Configurações de Autenticação do Kerberos

Utilize essa página para configurar e verificar o Kerberos como o mecanismo de autenticação para o servidor de aplicativos.

Depois que você tiver digitado e aplicado as informações necessárias para a configuração, o nome do proprietário do servidor será criado a partir do nome do serviço, nome da região e nome do host, além de ser utilizado para verificar automaticamente a autenticação para o serviço Kerberos.

Quando configurado, o Kerberos é o mecanismo de autenticação primário. Configure a autenticação EJB (Enterprise JavaBeans) para recursos, acessando os links de referências de recursos no painel de detalhes do aplicativo.

Para visualizar esta página do console administrativo, clique em Segurança > Segurança Global. Em Autenticação, clique em Configuração do Kerberos.

Nota: Ao configurar Kerberos, o serviço do proprietário deverá estar no formato: <nome_do_serviço>/<nome_completo_do_host>@KerberosRealm. Se você não usar esse formato, poderá obter o seguinte erro:
org.ietf.jgss.GSSException,
código principal: 11, código secundário: 0 cadeia principal: Falha geral,
não especificada na cadeia de nível inferior GSSAPI: Não é possível obter
credencial para 
serviço do proprietário WAS/test@AUSTIN.IBM.COM
No exemplo de exceção, o nome completo do host não está especificado, o que é a razão da falha. Para essa falha, o nome do host do sistema geralmente é obtido do arquivo /etc/hosts ao invés de a partir do Domain Name Server (DNS). Nos sistemas UNIX ou Linux, se a linha "hosts": no arquivo /etc/nsswitch.conf estiver configurada para usar o arquivo de hosts antes do DNS, a configuração do Kerberos falhará se o arquivo de hosts contiver uma entrada para o sistema que não seja o nome completo do host.

Nome da Região do Kerberos

Especifica o nome de sua região do Kerberos. Na maioria dos casos, a região é o nome do domínio em letras maiúsculas. Por exemplo, uma máquina com o nome de domínio de test.austin.ibm.com possui um nome de região do Kerberos de AUSTIN.IBM.COM.

Existem dois componentes que utilizam nome da região. A implementação da IBM® do componente Java™ Generic Security Service (JGSS) obtém o nome da região do arquivo krb5.conf. O WebSphere Application Server também mantém um nome de região, que geralmente é igual ao que o JGSS usa. Se você deixar o campo de nome da região do Kerberos em branco, o WebSphere Application Server herdará o nome da região do JGSS.

É possível desejar que o WebSphere Application Server use um nome de região diferente, e pode usar o campo Nome da Região do Kerberos para alterá-lo. No entanto, saiba que se você alterar o nome da região no console administrativo, somente o nome da região do WebSphere Application Server será alterado.

Informações Valor
Tipo de Dados: String

Nome do Serviço Kerberos

Por convenção, um proprietário do serviço Kerberos é dividido em três partes: o nome principal, o da instância e o da região do Kerberos. O formato do nome do principal do serviço Kerberos é service/<nome do host completo>@KERBEROS_REALM.service_name. O nome do serviço é a primeira parte do nome principal do serviço Kerberos. Por exemplo, em WAS/test.austin.ibm.com@AUSTIN.IBM.COM, o nome de serviço é WAS.

Informações Valor
Tipo de Dados: String

Arquivo de Configuração do Kerberos com Caminho Completo

O arquivo de configuração do Kerberos, krb5.conf ou krb5.ini, contém informações de configuração do cliente, incluindo os locais dos KDCs (Key Distribution Centers) para a região de interesse. O arquivo krb5.conf é utilizado para todas as plataformas, exceto o sistema operacional Windows, que utiliza o arquivo krb5.ini.

Informações Valor
Tipo de Dados: String

Nome do Arquivo keytab do Kerberos com Caminho Completo

Especifica o nome do arquivo keytab do Kerberos com seu caminho completo. É possível clicar em Procurar para localizá-lo. Se este campo estiver vazio, o nome do arquivo keytab especificado no arquivo de configuração Kerberos será usado.

