在 WebSphere Application Server Community Edition 中配置 Kerberos 验证

核心提示： KerberosLoginModule 拥有以下 LoginModule 选项：krb5LoginModuleClass：指定由 Java Platform 提供的 Kerberos 协议实现的完全限定名，这个类必须实现 javax.security.auth.spi.LoginModule 接

KerberosLoginModule 拥有以下 LoginModule 选项：

krb5LoginModuleClass：指定由 Java Platform 提供的 Kerberos 协议实现的完全限定名。这个类必须实现 javax.security.auth.spi.LoginModule 接口。由于我们将使用 IBM Java Platform 提供的 Krb5LoginModule，这个值为 com.ibm.security.auth.module.Krb5LoginModule。

addOnPrincipalClass：指定登录成功后添加到主题（subject）的主体（principal）的类的完全限定名。除了使用 krb5LoginModuleClass 登录导致的其他主体外，这个主体也将被添加到主题。如果不需要添加更多主体，则不要使用这个选项。

addOnPrincipalName：指定要添加到主题的主体的名称。这个选项只在指定了 addOnPrincipalClass 的情况下使用。

krb_*：传递到 krb5LoginModuleClass 的 initialize() 方法的任意选项必须使用一个 “krb_” 前缀。在选项传递到 initialize() 方法之前，前缀 “krb_” 将从选项名中删除。例如 krb_debug=true 将以 debug=true 形式传递到 initialize() 方法。

KerberosLoginModule.initialize() 方法为使用 krb5LoginModuleClass 选项配置的类创建一个实例，它只使用名称以前缀 “krb_” 开头的那些选项初始化该实例，但初始化时将删除前缀。它还创建一个通过 addOnPrincipalClass 和 addOnPrincipalName 选项配置的附加（add-on）主体。成功验证后，KerberosLoginModule.commit() 方法将 krb5LoginModuleClass 登录导致的所有 Principals、Public Credentials 和 Private Credentials 以及附加 Principal 添加到 Subject。KerberosLoginModule 类用于创建使用 Kerberos 协议在 Community Edition 中执行验证的安全域。