Configurando um Cliente Java para Autenticação do Kerberos

Um cliente Java™ pode autenticar-se no WebSphere Application Server com um nome do principal e senha do Kerberos ou com o cache de credenciais do Kerberos (krb5Ccache).

Procedimento

  1. Crie um arquivo de configuração do Kerberos (krb5.ini ou krb5.conf). Leia sobre Criando um Arquivo de Configuração do Kerberos para obter informações adicionais.
  2. Coloque os arquivos krb5.ini ou krb5.conf que você criou em um local padrão. Se nenhum dos arquivos estiver no local padrão, você deverá configurar com.ibm.COBRA.krb5ConfigFile no arquivo sas.client.props com o caminho correto e o nome do arquivo de configuração do Kerberos.

    [Windows]O local padrão é c:\winnt\krb5.ini.

    [Linux]O local padrão é /etc/krb5.conf.

    [AIX][HP-UX][Solaris][z/OS]O local padrão é /etc/krb5/krb5.conf.

    [IBM i]O local padrão é /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf

  3. No arquivo sas.client.props, configure a propriedade com.ibm.CORBA.authenticationTarget para KRB5. Leia sobre configuração de segurança com scripts para obter mais informações.
  4. Também no, sas.client.props file, configure a propriedade com.ibm.CORBA.loginSource com um dos valores suportados mostrados aqui:
    Quando authenticationTarget é BasicAuth, os loginSource suportados são:
    • prompt [padrão]
    • properties
    • stdin
    • nenhum
    Quando authenticationTarget é KRB5, os loginSource suportados são:
    • prompt [padrão]
    • properties
    • stdin
    • nenhum
    • krb5Ccache
    • krb5Ccache:prompt
    • krb5Ccache:properties
    • krb5Ccache:stdin
    Considere também o seguinte:
    krb5Ccache:prompt
    Use krb5Ccache para autenticar-se primeiro com o WebSphere Application Server. Se falhar, ele alternará para o prompt.
    krb5Ccache:properties
    Use krb5Ccache para autenticar-se primeiro com o WebSphere Application Server. Se falhar, ele alternará para as propriedades.
    krb5Ccache:stdin
    Use krb5Ccache para autenticar-se primeiro com o WebSphere Application Server. Se falhar, ele alternará para stdin.
  5. Se authenticationTarget for KRB5, o aplicativo cliente Java deverá ter o arquivo wsjaas_client.conf. Se não utilizar o comando launchClient, você deverá configurar a opção java da seguinte forma:
    -Djava.security.auth.login.config=wsjaas_client.config
  6. Se o authenticationTarget for KRB5 e loginSource for o cache de credenciais do Kerberos, execute o seguinte procedimento:
    1. No arquivo wsjaas_client.conf, atualize a entrada WSKRB5Login:
      WSKRB5Login{
          com.ibm.ws.security.auth.kerberos.Krb5LoginModuleWrapperClient required
          credsType=INITIATOR useFirstPass=false 
      forwardable=false renewable=false noAddress=false;
      };
    2. Se o cache de credenciais do Kerberos não estiver no local padrão, configure a propriedade com.ibm.CORBA.krb5CcacheFile como uma URL: Exemplo:
      com.ibm.CORBA.krb5CcacheFile=FILE:/home/smith/krb5cc_smith
      O local padrão do arquivo de cache de credenciais Kerberos depende de qual sistema operacional você utiliza. O cache de credenciais do usuário está localizado na seguinte ordem:

      O arquivo referido pela propriedade Java KRB5CCNAME
      <user.home>/krb5cc_<user.name>
      <user.home>/krb5cc (se <user.name> não puder ser obtido)

      Nota: Quando o cache de credenciais Kerberos é utilizado para autenticação, o ticket de delegação Kerberos cliente não é renovável.
  7. Opcional: Se ocorrer um erro, certifique-se de que todos os relógios da máquinas WebSphere Application Server estejam sincronizados com as máquinas do KDC. Valide um nome de proprietário e senha do Kerberos utilizando o comando kinit. É recomendado que você use o comando kinit que é fornecido com o Java SE Development Kit (JDK) 8.
    Digite o seguinte para receber a ajuda para este comando:
    kinit -help
    Um exemplo do comando kinit é mostrado a seguir. Nesse exemplo, um TGT (Ticket-Granting Ticket) Kerberos pode ser obtido para duke, e o cache de credenciais Kerberos é armazenado no local padrão, c:\Documents and Settings\duke\krb5cc_duke:
    kinit duke@JAVA.SUN.COM
    Nota: Este uso de comando pode não funcionar em todas as versões de KDCs.
    [z/OS]
    Nota: O nome do proprietário e a senha do Kerberos fazem distinção entre maiúsculas e minúsculas. No caso de você estar utilizando um KDC no z/OS, será necessário digitar o nome do proprietário do Kerberos exatamente como ele aparece no segmento KERB do ID do usuário RACF. A menos que você tenha senhas compostas por letras maiúsculas e minúsculas ativadas para o RACF, deverá digitar a senha com todas as letras em maiúsculo para o comando kinit.

Resultados

Você configurou um cliente Java para autenticação Kerberos.

É possível concluir sua configuração do Kerberos no lado do servidor utilizando o console administrativo ou utilizando os comandos wsadmin. Leia sobre Configurando Kerberos como o Mecanismo de Autenticação Utilizando o Console Administrativo ou comandos de autenticação do Kerberos respectivamente para obter mais informações.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_auth_client
Nome do arquivo: tsec_kerb_auth_client.html