Kerberos 认证命令
使用 wsadmin 命令创建、修改或删除作为 WebSphere® Application Server 认证机制的 Kerberos。
创建 Kerberos 认证机制
注:
尝试使用 createKrbAuthMechanism 命令在安全性配置文件中创建 KRB5 认证机制安全性对象字段之前,需要以下项:
- 如果您还没有 Kerberos 配置文件(krb5.ini 或 krb5.conf),请使用 createkrbConfigFile 命令任务来创建 Kerberos 配置文件。有关更多信息,请参阅有关创建 Kerberos 配置文件的内容。
- 对于每台运行 WebSphere 应用程序服务器的机器,都必须要有一个包含以下 Kerberos 服务主体名称 (SPN) 的
Kerberos 密钥表文件 (krb5.keytab):<service name>/<fully qualified hostname>@KerberosRealm。服务名称可以是任何内容;缺省值为 WAS。
例如,如果您有两台应用程序服务器机器 host1.austin.ibm.com 和 host2.austin.ibm.com,那么 Kerberos 密钥表文件必须包含 <service name>/host1.austin.ibm.com 和 service name>/host2.austin.ibm.com 这两个 SPN 及其 Kerberos 密钥。
使用 createKrbAuthMechanism 命令在安全性配置文件中创建 KRB5 认证机制安全性对象字段。
在 wsadmin 提示符下,输入以下命令:
$AdminTask help createKrbAuthMechanism
选项 | 描述 |
---|---|
<krb5Realm> | 此参数是可选的。它表示 Kerberos 领域名。如果未指定此参数,将使用 Kerberos 配置文件中的缺省 Kerberos 领域。 |
<krb5Config> | 此参数是必需的。它表示配置(krb5.ini 或 krb5.conf)文件的目录位置和文件名。 |
<krb5Keytab> | 此参数是可选的。它表示 Kerberos 密钥表文件的目录位置和文件名。如果未指定此参数,那么将使用 Kerberos 配置文件中的缺省密钥表。 |
<serviceName> | 此参数是必需的。它表示 Kerberos 服务名称。缺省 Kerberos 服务名称是 WAS。 |
<trimUserName> | 此参数是可选的。它将从 Kerberos 领域名前面的“@”开始移除主体用户名的后缀。此参数是可选的。缺省值为 true。![]() |
<enabledGssCredDelegate> | 此参数不是必需的。它用于表示是否抽取客户机 GSS 委派凭证并将其置于主体集中。缺省值为 true。 |
<allowKrbAuthForCsiInbound> | 此参数是可选的。它为入站公共安全互操作性 (CSI) 启用 Kerberos 认证机制。缺省值为 true。 |
<allowKrbAuthForCsiOutbound> | 此参数是必需的。它为出站 CSI 启用 Kerberos 认证机制。缺省值为 true。 |
注: Kerberos 配置文件名和 Kerberos 密钥表文件名路径不必为绝对路径。而是,您可以使用 WebSphere
变量来表示路径。如果具有混合平台环境,那么可以对 Kerberos 配置文件使用变量 ${CONF_OR_INI}。安全性配置会将其扩展名定义为“ini”(对于 Windows)或“conf”(对于非 Windows 平台)。例如:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
以下是
createKrbAuthMechanism 命令的示例:
wsadmin>$AdminTask createKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
修改 Kerberos 认证机制
使用 modifyKrbAuthMechanism 命令在安全性配置文件中更改 KRB5 认证机制安全性对象字段。
在 wsadmin 提示符下,输入以下命令:
$AdminTask help modifyKrbAuthMechanism
选项 | 描述 |
---|---|
<krb5Realm> | 此参数是可选的。它表示 Kerberos 领域名。如果未指定此参数,将使用 Kerberos 配置文件中的缺省 Kerberos 领域。 |
<krb5Config> | 此参数是必需的。它表示配置(krb5.ini 或 krb5.conf)文件的目录位置和文件名。 |
<krb5Keytab> | 此参数是可选的。它表示 Kerberos 密钥表文件的目录位置和文件名。如果未指定此参数,那么将使用 Kerberos 配置文件中的缺省密钥表。 |
<serviceName> | 此参数是必需的。它表示 Kerberos 服务名称。缺省 Kerberos 服务名称是 WAS。 |
<trimUserName> | 此参数是可选的。它将从 Kerberos 领域名前面的“@”开始移除主体用户名的后缀。此参数是可选的。缺省值为 true。 |
<enabledGssCredDelegate> | 此参数不是必需的。它用于表示是否抽取客户机 Kerberos 和 GSS 委派凭证并将其置于 Kerberos 认证令牌 (KRBAuthnToken) 中。缺省值为 true。 注: 如果此参数为 true,并且运行时无法抽取 Kerberos GSS 委派凭证,那么运行时将记录一条警告消息。
|
<allowKrbAuthForCsiInbound> | 此参数是可选的。它为入站公共安全互操作性 (CSI) 启用 Kerberos 认证机制。缺省值为 true。 |
<allowKrbAuthForCsiOutbound> | 此参数是可选的。它为出站 CSI 启用 Kerberos 认证机制。缺省值为 true。 |
注: Kerberos 配置文件名和 Kerberos 密钥表文件名路径不必为绝对路径。而是,您可以使用 WebSphere
变量来表示路径。如果具有混合平台环境,那么可以对 Kerberos 配置文件使用变量 ${CONF_OR_INI}。安全性配置会将其扩展名定义为“ini”(对于 Windows)或“conf”(对于非 Windows 平台)。例如:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
以下是 modifyKrbAuthMechanism 命令的示例:
wsadmin>$AdminTask modifyKrbAuthMechanism {
-krb5Realm WSSEC.AUSTIN.IBM.COM
-krb5Config C:\\WINNT\\krb5.ini
-krb5Keytab C:\\WINNT\\krb5.keytab
-serviceName WAS }
删除 Kerberos 认证机制
使用 deleteKrbAuthMechanism 命令在安全性配置文件中移除 KRB5 认证机制安全性对象字段。
在 wsadmin 提示符下,输入以下命令:
$AdminTask help deleteKrbAuthMechanism
以下是 deleteKrbAuthMechanism 命令的示例:
wsadmin>$AdminTask deleteKrbAuthMechanism
设置活动认证机制
使用 setActiveAuthMechanism 命令在安全性配置中设置活动认证机制属性。
在 wsadmin 提示符下,输入以下命令:
$AdminTask help setActiveAuthMechanism
选项 | 描述 |
---|---|
<authMechanismType> | 此参数不是必需的。它表示认证机制类型。缺省值为 KRB5。 |
以下是 setActiveAuthMechanism 命令的示例:
wsadmin> $AdminTask setActiveAuthMechanism {-authMechanismType KRB5 }