将 Kerberos 设置为 WebSphere Application Server 的认证机制

必须执行以下步骤,以便将 Kerberos 设置为 WebSphere® Application Server 的认证机制。

关于此任务

注: 服务器端的 Kerberos 认证机制必须由系统管理员完成,Java™ 客户机端的 Kerberos 认证机制则必须由最终用户完成。必须对 Kerberos 密钥表文件进行保护。

必须先确保已配置 KDC。有关更多信息,请参阅《Kerberos 管理员和用户指南》。

[z/OS]要在 z/OS® 上配置 KDC,必须激活 RACF® 中的 APPL 类。此操作具有启用为 WebSphere 定义的 APPL 类概要文件这一效果,并且可能限制已认证的用户对 WebSphere 上运行的应用程序进行访问的能力。如果安全性配置使用 SAF 概要文件前缀,那么概要文件名称为 SAF 概要文件前缀。否则,概要文件名称为 CBS390。要控制是否检查 APPL 概要文件以进行 WebSphere 授权,可在管理控制台中 SAF 授权面板上配置标为“使用 APPL 概要文件来限制对服务器的访问权”的复选框。此设置可在 WebSphere 安全域级别上配置。

避免故障 避免故障: 为 z/OS KDC 配置 envar 文件时,按从高安全性到低安全性的顺序对 SKDC_TKT_ENCTYPES 环境变量的加密类型排序。z/OS KDC 会使用列表中排在最前的加密类型(从左至右)。gotcha

必须执行以下步骤,以便将 Kerberos 设置为 WebSphere Application Server 的认证机制。

过程

  1. 创建 Kerberos 服务主体名称和密钥表文件
    1. 您可以在使用 Microsoft Windows 密钥分发中心 (KDC)、iSeries KDC、Linux KDC、Solaris KDC、麻省理工学院 (MIT) KDC 和 z/OS 操作系统 KDC 时,创建 Kerberos 服务主体名称和密钥表文件。 Kerberos 希望服务器和服务具有基于主机的服务标识。此标识的格式为 <service name>/<fully qualified hostname>。缺省服务名称为 WAS。对于 Kerberos 认证,服务名称可以是 KDC 允许的任何字符串。但是,对于 SPNEGO Web 认证,服务名称必须是 HTTP。WebSphere Application Server 标识的示例为 WAS/myhost.austin.ibm.com

      每台主机都必须具有对于主机名唯一的服务器标识。同一节点上所有进程都共享同一基于主机的服务标识。

      Kerberos 管理员会为 WebSphere 单元中的每个节点都创建 Kerberos 服务主体名称 (SPN)。例如,对于具有 3 个节点(例如 server1.austin.ibm.comserver2.austin.ibm.comserver3.austin.ibm.com)的单元,Kerberos 管理员必须创建下列 Kerberos 服务主体:WAS/server1.austin.ibm.comWAS/server2.austin.ibm.comWAS/server3.austin.ibm.com

      Kerberos 密钥表文件 (krb5.keytab) 包含节点的所有 SPN 并且必须受保护。可以将此文件放置到 config/cells/<cell_name> 目录中。

      有关更多信息,请参阅“创建 Kerberos 主体和密钥表”一文。

  2. 创建 Kerberos 配置文件
    1. Java 通用安全性服务 (JGSS) 和 KRB5 的 IBM® 实现在每个节点或 Java 虚拟机 (JVM) 上都需要有 Kerberos 配置文件(krb5.confkrb5.ini)。在本发行版的 WebSphere Application Server 中,应该将此配置文件放置到 config/cells/<cell_name> 目录中,以便所有应用程序服务器都可以访问此文件。如果没有 Kerberos 配置文件,请使用 wsadmin 命令来创建一个。 有关更多信息,请参阅“创建 Kerberos 配置”一文。
  3. 使用管理控制台为 WebSphere Application Server 配置 Kerberos 认证机制
    1. 使用管理控制台将 Kerberos 配置为应用程序服务器的认证机制。您输入所需信息并将其应用于配置之后,Kerberos 服务主体名称将构造为 <service name>/<fully qualified hostname>@KerberosRealm 并用于验证入局 Kerberos 令牌请求。 有关更多信息,请参阅“使用管理控制台将 Kerberos 配置为认证机制”一文。
  4. 将客户机 Kerberos 主体名称映射至 WebSphere 用户注册表标识
    1. 可以将 Kerberos 客户机主体名称映射到 WebSphere 用户注册表标识,以同时执行“简单且受保护的 GSS-API 协商”(SPNEGO) Web 认证和 Kerberos 认证。 有关更多信息,请参阅“将客户机 Kerberos 主体名称映射至 WebSphere 用户注册表标识”一文。

      [z/OS]可选择将 Kerberos 主体映射至 z/OS 上的系统授权工具 (SAF) 身份。

      [z/OS]如果在 WebSphere Application Server 管理控制台的 Kerberos 面板上选择了使用 SAF 用户概要文件的 KERB 段单选按钮,那么必须将本地操作系统用户映射至特定 Kerberos 主体。请阅读在 z/OS 上将 Kerberos 主体映射至系统授权工具 (SAF) 标识以了解更多信息。

  5. 将 Kerberos 设置为纯 Java 客户机的认证机制(可选)
    1. Java 客户机可使用 Kerberos 主体名称和密码或使用 Kerberos 凭证高速缓存 (krb5Ccache),向 WebSphere Application Server 进行认证。 有关更多信息,请参阅“配置 Java 客户机以进行 Kerberos 认证”一文。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_setup
文件名:tsec_kerb_setup.html