Comandos de Autenticação do Kerberos

Utilize comandos wsadmin para criar, modificar ou excluir o Kerberos como o mecanismo de autenticação do WebSphere Application Server.

Criar o Mecanismo de Autenticação Kerberos

Nota:

Os itens a seguir são necessários antes de você tentar utilizar o comando createKrbAuthMechanism para criar o campo de objeto de segurança do mecanismo de autenticação KRB5 no arquivo de configuração de segurança:

  • Se você ainda não tiver um arquivo de configuração Kerberos (krb5.ini ou krb5.conf), utilize a tarefa de comando createkrbConfigFile para criar o arquivo de configuração Kerberos. Leia sobre como criar um arquivo de configuração do Kerberos para obter mais informações.
  • Você deve ter um arquivo keytab Kerberos (krb5.keytab) que contenha um nome do principal de serviço (SPN) do Kerberos, <service name>/<fully qualified hostname>@KerberosRealm, para cada máquina que executa servidores de aplicativos do WebSphere. O nome de serviço pode ser qualquer um; o valor padrão é WAS.

    Por exemplo, se você tiver duas máquinas servidor de aplicativos, host1.austin.ibm.com e host2.austin.ibm.com, o arquivo keytab do Kerberos deverá conter os SPNs <service name>/host1.austin.ibm.com e service name>/host2.austin.ibm.com e suas chaves do Kerberos.

Utilize o comando createKrbAuthMechanism para criar o campo de objeto de segurança do mecanismo de autenticação KRB5 no arquivo de configuração de segurança.

No prompt do wsadmin, digite o seguinte comando:

$AdminTask help createKrbAuthMechanism
Tabela 1. Parâmetros de Comando. É possível usar os parâmetros a seguir com o comando createKrbAuthMechanism.
Opção Descrição
<krb5Realm> Esse parâmetro é opcional. Ele indica o nome da região do Kerberos. Se você não especificar esse parâmetro, a região padrão do Kerberos no arquivo de configuração do Kerberos será utilizada.
<krb5Config> Este parâmetro é requerido. Ele indica o local do diretório e o nome do arquivo de configuração (krb5.ini ou krb5.conf).
<krb5Keytab> Esse parâmetro é opcional. Ele indica o local do diretório e o nome do arquivo keytab do Kerberos. Se você não especificar esse parâmetro, o nome do keytab padrão no arquivo de configuração do Kerberos será utilizado.
<serviceName> Este parâmetro é requerido. Ele indica o nome do serviço Kerberos. O nome do serviço Kerberos padrão é WAS.
<trimUserName> Esse parâmetro é opcional. Ele remove o sufixo do nome de usuário do proprietário, iniciando a partir de “@” que precede o nome da região do Kerberos. Esse parâmetro é opcional. O valor padrão é verdadeiro.
[z/OS]Nota: Você deve configurar este campo como true se estiver usando o registro do Sistema Operacional Local no z/OS e selecionar o botão de opções Usar o Segmento KERB de um perfil do usuário SAF para mapear Kerberos principais para identidades SAF.
<enabledGssCredDelegate> Este parâmetro não é necessário. Utilize para indicar se a credencial de delegação GSS do cliente deve ser extraída e colocada no assunto. O valor padrão é verdadeiro.
<allowKrbAuthForCsiInbound> Esse parâmetro é opcional. Ele ativa o mecanismo de autenticação Kerberos para a entrada CSI (Common Secure Interoperability). O valor padrão é verdadeiro.
<allowKrbAuthForCsiOutbound> Este parâmetro é requerido. Ele ativa o mecanismo de autenticação Kerberos para a saída CSI. O valor padrão é verdadeiro.
Nota: O nome do arquivo de configuração do Kerberos e o caminho do nome do arquivo keytab do Kerberos não precisam ter caminhos absolutos. Você pode utilizar variáveis WebSphere para os caminhos. Se você tiver um ambiente de plataforma misto, poderá usar uma variável ${CONF_OR_INI} para o arquivo de configuração do Kerberos. A configuração de segurança expandirá-la para "ini" para Windows ou "conf" para plataformas não Windows. Por exemplo:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
A seguir há um exemplo do comando createKrbAuthMechanism:
wsadmin>$AdminTask createKrbAuthMechanism { 
		-krb5Realm  WSSEC.AUSTIN.IBM.COM 
		-krb5Config C:\\WINNT\\krb5.ini 
		-krb5Keytab C:\\WINNT\\krb5.keytab 
		-serviceName WAS }

Modificar o Mecanismo de Autenticação Kerberos

Utilize o comando modifyKrbAuthMechanism para fazer alterações no campo de objeto de segurança do mecanismo de autenticação KRB5 no arquivo de configuração de segurança.

