Kerberos 认证设置

使用此页面来配置 Kerberos 并验证它是否是应用程序服务器的认证机制。

在输入了必需信息并且应用于配置之后,就会使用服务名称、域名和主机名来创建服务器主体名称,并将服务器主体名称用来自动验证对 Kerberos 服务的认证。

配置了此项时,Kerberos 是主要的认证机制。通过访问应用程序详细信息面板上的资源引用链接,配置对资源的 Enterprise JavaBeans (EJB) 认证。

要查看此管理控制台页面,单击安全性 > 全局安全性。在“认证”下,单击 Kerberos 配置

注: 配置 Kerberos 时,主体服务必须采用以下格式:<service name>/<fully_qualified hostname>@KerberosRealm。如果您未使用此格式,那么可能会发生以下错误:
org.ietf.jgss.GSSException, major code: 11, minor code: 0 major string: General failure,
unspecified at GSSAPI level minor string: Cannot get credential for 
principal service WAS/test@AUSTIN.IBM.COM
在该异常示例中,未指定标准主机名,这就是发生故障的原因。对于此故障,通常是从 /etc/hosts 文件而不是从域名服务器 (DNS) 获得系统的主机名。在 UNIX 或 Linux 系统上,如果 /etc/nsswitch.conf 文件中的“hosts:”行已配置为先使用主机文件,然后使用 DNS,那么当主机文件包含不是标准主机名的系统的条目时,Kerberos 配置将失败。

Kerberos 领域名

指定 Kerberos 领域的名称。大多数情况下,您的领域是用大写字母表示的域名。例如,如果一台机器具有域名 test.austin.ibm.com,那么它的 Kerberos 域名通常为 AUSTIN.IBM.COM

有两个使用域名的组件。Java™ 类属安全性服务 (JGSS) 的 IBM® 实现从 krb5.conf 文件获取域名。WebSphere® Application Server 也会维护一个域名,此域名通常与 JGSS 使用的域名相同。如果您让 Kerberos 域名字段保持空白,那么 WebSphere Application Server 从 JGSS 继承域名。

您可能希望 WebSphere Application Server 使用其他域名,并且可以使用 Kerberos 域名字段进行更改。 然而,一定要知道,如果您在管理控制台中更改域名,那么只会更改 WebSphere Application Server 域名。

信息
数据类型: 字符串

Kerberos 服务名称

按照惯例,Kerberos 服务主体分为三部分:主体、实例和 Kerberos 领域名。Kerberos 服务主体名称的格式为 service/<fully qualified hostname>@KERBEROS_REALM.service_name。Kerberos 服务主体名称的第一部分是服务名称。例如,在 WAS/test.austin.ibm.com@AUSTIN.IBM.COM 中,服务名称是 WAS

信息
数据类型: 字符串

具有完整路径的 Kerberos 配置文件

Kerberos 配置文件 krb5.conf 或 krb5.ini 包含客户机配置信息,其中包括感兴趣领域的密钥分发中心 (KDC) 的位置。除 Windows 之外的所有其他平台将使用 krb5.conf 文件,而 Windows 平台将使用 krb5.ini 文件。

信息
数据类型: 字符串

具有完整路径的 Kerberos 密钥表文件名

指定 Kerberos 密钥表文件名及其完整路径。可以单击浏览以查找此文件。如果此字段为空,那么将使用在 Kerberos 配置文件中指定的密钥表文件名。

信息
数据类型: 字符串

从主体名称中删除 kerberos 领域

指定 Kerberos 是否要从 Kerberos 域名前面的 @ 开始移除主体用户名的后缀。如果此属性设置为 true,那么将移除主体用户名的后缀。如果此属性设置为 false,那么将保留主体名称的后缀。使用的缺省值为 true

信息
缺省值: 已启用

启用 Kerberos 凭证的授权

指定 Kerberos 已授权的凭证是否将由 Kerberos 认证存储在主体集中。

此选项还允许应用程序检索已存储的凭证并将他们传播至其他应用程序下游,以使用 Kerberos 客户机中的凭证进行其他 Kerberos 认证。

如果此参数为 boolean: no,而运行时无法抽取客户机 GSS 授权凭证,那么将记录一条警告消息。

信息
缺省值: 已启用
[z/OS]

将 Kerberos 主体名称映射至 SAF 标识

指定在 z/OS® 上是否使用内置映射模块将 kerberos 主体名称映射至 SAF 标识。仅当活动用户注册表是“本地操作系统”时才会应用此选项。

注: 还需要进行其他设置。请阅读[z/OS]在 z/OS 上将 Kerberos 主体映射至系统授权工具 (SAF) 标识以获取更多信息。
注: 使用 SAF 用户概要文件的 KERB 段选项将使用完整的 Kerberos 主体名称和 Kerberos 领域进行映射,而不考虑从主体名称中移除 Kerberos 领域字段的设置。
选择下列其中一个单选按钮:
注: 缺省值是不使用用于将 Kerberos 主体映射至 SAF 标识的 SAF 概要文件
[z/OS]
不使用用于将 Kerberos 主体映射至 SAF 标识的 SAF 概要文件
如果 Kerberos 主体名称已与某个 SAF 用户匹配,以致不需要进行映射,或者 Java 认证和授权服务 (JAAS) 登录模块已配置为执行该映射,请选择此选项。
注: 仅当活动用户注册表是“本地操作系统”且平台是 z/OS 时,此按钮才可视。
使用 SAF 用户概要文件的 KERB 段
如果在 SAF 用户的 KERB 段中指定了 Kerberos 主体,请选择此选项以将 Kerberos 主体映射至该 SAF 用户。选中此项时,安全性定制属性 com.ibm.websphere.security.krb.useBuiltInMappingToSAF 将设置为 true
注: 仅当活动用户注册表是“本地操作系统”且平台是 z/OS 时,此按钮才可视。此选项将使用完整的 Kerberos 主体名称和 Kerberos 领域进行映射,而不考虑“从主体名称中移除 Kerberos 领域”字段的设置。
使用 SAF 产品中的 RACMAP 概要文件进行分布式标识映射
如果在 SAF 产品的 RACMAP 概要文件中指定了 Kerberos 主体和 Kerberos 领域,请选择此选项以将 Kerberos 主体映射至 SAF 用户。SAF 产品必须支持分布式标识映射,您才能选择此选项。选中此项时,安全性定制属性 com.ibm.websphere.security.krb.useRACMAPMappingToSAF 将设置为 true
注: 仅当活动用户注册表是“本地操作系统”、单元不是混合版本并且 z/OS 安全性产品支持 SAF 身份映射(对于 RACF®,这意味着 z/OS V1.11 或更高版本)时,此按钮才可视。此选项将使用完整的 Kerberos 主体名称和 Kerberos 领域进行映射,而不考虑“从主体名称中移除 Kerberos 领域”字段的设置。

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_kerb_auth_mech
文件名:usec_kerb_auth_mech.html