Comandos de Configuração de Autenticação da Web SPNEGO

Utilize comandos wsadmin para configurar, desconfigurar, validar ou exibir o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) na configuração de segurança.

Configurar a Autenticação da Web SPNEGO

Nota: Você deve primeiramente ter um arquivo de configuração Kerberos funcional e um arquivo keytab Kerberos. Para obter mais informações, leia tópicos sobre como criar um arquivo de configuração Kerberos e como criar um nome do principal do serviço Kerberos e o arquivo keytab.

Use o comando configureSpnego para configurar o SPNEGO como um autenticador da Web na configuração de segurança.

No prompt do wsadmin, insira o comando a seguir para obter ajuda:

Wsadmin>$AdminTask help configureSpnego

Tabela 1. Parâmetros de Comando. É possível utilizar os seguintes parâmetros com o comando configureSpnego:
Opção Description
<enabled> Esse parâmetro é opcional. Ele ativa a autenticação da Web SPNEGO.
<dynamicReload> Esse parâmetro é opcional. Ele ativa o recarregamento dinâmico dos filtros de autenticação da Web SPNEGO.
<allowAppAuthMethodFallback> Esse parâmetro é opcional. Ele permite alternar para o mecanismo de autenticação do aplicativo.
<krb5Config> Esse parâmetro é requerido. Ele fornece o local do diretório e o nome do arquivo de configuração (krb5.ini ou krb5.conf).
<krb5Keytab> Esse parâmetro é opcional. Ele fornece o local do diretório e o nome do arquivo keytab Kerberos. Se você não especificar esse parâmetro, o nome do keytab padrão no arquivo de configuração do Kerberos será utilizado.
Nota: As variáveis do WebSphere podem ser usadas para especificar os caminhos de arquivo krb5Config e krb5Keytab. Se você tiver um ambiente de plataforma misto, poderá usar uma variável ${CONF_OR_INI} para o arquivo de configuração do Kerberos. A configuração de segurança expandirá-la para "ini" para Windows ou "conf" para plataformas não-Windows. Por exemplo:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Nota: Os comandos configureSpnego e validateSpnegoConfig verificam os arquivos krb5Config e krb5Keytab apenas quando SPNEGO estiver ativado. Se SPNEGO não estiver ativado, esses comandos verificarão apenas que os arquivos krb5Config e krb5Keytab existem. Isso permite configurar o SPNEGO sem ativação.

Desconfigurar a Autenticação da Web SPNEGO

Use o comando unconfigureSpnego para desconfigurar a autenticação da Web SPNEGO na configuração de segurança.

No prompt do wsadmin, insira o comando a seguir para obter ajuda:

wsadmin>$AdminTask help unconfigureSpnego

Mostrar Autenticação da Web do SPNEGO

Use o comando showSPNEGO para exibir a autenticação da Web SPNEGO na configuração de segurança.

No prompt do wsadmin, insira o comando a seguir para obter ajuda:

wsadmin>$AdminTask help showSpnego

Validar Configuração do Kerberos

Use o comando validateKrbConfig para validar os dados de configuração do Kerberos no arquivo de segurança global security.xml ou especificado como um parâmetro de entrada.

No prompt do wsadmin, insira o comando a seguir para obter ajuda:

wsadmin>$AdminTask help validateKrbConfig

É possível utilizar os parâmetros a seguir com o comando validateKrbConfig:
Tabela 2. Parâmetros de Comando.

Esta tabela descreve os parâmetros para o comando validateKrbConfig.

Opção Description
<checkConfigOnly> Verifica a configuração do Kerberos sem validar. É necessário utilizar a segurança global para essa verificação.
<useGlobalSecurityConfig> Utiliza os dados de configuração da Segurança Global, security.xml, em vez de parâmetros de entrada.
<validateKrbRealm> Valida a região do Kerberos em relação à região do Kerberos padrão no arquivo de configuração do Kerberos (krb5.ini ou krb5.conf).
<serverId> Especifica a identidade do servidor utilizada para comunicações de processo interno.
<serverIdPassword> Especifica a senha utilizada para a identidade do servidor.
<krb5Spn> Especifica o nome do proprietário do serviço Kerberos no arquivo de keytab do Kerberos.
<krb5Config > Esse parâmetro é requerido. Ele fornece o local do diretório e o nome do arquivo de configuração (krb5.ini ou krb5.conf).
<krb5Keytab> Esse parâmetro é opcional. Ele fornece o local do diretório e o nome do arquivo keytab Kerberos. Se você não especificar esse parâmetro, o nome do keytab padrão no arquivo de configuração do Kerberos será utilizado.
<krb5Realm > Esse parâmetro é requerido. Ele especifica o valor do nome da região do Kerberos.
Nota: As variáveis do WebSphere podem ser usadas para especificar os caminhos de arquivo krb5Config e krb5Keytab. Se você tiver um ambiente de plataforma misto, poderá usar uma variável ${CONF_OR_INI} para o arquivo de configuração do Kerberos. A configuração de segurança a expandirá para ini para Windows ou conf para plataformas não Windows. Exemplo:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
Nota: Para validar a configuração do Kerberos no arquivo de configuração de segurança global security.xml, execute validateKrbConfig sem nenhum parâmetro ou com useGlobalSecurityConfig configurado para true. Para validar a configuração do Kerberos com parâmetros de entrada, configure useGlobalSecurityConfig e checkConfigOnly para false e especifique valores para krb5Spn, krb5Config, krb5Keytab e krb5Realm.

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_auth_commands
Nome do arquivo: rsec_SPNEGO_auth_commands.html