在 WebSphere Application Server Community Edition 中配置 Kerberos 验证

核心提示：简介IBM WebSphere Application Server Community Edition V2.1.1.2 （以下简称为 Community Edition）是一个基于 Apache Geronimo 2.1.4 的免费 Java Platform, Enterprise Edition 5.0 (Ja

简介

IBM WebSphere Application Server Community Edition V2.1.1.2 （以下简称为 Community Edition）是一个基于 Apache Geronimo 2.1.4 的免费 Java Platform, Enterprise Edition 5.0 (Java EE 5) 认证应用服务器。Community Edition 使用 Java Authentication and Authorization Service (JAAS) 登录模块在 Web 应用程序中进行用户验证，使用 Java Authorization Contract for Containers (JACC) 进行授权。

Kerberos 是由麻省理工学院开发的验证协议。Kerberos 协议允许在不安全的计算机网络上通信的计算机节点以一种安全的方式互相验证。Kerberos 协议的最新版本为 Version 5。

Community Edition 并不提供 Kerberos 协议实现。在本文中，您将利用 IBM Java Platform 提供的 Kerberos 协议实现在 Community Edition 中验证用户并对用户授权。为实现本文的目的，我们使用一个 Microsoft® Active Directory 服务器（以下简称为 Active Directory）作为一个用户资源库。本文需要 WebSphere Application Server Community Edition V2.1.1.2 或更高版本。

Kerberos：它是如何工作的？

Kerberos 使用对称密匙密码系统，需要一个称为 Key Distribution Center (KDC) 的可信第三方，KDC 包含一个 Authentication Server (AS) 和一个 Ticket Granting Server (TGS)。KDC 维护一个秘密密匙数据库。网络上的每个实体（用户或服务）都与 KDC 共享一个秘密密匙，这个秘密密匙只有 KDC 和实体自身知晓。这样，通过这个秘密密匙就可以对实体进行身份验证。Kerberos 使用票据（ticket），称为 “Kerberos 票据”，该票据拥有时间戳且存在时间很短。因此，实体必须保持时间同步。