Liberty-Repository[8.5.5.5 oder höher]

Kerberos-Principal-Namen für Berechtigung mit SPNEGO-Authentifizierung verwenden

Sie können den vollständig qualifizierten Kerberos-Principal-Namen für die Berechtigung verwenden, anstatt Ihr eigenes angepasstes JAAS-Anmeldemodul einfach zuzuordnen oder zu erstellen.

Informationen zu diesem Vorgang

Die folgenden Schritte sollten nur im Ausnahmefall ausgeführt werden und nur von Benutzern, die explizit nicht die standardmäßig konfigurierte einfache Zuordnung verwenden möchten bzw. kein angepasstes JAAS-Anmeldemodul hinzufügen möchten, um den vollständig qualifizierten Kerberos-Principal-Namen einem Benutzer in der Benutzerregistry des Liberty Profile-Servers zuzuordnen. Mit dieser Task können Sie den vollständig qualifizierten Kerberos-Principal-Namen für die Berechtigung verwenden.

Vorgehensweise

  1. Konfigurieren Sie die SPNEGO-Authentifizierung so, dass der Kerberos-Realm-Name nicht aus dem vollständig qualifizierten Kerberos-Principal-Namen gelöscht wird. Dazu müssen Sie das Attribut trimKerberosRealmNameFromPrincipal auf false setzen.
  2. Konfigurieren Sie den Liberty-Profil-Server so, dass er entweder ein eigenständiges LDAP oder Verbundrepositorys verwendet.

    Weitere Informationen zur Konfiguration von LDAP finden Sie im Abschnitt LDAP-Benutzerregistrys mit dem Liberty-Profil konfigurieren.

    1. Vergewissern Sie sich, dass der Active Directory-Benutzer in der LDAP-Benutzerregistry vorhanden ist und eineinziges userPrincipalName-Attribut hat, das ihm zugeordnet ist.
    2. Aktualisieren Sie den LDAP-Filter in der Datei server.xml so, dass nach dem userPrincipalName gesucht wird. Sehen Sie dazu das folgende Beispiel:
      <activedLdapFilterProperties id="myactivedfilters"
           userFilter="(&(userPrincipalName=%v))"
           groupFilter="(&(cn=%v))"
           userIdMap="*:userPrincipalName"
           groupIdMap="*:cn"
           groupMemberIdMap="ibm-allGroups:member">
      </activedLdapFilterProperties>
  3. Konfigurieren Sie die Anwendungsbindungen für die entsprechende Anwendung, um den vollständig qualifizierten Kerberos-Principal-Namen als Benutzernamen zusammen mit einer ordnungsgemäß konfigurierten access-id zu verwenden. Beispiel:
    <application type="war" id="myApp" name="myApp" location="${server.config.dir}/apps/myApp.war">
         <application-bnd>
              <security-role name="Employee">
                   <user name="kevin@MYDOMAIN.EXAMPLE.COM" access-id="CN=kevin,CN=Users,DC=MYDOMAIN,DC=EXAMPLE,DC=COM"/>
                   ...
              </security-role>
              ...
         </application-bnd>
    </application>

Symbol das den Typ des Artikels anzeigt. Taskartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_using_kerb_principal_name_auth
Dateiname: twlp_using_kerb_principal_name_auth.html