IBM® Engineering Lifecycle Management -Anwendungsunterstützung Kerberos -Authentifizierung mit SPNEGO-SSO-Authentifizierung (Simple and Protected GSS-API Negotiation Mechanism) im WebSphere® Liberty -Server.
Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, bevor die Engineering Lifecycle Management -Server für die Kerberos/SPNEGO-Authentifizierung konfiguriert werden:
- Der Server, der die Engineering Lifecycle Management -Anwendungen und den Reverse Proxy hostet, muss ein Domänenmitglied des Domänencontrollers sein, die in der Kerberos/SPNEGO-Konfiguration verwendet werden.
- Engineering Lifecycle Management Die Anwendungen sind installiert und so konfiguriert, dass sie LDAP als Benutzerregister verwenden, das mit dem Server Active Directory konfiguriert ist, der auf dem Domänencontroller Microsoft Windows gehostet wird.
- Wenn Engineering Lifecycle Management in einer verteilten Topologie betrieben wird, vervollständigen Sie die SSO-Konfiguration durch LTPA-Schlüssel. Siehe „Konfigurieren von SSO ( Single Sign On ) für Profile von IBM WebSphere Liberty “.
- Eine Kerberos -Chiffrierschlüsseldatei (krb5.keytab), die durch Zuordnung des Principalnamens erstellt wird, der Ihrem geplanten öffentlichen URI für die Anwendung Engineering Lifecycle Management entspricht. Siehe Voraussetzungen für die Konfiguration von „ Kerberos “.
- Eine Kerberos -Konfigurationsdatei, die Details zu Kerberos Realm, KDC und Domäne enthält. Siehe Voraussetzungen für die Konfiguration von „ Kerberos “.
Informationen zu diesem Vorgang
Sie können die einmalige Anmeldung (Single Sign-on, SSO) für HTTP aktivieren, indem Sie die Web-Authentifizierung über den einfachen und geschützten GSS-API-Aushandlungsmechanismus (SPNEGO) verwenden.
- Um die Unterstützung von Kerberos durch den Liberty Server, der die Engineering Lifecycle Management hostet, zu aktivieren, öffnen Sie die Datei " <JAZZ_INSTALL_DIR>/server/liberty/servers/clm/server.xml in einem Editor und fügen Sie das Feature spnego-1.0 im Abschnitt featureManager hinzu.
<featureManager>
...
<feature>adminCenter-1.0</feature>
<feature>spnego-1.0</feature>
...
</featureManager>
- Um die Kerberos -Konfiguration zu aktivieren, kopieren Sie die Dateien krb5.conf und krb5.krytab an die Position <JAZZ_INSTALL_DIR>/server/liberty/servers/clm/resources/security und fügen Sie die Konfiguration in der Datei server.xml ähnlich dem folgenden Beispiel hinzu.
<spnego id="mySpnego"
canonicalHostName="false"
disableFailOverToAppAuthType=“false”
trimKerberosRealmNameFromPrincipal="true"
includeClientGSSCredentialInSubject="false"
krb5Config="${server.config.dir}/resources/security/krb5.ini"
krb5Keytab="${server.config.dir}/resources/security/kerberos.keytab"
servicePrincipalNames="HTTP/elm.example.com"
authFilterRef="spnegoFilter">
</spnego>
<authFilter id="spnegoFilter">
<userAgent id="MacClients" agent="Mac OS" matchType="notContain"/>
</authFilter>
Hinweis: elm.example.com ist der Name des Principals, der wie in den Voraussetzungen angegeben konfiguriert ist und mit dem öffentlichen URI übereinstimmt. Der Pfad zu krb5Config und krb5Keytab kann entsprechend Ihren Anforderungen in die Position geändert werden.
Sie können weitere Filter entsprechend Ihren Anforderungen hinzufügen. Das obige Beispiel authFilter ermöglicht eine Fallback-Authentifizierung für die Clients auf macOS,, die nicht Teil der Domäne sind.
Wenn Sie Engineering Lifecycle Management in einer verteilten Umgebung mit konfiguriertem Kerberos und ohne Jazz® Authorization Server konfiguriert haben, setzen Sie die folgende Eigenschaft im SPNEGO-Tag auf false:
<spnego
... includeCustomCacheKeyInSubject=false ...>
Weitere Informationen zu den SPNEGO-Attributen finden Sie unter Spnego-Authentifizierung.
- Optional: Wenn Sie Engineering Lifecycle Management mithilfe der verteilten Topologie implementiert haben, müssen Sie Schritt 1 und Schritt 2 auf allen WebSphere Liberty -Server -Servern ausführen, die Engineering Lifecycle Management -Anwendungen hosten, für die Sie Single Sign Onkonfigurieren wollen.
- Testen Sie die Kerberos/SPNEGO-Authentifizierung, indem Sie auf die Anwendungs-URLs auf einer der Clientmaschinen zugreifen, die ein Domänenmitglied ist.
- Konfigurieren Sie Webbrowser zur Unterstützung von Kerberos. Siehe Konfigurieren der SPNEGO-Authentifizierung in Liberty
- Rufen Sie URL der Anwendung auf.
Beispiel:
https://elm.example.com/jts.
Wenn der Liberty-Server korrekt mit Kerberos konfiguriert ist, sollte sich die /jts-Seite automatisch mit Ihren Windows-Anmeldedaten anmelden.