SPNEGO Web 认证配置命令
使用 wsadmin 命令在安全性配置中配置、取消配置、验证或显示简单且受保护的 GSS-API 协商机制 (SPNEGO)。
配置 SPNEGO Web 认证
注: 首先必须具有可用的 Kerberos 配置文件和 Kerberos 密钥表文件。有关更多信息,请阅读有关“创建 Kerberos 配置文件”和“创建 Kerberos 服务主体名称和密钥表文件”的主题。
使用 configureSpnego 命令可以在安全性配置中将 SPNEGO 配置为 Web 鉴别符。
在 wsadmin 提示符处,输入以下命令寻求帮助:
Wsadmin>$AdminTask help configureSpnego
选项 | 描述 |
---|---|
<enabled> | 此参数是可选的。此参数用于启用 SPNEGO Web 认证。 |
<dynamicReload> | 此参数是可选的。此参数用于启用 SPNEGO Web 认证过滤器的动态重新装入。 |
<allowAppAuthMethodFallback> | 此参数是可选的。它允许回退到应用程序认证机制。 |
<krb5Config> | 此参数是必需的。它提供配置(krb5.ini 或 krb5.conf)文件的目录位置和文件名。 |
<krb5Keytab> | 此参数是可选的。它提供 Kerberos 密钥表文件的目录位置和文件名。如果未指定此参数,那么将使用 Kerberos 配置文件中的缺省密钥表。 |
注: WebSphere 变量可用来指定 krb5Config 和 krb5Keytab 文件路径。如果具有混合平台环境,那么可以对 Kerberos 配置文件使用变量 ${CONF_OR_INI}。安全性配置会将其扩展名定义为“ini”(对于 Windows)或“conf”(对于非 Windows 平台)。例如:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
注: 仅当 SPNEGO 启用时,configureSpnego 和 validateSpnegoConfig 命令才验证 krb5Config 和 krb5Keytab 文件。如果 SPNEGO 未启用,这些命令将仅验证 krb5Config 和 krb5Keytab 文件是否存在。这使您可以在不启用的情况下配置 SPNEGO。
取消配置 SPNEGO Web 认证
使用 unconfigureSpnego 命令可以在安全性配置中取消配置 SPNEGO Web 认证。
在 wsadmin 提示符处,输入以下命令寻求帮助:
wsadmin>$AdminTask help unconfigureSpnego
显示 SPNEGO Web 认证
使用 showSPNEGO 命令在安全性配置中显示 SPNEGO Web 认证。
在 wsadmin 提示符处,输入以下命令寻求帮助:
wsadmin>$AdminTask help showSpnego
验证 Kerberos 配置
使用 validateKrbConfig 命令验证全局安全性文件 security.xml 中或指定为输入参数的 Kerberos 配置数据。
在 wsadmin 提示符处,输入以下命令寻求帮助:
wsadmin>$AdminTask help validateKrbConfig
可以将以下参数用于 validateKrbConfig 命令:
选项 | 描述 |
---|---|
<checkConfigOnly> | 在不验证的情况下检查 Kerberos 配置;必须为此检查使用全局安全性。 |
<useGlobalSecurityConfig> | 使用全局安全性配置数据 security.xml,而非输入参数。 |
<validateKrbRealm> | 根据 Kerberos 配置文件(krb5.ini 或 krb5.conf)中的缺省 Kerberos 域验证 Kerberos 领域。 |
<serverId> | 指定用于内部进程通信的服务器标识。 |
<serverIdPassword> | 指定用于服务器标识的密码。 |
<krb5Spn> | 指定 Kerberos 密钥表文件中的 Kerberos 服务主体名称。 |
<krb5Config > | 此参数是必需的。它提供配置(krb5.ini 或 krb5.conf)文件的目录位置和文件名。 |
<krb5Keytab> | 此参数是可选的。它提供 Kerberos 密钥表文件的目录位置和文件名。如果未指定此参数,那么将使用 Kerberos 配置文件中的缺省密钥表。 |
<krb5Realm > | 此参数是必需的。它指定 Kerberos 领域名的值。 |
注: WebSphere 变量可用来指定 krb5Config 和 krb5Keytab 文件路径。如果具有混合平台环境,那么可以对 Kerberos 配置文件使用变量 ${CONF_OR_INI}。安全性配置会将其展开为
ini(对于 Windows)或
conf(对于非 Windows 平台)。例如:
${WAS_INSTALL_ROOT}\etc\krb5\krb5.${CFG_OR_INI}
注: 要验证全局安全性配置文件 security.xml 中的 Kerberos 配置,请在不带任何参数的情况下或在将 useGlobalSecurityConfig 设置为 true 的情况下运行 validateKrbConfig。要使用输入参数验证 Kerberos 配置,请将 useGlobalSecurityConfig 和 checkConfigOnly 设置为 false,并为 krb5Spn、krb5Config、krb5Keytab 和 krb5Realm 指定值。