将 Kerberos 设置为 WebSphere Application Server 的认证机制

您必须执行设置步骤Kerberos作为认证机制WebSphere® Application Server。

有关此任务

笔记:Kerberos服务器端的身份验证机制必须由系统管理员完成,而 Java™ 客户端的身份验证机制则由最终用户完成。 必须对 Kerberos 密钥表文件进行保护。

必须先确保已配置 KDC。 有关更多信息,请参阅《Kerberos 管理员和用户指南》。

[z/OS]配置 KDC z/OS®,您必须在RACF®。此操作具有启用 APPL 类配置文件的效果,该配置文件定义为WebSphere并可能限制经过身份验证的用户访问在WebSphere。 如果安全性配置使用 SAF 概要文件前缀,那么概要文件名称为 SAF 概要文件前缀。 否则,概要文件名称为 CBS390。 控制是否检查 APPL 配置文件WebSphere授权,您可以配置标记为使用 APPL 配置文件限制对服务器的访问在管理控制台中的 SAF 授权面板上。 此设置可在WebSphere安全域级别。

避免麻烦:配置时envar申请z/OSKDC,对 SKDC_TKT_ENCTYPES 环境变量的加密类型从最安全到最不安全进行排序。 这z/OSKDC 倾向于使用列表中从左到右第一个加密类型。

您必须执行以下步骤来设置Kerberos作为认证机制WebSphere Application Server。

过程

  1. 创建一个Kerberos服务主体名称和 keytab 文件
    1. 您可以创建一个Kerberos使用时的服务主体名称和密钥表文件Microsoft Windows, iSeries, Linux、Solaris、麻省理工学院 (MIT) 和z/OS操作系统密钥分发中心(KDC)。
      Kerberos 希望服务器和服务具有基于主机的服务标识。 此标识的格式为 <service name>/<fully qualified hostname>。 缺省服务名称为 WAS。 对于 Kerberos 认证,服务名称可以是 KDC 允许的任何字符串。 但是,对于 SPNEGO Web 认证,服务名称必须是 HTTP。 一个例子WebSphere Application ServerID 是WAS/myhost.austin.ibm.com

      每台主机都必须具有对于主机名唯一的服务器标识。 同一节点上所有进程都共享同一基于主机的服务标识。

      AKerberos管理员创建Kerberos服务主体名称 (SPN) WebSphere细胞。 例如,对于具有 3 个节点(例如 server1.austin.ibm.comserver2.austin.ibm.comserver3.austin.ibm.com)的单元,Kerberos 管理员必须创建下列 Kerberos 服务主体:WAS/server1.austin.ibm.comWAS/server2.austin.ibm.comWAS/server3.austin.ibm.com

      Kerberos 密钥表文件 (krb5.keytab) 包含节点的所有 SPN 并且必须受保护。 可以将此文件放置到 config/cells/<cell_name> 目录中。

      有关更多信息,请参阅“创建 Kerberos 主体和密钥表”一文。

  2. 创建一个Kerberos配置文件
    1. 这IBM® Java 通用安全服务 (JGSS) 的实现和KRB5需要一个Kerberos配置文件krb5.conf或者krb5.ini在每个节点或 Java 虚拟机 (JVM) 上。 在此版本中WebSphere Application Server,此配置文件应放在config/cells/<cell_name>目录,以便所有应用服务器都可以访问此文件。 如果你没有Kerberos配置文件,使用wsadmin命令来创建一个。
      有关更多信息,请参阅“创建 Kerberos 配置”一文。
  3. 配置Kerberos作为身份验证机制为了WebSphere Application Server通过使用管理控制台。
    1. 使用管理控制台将 Kerberos 配置为应用程序服务器的认证机制。 当您输入所需信息并将其应用到配置中时,Kerberos服务主体名称的格式为<service name>/<fully qualified hostname>@KerberosRealm,并用于验证传入Kerberos令牌请求。
      有关更多信息,请参阅“使用管理控制台将 Kerberos 配置为认证机制”一文。
  4. 映射客户端Kerberos校长姓名到WebSphere用户注册ID。
    1. 可以将 Kerberos 客户机主体名称映射到 WebSphere 用户注册表标识,以同时执行“简单且受保护的 GSS-API 协商”(SPNEGO) Web 认证和 Kerberos 认证。
      读取客户端的映射Kerberos校长姓名WebSphere请参阅用户注册 ID 文章以了解更多信息。

      [z/OS]您可以选择映射Kerberos主体到系统授权工具 (SAF) 身份z/OS。

      [z/OS]如果你选择使用 SAF 用户配置文件的 KERB 段单选按钮在Kerberos小组WebSphere Application Server管理控制台,您必须拥有映射到特定Kerberos主要的。 读映射Kerberos主体到系统授权工具 (SAF) 身份z/OS了解更多信息。

  5. 可选地,设置Kerberos作为身份验证机制用于纯 Java 客户端。
    1. Java 客户端可以使用WebSphere Application Server通过使用Kerberos主体名称和密码或Kerberos凭证缓存( krb5Ccache)。
      阅读配置 Java 客户端Kerberos请参阅身份验证文章以获取更多信息。