如何正确配置Kerberos主体名称

时间:2014-02-02 02:44:54

标签: ibm-mq ibm-jdk

这是我的krb5.ini文件。

    [libdefaults]
        default_realm = TEST.EXAMPLE.COM
        .....
    [realms]
        TEST.EXAMPLE.COM = {
            kdc = test.example.com:88
            master_kdc = test.example.com:88
            default_domain = example.com
        }
    [domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM

我在域上创建了一个用户USERA,使用kinit创建了一个凭据,并将我的jaas.config文件定义为

    example_config {
    com.ibm.security.auth.module.Krb5LoginModule required
        useDefaultCcache=false
        principal="userA@TEST.EXAMPLE.COM"  
        useCcache="file:///c:/Users/userA/krb5cc_userA"
        debug=true;
    };

一切看似正常,因为它经过验证。

    [JGSS_DBG_CRED] Retrieving Kerberos creds from cache for principal=userA@TEST.EXAMPLE.COM
    [JGSS_DBG_CRED] Non-interactive login; no callbacks necessary.
    [JGSS_DBG_CRED] Done retrieving Kerberos creds from cache
    [JGSS_DBG_CRED] Login successful
    [JGSS_DBG_CRED] userA@TEST.EXAMPLE.COM added to Subject
    [JGSS_DBG_CRED] Kerberos ticket for userA@TEST.EXAMPLE.COM added to Subject
    [JGSS_DBG_CRED] No keys to add to Subject for userA@TEST.EXAMPLE.COM

但是现在,我正在尝试使用服务主体名称,而不是用户主体。我使用ktpass创建了一个keytab文件

ktpass -out "c:\mytab.keytab" -princ "Installation1/test.example.com@TEST.EXAMPLE.COM" -mapUser "TEST\userA" -mapOp set -pass password -crypto DES-CBC-MD5 -pType KRB5_NT_PRINCIPAL +DesOnly

然后使用setspn检查

  C:\>setspn -l userA
Registered ServicePrincipalNames for CN=userA,CN=Users,DC=test,DC=example,DC=com:
   Installation1/test.example.com

我将配置更改为

    example_config{
      com.ibm.security.auth.module.Krb5LoginModule required
                credsType = both                
               principal="userA/test.example.com"
               useDefaultCcache = true     
               useDefaultKeytab = false
                useKeytab = "file:///c:/mytab.keytab"
                debug=true;   
    };

现在当我运行我的应用程序时,它会给出

    [JGSS_DBG_CRED] Retrieving Kerberos creds from keytab for principal=Installation1/test.example.com
    [JGSS_DBG_CRED] Service name=Installation1/test.example.com@TEST.EXAMPLE.COM
    [JGSS_DBG_CRED] Check for Default keytab : 
    [JGSS_DBG_CRED] No Kerberos creds in keytab for principal Installation1/test.example.com
    [JGSS_DBG_CRED] No service key in keytab; login failed

我在配置文件中做错了什么?或者我在ktpass命令中遗漏了什么?当我去检查控制面板时,Installation1是(Websphere MQ的)服务名称 - >服务。我想验证userA使用Websphere MQ服务。 (如果我想让用户使用HTTP,我会将主体作为HTTP/.....TEST.EXAMPLE.COM

感谢

1 个答案:

答案 0 :(得分:1)

MQ中没有任何内容可以执行身份验证。 MQ仅通过其OAM模块执行授权(权限查找)。

对于MQ的默认安装(在包括z / OS的任何平台上),MQ中没有有效的安全性。您可以将MQ配置为在客户端应用程序和队列管理器之间(或在2个队列管理器之间)使用MQ SSL。

另一种选择是购买第三方MQ安全解决方案,如MQAUSX,它处理各种目标的身份验证。

相关问题
最新问题