Informações Valor
Tipo de Dados: String

Remover Região do Kerberos do Nome do Proprietário

Especifica se o Kerberos removerá o sufixo do nome de usuário do proprietário, iniciando a partir do @ que precede o nome da região do Kerberos. Se esse atributo for configurado como true, o sufixo do nome do usuário do proprietário será removido. Se esse atributo estiver configurado como false, o sufixo do nome do proprietário será retido. O valor padrão utilizado é true.

Informações Valor
Padrão: Enabled

Ativar Delegação de Credenciais Kerberos

Especifica se as credenciais delegadas pelo Kerberos serão armazenadas no assunto pela autenticação Kerberos.

Essa opção também permite que um aplicativo recupere as credenciais armazenadas e as propague para outro recebimento de dados de aplicativo, para a autenticação adicional do Kerberos com a credencial do cliente Kerberos.

Se esse parâmetro for boolean: no, e o tempo de execução não puder extrair uma credencial de delegação GSS do cliente, será registrada uma mensagem de aviso.

Informações Valor
Padrão: Enabled
[z/OS]

Mapeando nomes do Kerberos principal para identidades SAF

Especifica se você deve utilizar o módulo de mapeamento integrado para mapear um nome principal do Kerberos para uma identidade SAF no z/OS. Essa opção aplica-se apenas quando o registro do usuário ativo é S.O. Local.

Nota: É necessária alguma configuração adicional. Leia [z/OS]Mapeando um Kerberos principal para uma identidade de System Authorization Facility (SAF) em z/OS para obter informações adicionais.
Nota: A opção Usar o Segmento KERB de um Perfil de Usuário do SAF usa o nome principal completo e a região do Kerberos para o mapeamento, independentemente de como o campo Cortar Região do Kerberos do Nome Principal está configurado.
Escolha um dos seguintes botões de opções:
Nota: O padrão é Não Usar Perfis SAF para Mapear Principais do Kerberos para Identidades SAF.
[z/OS]
Não use perfis do SAF para mapear Kerberos principais para identidades do SAF
Selecione essa opção se o nome do principal do Kerberos já corresponder a um usuário SAF para que o mapeamento não seja necessário ou se um módulo de login Java Authentication and Authorization Service (JAAS) estiver configurado para fazer o mapeamento.
Nota: Esse botão ficará visível apenas quando o registro de usuário ativo for o sistema operacional local e a plataforma for z/OS.
Use o segmento KERB de um perfil do usuário SAF
Selecione esta opção para mapear um principal do Kerberos para um usuário SAF, no qual o principal do Kerberos é especificado no segmento KERB desse usuário SAF. Quando selecionada, a propriedade customizada de segurança, com.ibm.websphere.security.krb.useBuiltInMappingToSAF, é configurada como true.
Nota: Esse botão ficará visível apenas quando o registro de usuário ativo for o sistema operacional local e a plataforma for z/OS. Essa opção usa o nome completo do principal e da região do Kerberos para o mapeamento, independentemente de como o campo Cortar Região do Kerberos do Nome Principal está configurado.
Use os perfis RACMAP no produto SAF para mapeamento de identidade distribuída
Selecione esta opção para mapear um principal do Kerberos para um usuário SAF, no qual o principal e a região do Kerberos são especificados nos perfis RACMAP do produto SAF. Antes de poder selecionar essa opção, o produto SAF deverá suportar o mapeamento de identidade distribuído. Quando selecionada, a propriedade customizada de segurança, com.ibm.websphere.security.krb.useRACMAPMappingToSAF, é configurada como true.
Nota: Esse botão ficará visível somente quando o registro do usuário ativo for Sistema operacional local, a célula não for de versão mista e o produto de segurança do z/OS suportar o mapeamento de identidade SAF (para RACF, isso significa z/OS versão 1.11 ou posterior). Essa opção usa o nome completo do principal e da região do Kerberos para o mapeamento, independentemente de como o campo Cortar Região do Kerberos do Nome Principal está configurado.

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_kerb_auth_mech
Nome do arquivo: usec_kerb_auth_mech.html