Fermer

octobre 2, 2020

Configuration du mécanisme de négociation GSSAPI simple et protégé (SPNEGO) dans IBM Websphere


Besoin de configurer un mécanisme de négociation GSSAPI simple et protégé (SPNEGO) dans IBM WebSphere sous Windows? Voici les étapes, accompagnées d'une vidéo.

Profitez-en!

  1. SAUVEGARDEZ LA CONFIGURATION DE VOTRE WEBSPHERE !!!
  2. Ajoutez un Nom du principe du service (SPN) User ID (AD_User) dans Active Directory. Il est recommandé de ne pas utiliser l'ID administrateur WebSphere.
  3. Attribuez le SPN à l'utilisateur Active Directory et mappez le SPN au serveur HTTP en exécutant la commande suivante à partir de la ligne de commande du serveur Active Directory. Remarque : plusieurs noms d'hôte peuvent être ajoutés. Tous les noms d'hôte doivent être des enregistrements de type A dans DNS

    setspn -S HTTP / Fully_qualified_HTTP_Server_host_name AD_user

  4. Créez le fichier keytab en exécutant la commande suivante à partir de la ligne de commande sur le serveur Websphere:

    ktpass -out keyfile_name -princ HTTP / Fully_qualified_HTTP_Server_host_name @ AD_DOMAIN_NAME -pass password -ptype KRB5_NT_PRINCIPAL

  5. Exécutez la java klist pour vérifier que le keytab est correctement configuré:

    c'est-à-dire. c: Program Files ibm WebSphere AppServer java 8.0 jre bin klist.exe ”-k -tc: Windows krb5.keytab

  6. Exécutez l'outil wsadmin et exécutez la commande suivante à l'invite wsadmin pour créer le fichier krb5.ini:

    $ AdminTask createKrbConfigFile {-krbPath nom_fichier_configuration -realm KERBEROS_REALM -kdcHost AD_host_name -dns dns_domain -keytabPath Fully_qualified_keytab_path} Remarque: Modifiez le krb5.ini_berger [1965900] [1965900_Ke_berger] [1965900_KeTab_Beromètre] [1965900] les configurations Websphere (WAS)

    1. Ouvrez la console d'administration de WebSphere Application Server et accédez à Sécurité> Sécurité globale et assurez-vous que la sécurité au niveau de l'application est activée.
    2. Accédez à Sécurité Web et SIP et sélectionnez Authentification unique (SSO) . Sélectionnez Activé pour activer la connexion unique et entrez le nom de domaine du KDC. Cliquez sur OK et Enregistrer.
    3. Accédez à Sécurité Web et SIP et sélectionnez Authentification Web SPNEGO .
    4. Créez un nouveau filtre SPNEGO. Entrez le nom d'hôte du système sur lequel WebSphere Application Server est exécuté et le nom de votre domaine Kerberos. Sélectionnez Découper le domaine Kerberos du nom principal . Cliquez sur OK et sur Enregistrer. Cela devrait vous ramener à la page Authentification Web SPNEGO
    5. Sélectionnez Activer SPNEGO pour permettre à WebSphere Application Server d'authentifier les clients Kerberos à l'aide du protocole SPNEGO. Recherchez et sélectionnez le fichier keytab et les fichiers de configuration Kerberos. Cliquez sur OK et enregistrez.
    6. Redémarrez WAS

     Platforms & Technology - Un guide des chefs d'entreprise sur les principales tendances du cloud

    Configure Browser.

    Cet exemple concerne Internet Explorer. Des instructions pour Firefox / Chrome / Edge sont disponibles sur Internet

    1. Cliquez sur Outils> Options Internet> Sécurité .
    2. Sélectionnez Intranet local .
    3. Cliquez sur Sites .
    4. Cliquez sur Avancé .
    5. Saisissez votre domaine SSO au format suivant: * .domain_name_service Par exemple, saisissez: * .addomain.home.com
    6. Cliquez sur Ajoutez puis cliquez sur Fermer .
    7. Cliquez sur OK pour fermer la fenêtre Intranet local.
    8. Activez Authentification Windows intégrée .Dans le Options Internet sélectionnez l'onglet Avancé . Dans la section Sécurité assurez-vous que Activer l'authentification Windows intégrée est sélectionné.
    9. Redémarrez Internet Explorer pour que vos modifications prennent effet.
    10. Depuis votre navigateur Web, connectez-vous au snoop servlet en utilisant le nom d'hôte qualifié complet de l'instance WebSphere Application Server sur laquelle vous prévoyez de déployer IBM Content Navigator. Lorsque SSO est correctement configuré, le servlet snoop émet un défi d'authentification à votre navigateur Web, qui lance l'échange SPNEGO / Kerberos.

    Pour plus d'informations sur Perficient et pour savoir ce que nous pouvons faire pour votre entreprise, veuillez visiter perficient.com .

     Perficient




Source link