Puede utilizar el nombre de principal de Kerberos totalmente calificado
para la autorización, en lugar de utilizar la correlación simple o crear su propio
módulo de inicio de sesión JAAS personalizado.
Acerca de esta tarea
Los pasos siguientes deben ejecutarse en casos excepcionales y están
indicados sólo para los usuarios que específicamente opten por no utilizar la correlación simple, que es la
configuración predeterminada, o que elijan no añadir un módulo de inicio de sesión
JAAS personalizado para correlacionar el nombre de principal de Kerberos
totalmente calificado con un usuario en el registro de usuarios del servidor de perfiles Liberty. Esta tarea permite utilizar el nombre de principal de Kerberos
totalmente calificado para la autorización.
Procedimiento
- Configure la autenticación SPNEGO para que no recorte el nombre de reino de Kerberos
a partir del nombre de principal de Kerberos totalmente calificado estableciendo el
atributo trimKerberosRealmNameFromPrincipal en false.
- Configure el servidor de perfiles Liberty para que utilice los repositorios
federados o LDAP autónomos.
Para obtener más información sobre cómo configurar LDAP, consulte
Configuración de
registros de usuarios LDAP con el perfil Liberty.
- Compruebe que el usuario de Active Directory exista en el registro de usuarios
LDAP y que tenga un solo atributo userPrincipalName asociado con él.
- Actualizar el filtro LDAP en el archivo server.xml para buscar
userPrincipalName, como se muestra en el ejemplo siguiente:
<activedLdapFilterProperties id="myactivedfilters"
userFilter="(&(userPrincipalName=%v))"
groupFilter="(&(cn=%v))"
userIdMap="*:userPrincipalName"
groupIdMap="*:cn"
groupMemberIdMap="ibm-allGroups:member">
</activedLdapFilterProperties>
- Configure los enlaces de aplicación de la aplicación correspondiente para que
utilicen el nombre de principal de Kerberos totalmente calificado como nombre de usuario
junto con un access-id configurado correctamente. Por ejemplo:
<application type="war" id="myApp" name="myApp" location="${server.config.dir}/apps/myApp.war">
<application-bnd>
<security-role name="Employee">
<user name="kevin@MYDOMAIN.EXAMPLE.COM" access-id="CN=kevin,CN=Users,DC=MYDOMAIN,DC=EXAMPLE,DC=COM"/>
...
</security-role>
...
</application-bnd>
</application>