必须在 Microsoft 域控制器上创建 Kerberos 服务主体名称 (SPN)
和密钥表文件,以支持对 WebSphere® Application Server 使用简单且受保护的 GSS-API 协商机制 (SPNEGO) Web 认证的 HTTP 请求。
开始之前
配置正在运行 Active Directory 域控制器及关联 Kerberos 密钥分发中心 (KDC) 的 Microsoft Windows Server。
过程
- 在 Microsoft Active Directory 中为 WebSphere® Application Server 创建用户帐户。 此帐户最终映射至 Kerberos 服务主体名称 (SPN)。
- 在 Kerberos 密钥分发中心 (KDC) 处于活动状态的 Microsoft Active Directory 机器上,将用户帐户映射至 Kerberos 服务主体名称 (SPN)。 此用户帐户将 WebSphere Application Server 表示为使用 KDC 的 Kerberos 服务。使用 Microsoft setspn 命令将 Kerberos 服务主体名称映射至 Microsoft 用户帐户。
- 创建 Kerberos 密钥表文件并使其可供 WebSphere Application Server
使用。
使用 Microsoft ktpass 工具来创建 Kerberos 密钥表文件 (krb5.keytab)。
要向
WebSphere Application Server 提供密钥表文件,请将 krb5.keytab 文件从域控制器(LDAP 机器)复制到
WebSphere Application Server。请阅读创建 Kerberos 服务主体名称和密钥表文件以了解更多信息。
结果
该产品可使用包含 Kerberos 服务主体密钥的 Kerberos 密钥表文件,以在 Microsoft Active Directory
和 Kerberos 帐户中认证该用户。