我需要在我的 redhat 环境中启用 SSO。我需要知道哪些 rpms 需要安装。相信这是配置 AD 以支持针对 WebSeal 实例的单点登录的情况。我正在安装 WebSeal 6.1(Tivoli Access Manager WebSeal 6.1)。
我对此一无所知。任何人都可以向我简要介绍并在这里帮助我如何进行以及应采取哪些步骤。应该有什么先决条件?
问问题
633 次
1 回答
0
IBM 的 InfoCenter 上有一篇关于如何做到这一点的好文章:
谭6.0:
谭6.1.1:
山姆 7.0:
你必须:
- 为 WebSEAL 安装 IBM Kerberos 客户机
- 在 AD 中为 Linux 服务器创建一个条目以进行身份验证
- 将 Kerberos 主体映射到该 AD 用户(最难的部分)
- 在 WebSEAL 上启用 SPNEGO
以下是我的一些笔记,可能会有所帮助。但是,我强烈建议您仔细阅读 InfoCenter 网站上的说明,因为它们几乎是正确的。
对于第 1 步,在该linux_i386目录中,使用以下命令安装 IBM Kerberos 客户端:
rpm -i IBMkrb5-client-1.4.0.2-1.i386.rpm
对于第 2 步,您在 AD 控制器上运行的 ktpass 命令应类似于:
ktpass -princ HTTP/WEBSEAL_SERVER_NAME_NOTFQDN@ad-domain.org -pass new_password -mapuser WEBSEAL_SERVER_NAME_NOTFQDN -out c:\WEBSEAL_SERVER_NAME_NOTFQD_HTTP.keytab -mapOp 设置
将该密钥表文件传输到您的 Linux 服务器。
还要确保 Linux 服务器上的 keytab 文件是 chown ivmgr.ivmgr;chmod 600。否则 WebSEAL 进程将无法读取它。
对于第 3 步,您需要编辑/etc/krb5/krb5.conf和配置 KDC、AD 领域和本地 DNS 名称。您可以使用该mkkrb5clnt实用程序来帮助解决此问题:
config.krb5 -r AD-DOMAIN.ORG -c ad-domain.org -s ad-domain.org -d AD-DOMAIN
编辑krb5.conf和更改:
[libdefaults]
default_tkt_enctypes = des-cbc-md5 des-cbc-crc
default_tgs_enctypes = des-cbc-md5 des-cbc-crc
从我的笔记中,我让您可以使用以下方法测试 Kerberos 配置(所有这些都记录在信息中心文章中):
/usr/krb5/bin/kinit webseal@AD-DOMAIN.ORG
输入 WebSEAL 用户的密码,然后用于klist检查。
对于第 4 步,只需编辑 WebSEAL 配置文件并更改:
[spnego]
spnego-auth = https
[authentication-mechanisms]
kerberosv5 = /opt/PolicyDirector/lib/libstliauthn.so
如果您的客户端配置正确,只要他们的 AD 帐户名称与他们的 TAM 帐户名称匹配,它就会起作用。您还可以让 WebSEAL 在映射到 TAM 用户时预先添加 @DOMAIN.ORG,如果您要为 SSO 设置多个域,这很方便。但是,您必须在您的目录中拥有带有 user@domain.org 的 TAM 帐户才能映射到。
[authentication-levels]您可以通过修改WebSEAL 配置文件中的部分来指定进入的认证级别 SPNEGO 。那水平应该是level = kerberosv5
祝你好运,有耐心。在 Linux 机器上安装 Kerberos 客户端是最困难的部分。当它想要大写 DNS 域名、小写 DNS 域名或只是普通的香草 AD 域名时,这有点棘手。
于 2014-02-18T15:14:18.003 回答