No prompt do wsadmin, digite o seguinte comando:

$AdminTask help modifyKrbAuthMechanism
Tabela 2. Parâmetros de Comando. É possível usar os parâmetros a seguir com o comando modifyKrbAuthMechanism.
Opção Descrição
<krb5Realm> Esse parâmetro é opcional. Ele indica o nome da região do Kerberos. Se você não especificar esse parâmetro, a região padrão do Kerberos no arquivo de configuração do Kerberos será utilizada.
<krb5Config> Este parâmetro é requerido. Ele indica o local do diretório e o nome do arquivo de configuração (krb5.ini ou krb5.conf).
<krb5Keytab> Esse parâmetro é opcional. Ele indica o local do diretório e o nome do arquivo keytab do Kerberos. Se você não especificar esse parâmetro, o nome do keytab padrão no arquivo de configuração do Kerberos será utilizado.
<serviceName> Este parâmetro é requerido. Ele indica o nome do serviço Kerberos. O nome do serviço Kerberos padrão é WAS.
<trimUserName> Esse parâmetro é opcional. Ele remove o sufixo do nome de usuário do proprietário, iniciando a partir de “@” que precede o nome da região do Kerberos. Esse parâmetro é opcional. O valor padrão é verdadeiro.
<enabledGssCredDelegate> Este parâmetro não é necessário. Utilize para indicar se a credencial de delegação do Kerberos e GSS do cliente deve ser extraída e colocada no token de autenticação do Kerberos (KRBAuthnToken). O valor padrão é verdadeiro.
Nota: Se esse parâmetro for true e o tempo de execução não puder extrair a credencial de delegação GSS Kerberos, o tempo de execução registrará uma mensagem de aviso.
<allowKrbAuthForCsiInbound> Esse parâmetro é opcional. Ele ativa o mecanismo de autenticação Kerberos para a entrada CSI (Common Secure Interoperability). O valor padrão é verdadeiro.
<allowKrbAuthForCsiOutbound> Esse parâmetro é opcional. Ele ativa o mecanismo de autenticação Kerberos para a saída CSI. O valor padrão é verdadeiro.
Nota: O nome do arquivo de configuração do Kerberos e o caminho do nome do arquivo keytab do Kerberos não precisam ter caminhos absolutos. Você pode utilizar variáveis WebSphere para os caminhos. Se você tiver um ambiente de plataforma misto, poderá usar uma variável ${CONF_OR_INI} para o arquivo de configuração do Kerberos. A configuração de segurança expandirá-la para "ini" para Windows ou "conf" para plataformas não Windows. Por exemplo:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}

A seguir, um exemplo do comando modifyKrbAuthMechanism:

wsadmin>$AdminTask modifyKrbAuthMechanism {
			-krb5Realm  WSSEC.AUSTIN.IBM.COM 
			-krb5Config C:\\WINNT\\krb5.ini 
			-krb5Keytab C:\\WINNT\\krb5.keytab 
			-serviceName WAS }

Excluir o Mecanismo de Autenticação Kerberos

Utilize o comando deleteKrbAuthMechanism para remover o campo de objeto de segurança do mecanismo de autenticação KRB5 no arquivo de configuração de segurança.

No prompt do wsadmin, digite o seguinte comando:

$AdminTask help deleteKrbAuthMechanism

A seguir, um exemplo do comando deleteKrbAuthMechanism:

	wsadmin>$AdminTask deleteKrbAuthMechanism

Configurar o Mecanismo de Autenticação Ativo

Utilize o comando setActiveAuthMechanism para configurar o atributo de mecanismo de autenticação ativo na configuração de segurança.

No prompt do wsadmin, digite o seguinte comando:

$AdminTask help setActiveAuthMechanism
Tabela 3. Parâmetros de Comando. É possível usar o parâmetro a seguir com o comando setActiveAuthMechanism.
Opção Descrição
<authMechanismType> Este parâmetro não é necessário. Ele indica o tipo de mecanismo de autenticação. O padrão é KRB5.

A seguir, um exemplo do comando setActiveAuthMechanism:

wsadmin> $AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_kerb_auth_commands
Nome do arquivo: rsec_kerb_auth_commands.html