在 WebSphere Application Server Community Edition 中配置 Kerberos 验证

核心提示： 下面让我们看看这个配置文件中的每个部分和条目，第一个部分是 [libdefaults]，在 WebSphere Application Server Community Edition 中配置 Kerberos 验证(6)，它描述 Kerberos V5 库使用的默认值，这个部分中的其他字段介绍

下面让我们看看这个配置文件中的每个部分和条目。

第一个部分是 [libdefaults]，它描述 Kerberos V5 库使用的默认值。这个部分中的其他字段介绍如下：

default_realm：这是将用于客户机和主机之间的通信的默认域。如果您使用一个主体名 “ashish”，AUSTIN.IBM.COM 将默认附加到主体名之后，这样，最终的主体为 ashish@AUSTIN.IBM.COM。

default_tgs_enctypes：这个字段指定 KDC 返回的会话密匙加密。当 Microsoft Active Directory 作为 KDC 使用时，确保在这个字段中指定 rc4-hmac。

default_tkt_enctypes：这个字段指定客户机将请求的会话密匙加密类型的列表。

第二个部分是 [realms]，它描述域和 KDC 服务器映射的细节。在清单 2 中，AUSTIN.IBM.COM 已经被映射到 ad1ldap.austin.ibm.com:88。这里，ad1ldap.austin.ibm.com 是 hostName，88 是正在运行 KDC 服务器的端口号。

第三个部分是 [domain_realm]，它描述从子域和域名到 Kerberos 域名的映射细节。如果一个主机具有完全限定域名，则这个部分能够确定该主机所处的域。

将自定义 Kerberos 登录模块 JAR 添加到资源库

Community Edition 的当前版本不包含 KerberosLoginModule 实现。本文提供一个包含 KerberosLoginModule 类（如清单 1 所示）的 自定义登录模块 JAR，以帮助您在 Community Edition 中创建一个 Kerberos 安全域。这个 JAR 需要添加到 Community Edition 资源库。执行以下步骤将这个登录模块 JAR 添加到 Community Edition 资源库：

启动 Community Edition，在您的浏览器中打开 http://localhost:8080/console/。

输入用户名 system 和密码 manager。单击 Login，这将在管理控制台中打开 Welcome 页面，如图 6 所示。

图 6. 管理控制台 —— Welcome 页面