我需要在我的redhat环境中启用SSO。我需要知道哪些rpms需要安装。 相信这是配置AD以支持针对WebSeal实例的单点登录的情况。我正在安装WebSeal 6.1(Tivoli Access Manager WebSeal 6.1)。
我对此一无所知。任何人都可以向我介绍并在此帮助我如何继续以及应该采取哪些步骤。什么应该是先决条件?
答案 0 :(得分:0)
IBM的信息中心有一篇关于如何做到这一点的好文章:
TAM 6.0:
TAM 6.1.1:
SAM 7.0:
你必须:
以下是我可能会有所帮助的一些注意事项。但是,我强烈建议您按照InfoCenter网站上的说明进行操作,因为它们几乎是正确的。
对于步骤1,在linux_i386目录中,使用以下命令安装IBM Kerberos客户端:
rpm -i IBMkrb5-client-1.4.0.2-1.i386.rpm
对于第2步,您在AD控制器上运行的ktpass命令应如下所示:
ktpass -princ HTTP/WEBSEAL_SERVER_NAME_NOTFQDN@ad-domain.org -pass new_password -mapuser WEBSEAL_SERVER_NAME_NOTFQDN -out c:\ WEBSEAL_SERVER_NAME_NOTFQD_HTTP.keytab -mapOp set
将密钥表文件传输到Linux服务器。
还要确保Linux服务器上的keytab文件是chown ivmgr.ivmgr; chmod 600.否则WebSEAL进程将无法读取它。
对于第3步,您需要编辑/etc/krb5/krb5.conf并配置KDC,AD领域和本地DNS名称。您可以使用mkkrb5clnt实用程序来帮助解决此问题:
config.krb5 -r AD-DOMAIN.ORG -c ad-domain.org -s ad-domain.org -d AD-DOMAIN
修改krb5.conf并更改:
[libdefaults]
default_tkt_enctypes = des-cbc-md5 des-cbc-crc
default_tgs_enctypes = des-cbc-md5 des-cbc-crc
从我的笔记中,我可以使用(这是在infocenter文章中记录的所有内容)来测试Kerberos配置:
/ usr / krb5 / bin / kinit webseal@AD-DOMAIN.ORG
输入WebSEAL用户的密码,然后使用klist进行检查。
对于第4步,只需编辑WebSEAL配置文件并更改:
[spnego]
spnego-auth = https
[authentication-mechanisms]
kerberosv5 = /opt/PolicyDirector/lib/libstliauthn.so
如果您的客户端配置正确,只要他们的AD帐户名称与他们的TAM帐户名称匹配,那么它将起作用。在映射到TAM用户时,您还可以让WebSEAL在@ DOMAIN.ORG之前添加,如果您要为SSO设置多个域,这将非常方便。但是,您必须在目录中将TAM帐户与user@domain.org一起映射到。
您可以通过修改WebSEAL配置文件中的[authentication-levels]部分来指定auth级别的SPNEGO。该级别为level = kerberosv5