Repositorio de Liberty[8.5.5.5 o posterior]

Utilización del nombre de principal de Kerberos para la autorización con la autenticación SPNEGO

Puede utilizar el nombre de principal de Kerberos totalmente calificado para la autorización, en lugar de utilizar la correlación simple o crear su propio módulo de inicio de sesión JAAS personalizado.

Acerca de esta tarea

Los pasos siguientes deben ejecutarse en casos excepcionales y están indicados sólo para los usuarios que específicamente opten por no utilizar la correlación simple, que es la configuración predeterminada, o que elijan no añadir un módulo de inicio de sesión JAAS personalizado para correlacionar el nombre de principal de Kerberos totalmente calificado con un usuario en el registro de usuarios del servidor de perfiles Liberty. Esta tarea permite utilizar el nombre de principal de Kerberos totalmente calificado para la autorización.

Procedimiento

  1. Configure la autenticación SPNEGO para que no recorte el nombre de reino de Kerberos a partir del nombre de principal de Kerberos totalmente calificado estableciendo el atributo trimKerberosRealmNameFromPrincipal en false.
  2. Configure el servidor de perfiles Liberty para que utilice los repositorios federados o LDAP autónomos.

    Para obtener más información sobre cómo configurar LDAP, consulte Configuración de registros de usuarios LDAP con el perfil Liberty.

    1. Compruebe que el usuario de Active Directory exista en el registro de usuarios LDAP y que tenga un solo atributo userPrincipalName asociado con él.
    2. Actualizar el filtro LDAP en el archivo server.xml para buscar userPrincipalName, como se muestra en el ejemplo siguiente:
      <activedLdapFilterProperties id="myactivedfilters"
           userFilter="(&(userPrincipalName=%v))"
           groupFilter="(&(cn=%v))"
           userIdMap="*:userPrincipalName"
           groupIdMap="*:cn"
           groupMemberIdMap="ibm-allGroups:member">
      </activedLdapFilterProperties>
  3. Configure los enlaces de aplicación de la aplicación correspondiente para que utilicen el nombre de principal de Kerberos totalmente calificado como nombre de usuario junto con un access-id configurado correctamente. Por ejemplo:
    <application type="war" id="myApp" name="myApp" location="${server.config.dir}/apps/myApp.war">
         <application-bnd>
              <security-role name="Employee">
                   <user name="kevin@MYDOMAIN.EXAMPLE.COM" access-id="CN=kevin,CN=Users,DC=MYDOMAIN,DC=EXAMPLE,DC=COM"/>
                   ...
              </security-role>
              ...
         </application-bnd>
    </application>

Icono que indica el tipo de tema Tema de tarea

Términos y condiciones para centros de información | Comentarios


Icono de indicación de fecha y hora Última actualización: 15 de junio de 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_using_kerb_principal_name_auth
Nombre de archivo:twlp_using_kerb_principal_name_auth.html