Token do Kerberos do Web Services Security para Autenticação em um Ambiente Único ou Cruzado da Região do Kerberos

Para proteger mensagens de serviços da Web, é possível usar um token do Kerberos como um token de autenticação ou um token de proteção de mensagens. Para autenticação Kerberos, ambos os ambientes únicos da região do Kerberos, o cruzado ou o confiável, são suportados.

Ambiente Único da Região

Em um ambiente da região do Kerberos único, tanto o aplicativo cliente quanto o provedor de serviços usam a mesma região do Kerberos. O aplicativo cliente obtém um token Kerberos baseado na região do Kerberos usada pelo provedor de serviços. Para configurar o token, o aplicativo cliente define o service principal name (SPN) do Kerberos para o provedor de serviços nas ligações do gerador de token da política do cliente. O formato do SPN é mostrado posteriormente nesta seção, onde Kerberos_Realm_Name é opcional.
ServiceName/HostName@Kerberos_Realm_Name
Para configuração no nível de célula no WebSphere Application Server, todos os provedores de serviços usam a mesma região do Kerberos.

Se o provedor de serviços usar a identidade do Kerberos do cliente para solicitações de serviços da Web de recebimento de dados, um chamado delegado do Kerberos deverá existir no token do Kerberos que está especificado no arquivo de configuração do Kerberos. O módulo de login do JAAS do sistema para Kerberos está incluído no responsável pela chamada do Web Services Security fornecido. Para obter informações adicionais sobre o uso do token Kerberos para credenciais do responsável pela chamada, leia sobre a atualização do login Java™ Authentication and Authorization Service (JAAS) do sistema com o módulo de login do Kerberos, e criando um arquivo de configuração do Kerberos.

Ambiente de Região Cruzada ou Ambiente de Região Confiável

Os seguintes procedimentos de configuração devem ser concluídos para o ambiente de região confiável:
  • A configuração da região confiável do Kerberos deve ser concluída para todos os KDCs do Kerberos configurados. Consulte o Kerberos Administrator and User's Guide para obter informações adicionais sobre como configurar uma região confiável do Kerberos.
  • O arquivo de configuração do Kerberos (krb5.ini no Windows, e krb5.conf para Unix e plataformas z/OS) deve listar as regiões confiáveis. Consulte o Guia do Usuário e Administrador do Kerberos para obter informações adicionais.
  • As ligações do gerador de token do aplicativo cliente devem ser configuradas com as informações de SPN do Kerberos a partir do provedor de serviços. Para obter mais informações, consulte Configurando as ligações para proteção de mensagem para Kerberos.
Em um ambiente da região do Kerberos cruzado, o aplicativo cliente e o provedor de serviços usam regiões do Kerberos diferentes que estabeleceram confiança uma na outra. O cliente aplicativo obtém um token Kerberos baseado na região do Kerberos usada pelo provedor de serviços. Para configurar o token, o aplicativo cliente define o SPN do Kerberos para o provedor de serviços nas ligações do gerador de token da política do cliente. O formato do SPN é mostrado posteriormente nesta seção, onde Kerberos_Realm_Name é obrigatório.
ServiceName/HostName@Kerberos_Realm_Name
O aplicativo cliente deve especificar o nome da região do Kerberos para o cliente em uma parte do manipulador de retorno de chamada das ligações do gerador de token da política do cliente. No nível de célula, todos os provedores de serviço usam a mesma região do Kerberos. Porém, os aplicativos clientes ainda podem definir suas próprias regiões do Kerberos. Somente autenticação ponto a ponto e transitiva entre regiões confiáveis são suportadas.

A figura a seguir ilustra o relacionamento entre regiões confiáveis como definidas no Kerberos Key Distribution Center (KDC):

Configuração de região confiável do Kerberos

Se o provedor de serviços usar a identidade do Kerberos do cliente para solicitações de serviços da Web de recebimento de dados, um chamado delegado do Kerberos deverá existir no token do Kerberos que está configurado no arquivo de configuração do Kerberos. O módulo de login do JAAS do sistema para Kerberos está incluído no responsável pela chamada do Web Services Security fornecido. Para obter informações adicionais sobre o uso do token Kerberos para credenciais do responsável pela chamada, leia sobre a atualização do login do JAAS do sistema com o módulo de login do Kerberos, e criando um arquivo de configuração do Kerberos.


Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_kerberoscrossrealm
Nome do arquivo: cwbs_kerberoscrossrealm.html