes do Kerberos principal para identidades SAF
Especifica se você deve utilizar o módulo de mapeamento integrado para mapear um nome principal do Kerberos para uma identidade SAF no z/OS. Essa opção aplica-se apenas quando o registro do usuário ativo é S.O. Local.
![[z/OS]](../images/ngzos.gif)
![[z/OS]](../images/ngzos.gif)
- Não use perfis do SAF para mapear Kerberos principais para identidades do SAF
- Selecione essa opção se o nome do principal do Kerberos já corresponder a um usuário SAF para que o mapeamento não seja necessário ou se um módulo de login Java Authentication and Authorization Service
(JAAS) estiver configurado para fazer o mapeamento.Nota: Esse botão ficará visível apenas quando o registro de usuário ativo for o sistema operacional local e a plataforma for z/OS.
- Use o segmento KERB de um perfil do usuário SAF
- Selecione esta opção para mapear um principal do Kerberos para um usuário SAF, no qual o principal do Kerberos é especificado no segmento KERB desse usuário SAF. Quando selecionada, a propriedade customizada de segurança, com.ibm.websphere.security.krb.useBuiltInMappingToSAF, é configurada como true.Nota: Esse botão ficará visível apenas quando o registro de usuário ativo for o sistema operacional local e a plataforma for z/OS. Essa opção usa o nome completo do principal e da região do Kerberos para o mapeamento, independentemente de como o campo Cortar Região do Kerberos do Nome Principal está configurado.
- Use os perfis RACMAP no produto SAF para mapeamento de identidade distribuída
- Selecione esta opção para mapear um principal do Kerberos para um usuário SAF, no qual o principal e a região do Kerberos são especificados nos perfis RACMAP do produto SAF. Antes de poder selecionar essa opção, o produto SAF deverá suportar o mapeamento de identidade distribuído. Quando selecionada, a propriedade customizada de segurança, com.ibm.websphere.security.krb.useRACMAPMappingToSAF, é configurada como true.Nota: Esse botão ficará visível somente quando o registro do usuário ativo for Sistema operacional local, a célula não for de versão mista e o produto de segurança do z/OS suportar o mapeamento de identidade SAF (para RACF, isso significa z/OS versão 1.11 ou posterior). Essa opção usa o nome completo do principal e da região do Kerberos para o mapeamento, independentemente de como o campo Cortar Região do Kerberos do Nome Principal está configurado.