在单个域和跨 Kerberos 域环境中用于认证的 Web Service 安全性 Kerberos 令牌

要确保 Web Service 消息的安全,您可以使用 Kerberos 令牌作为认证令牌或消息保护令牌。关于 Kerberos 认证,支持单个 Kerberos 域环境,还支持跨 Kerberos 域环境或可信的 Kerberos 域环境。

单个域环境

在单个 Kerberos 域环境中,客户机应用程序和服务提供程序均使用同一 Kerberos 域。客户机应用程序将获得基于服务提供程序使用的 Kerberos 域的 Kerberos 令牌。为了配置该令牌,客户机应用程序将对客户机策略令牌生成器绑定中的服务提供程序的 Kerberos 服务主体 名称 (SPN) 进行定义。本节的随后内容显示了 SPN 格式,其中 Kerberos_Realm_Name 是可选项。
ServiceName/HostName@Kerberos_Realm_Name
对于 WebSphere® Application Server 中的单元级配置,所有服务提供程序将使用同一 Kerberos 域。

如果服务提供程序使用来自下游 Web Service 请求的客户机的 Kerberos 标识,那么可信的 Kerberos 凭单必须存在于指定 Kerberos 配置文件的 Kerberos 令牌中。用于 Kerberos 的系统 JAAS 登录模块将添加到提供有 Web Service 安全性的调用者中。有关使用调用者凭证的 Kerberos 令牌的更多信息,请阅读以下主题的相关信息:“更新带有 Kerberos 登录模块的系统 Java™ 认证和认证服务 (JAAS) 登录”和“创建 Kerberos 配置文件”。

跨域环境或可信的域环境

下列配置过程必须完全符合可信的域环境:
  • Kerberos 可信域的设置必须完全符合所有已配置的 Kerberos KDCs。有关如何设置 Kerberos 可信域的更多信息,请参阅“Kerberos 管理员和用户指南”。
  • Kerberos 配置文件(Windows 中的 krb5.ini,以及 Unix 和 z/OS® 平台的 krb5.conf)必须列出可信域。有关更多信息,请参阅“Kerberos 管理员和用户指南”。
  • 客户机应用程序令牌生成器绑定必须以来自服务提供程序的 Kerberos SPN 信息进行配置。有关更多信息,请参阅 Kerberos 消息保护的绑定。
在跨 Kerberos 域环境或可信的 Kerberos 域环境中,客户机应用程序和服务提供程序均使用已建立彼此信任的不同的 Kerberos 域。客户机应用程序将获得基于服务提供程序使用的 Kerberos 域的 Kerberos 令牌。要配置该令牌,客户机应用程序将对客户机策略令牌生成器绑定中的服务提供程序的 Kerberos SPN 进行定义。本节的随后内容显示了 SPN 格式,其中 Kerberos_Realm_Name 是必需项。
ServiceName/HostName@Kerberos_Realm_Name
客户机应用程序必须对客户机策略令牌生成器绑定的回调处理程序中客户机的 Kerberos 域名进行指定。在单元级,所有服务提供程序均使用同一 Kerberos 域。然而,客户机应用程序仍然定义它们自己的 Kerberos 域。仅支持对等和可传递的可信跨领域认证。

下图举例说明了 Kerberos 密钥分发中心 (KDC) 中定义的可信域之间的关系:

Kerberos 可信域的配置

如果服务提供程序使用来自下游 Web Service 请求的客户机的 Kerberos 标识,那么可信的 Kerberos 凭单必须存在于 Kerberos 配置文件所配置的 Kerberos 令牌中。用于 Kerberos 的系统 JAAS 登录模块将添加到提供有 Web Service 安全性的调用者中。有关使用调用者凭证的 Kerberos 令牌的更多信息,请阅读以下主题的相关信息:“更新带有 Kerberos 登录模块的系统 JAAS登录”和“创建 Kerberos 配置文件”。


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_kerberoscrossrealm
文件名:cwbs_kerberoscrossrealm.html