Single sign on 在redhat环境上启用SSO
我需要在redhat环境中启用SSO。我需要知道哪些RPM需要安装。 相信这是一个配置AD以支持针对WebSeal实例的单点登录的案例。我正在安装WebSeal 6.1Tivoli Access Manager WebSeal 6.1Single sign on 在redhat环境上启用SSO,single-sign-on,redhat,tivoli,webseal,Single Sign On,Redhat,Tivoli,Webseal,我需要在redhat环境中启用SSO。我需要知道哪些RPM需要安装。 相信这是一个配置AD以支持针对WebSeal实例的单点登录的案例。我正在安装WebSeal 6.1Tivoli Access Manager WebSeal 6.1 我对此一无所知。有谁能简要地告诉我,并在这里帮助我如何进行以及应该采取什么步骤。先决条件是什么?关于如何做到这一点,IBM的信息中心上有一篇很好的文章: TAM 6.0: TAM 6.1.1: SAM 7.0: 你必须: 安装用于WebSEAL的IBM Kerbe
我对此一无所知。有谁能简要地告诉我,并在这里帮助我如何进行以及应该采取什么步骤。先决条件是什么?关于如何做到这一点,IBM的信息中心上有一篇很好的文章: TAM 6.0: TAM 6.1.1: SAM 7.0: 你必须: 安装用于WebSEAL的IBM Kerberos客户端 在AD中为Linux服务器创建一个要进行身份验证的条目 将Kerberos主体映射到该AD用户是最困难的部分 在WebSEAL上启用SPNEGO 以下是我的一些笔记,可能会有所帮助。但是,我强烈建议您仔细阅读信息中心网站上的说明,因为它们几乎是正确的 对于步骤1,在linux_i386目录中,使用以下命令安装IBM Kerberos客户端: rpm-i IBMkrb5-client-1.4.0.2-1.i386.rpm 对于步骤2,在AD控制器上运行的ktpass命令应类似于: ktpass-princhhttp/WEBSEAL\u服务器\u名称_NOTFQDN@ad-domain.org-传递新密码-mapuser WEBSEAL\u SERVER\u NOTFQDN-out c:\WEBSEAL\u SERVER\u NAME\u NOTFQD\u HTTP.keytab-mapOp set 将该keytab文件传输到Linux服务器 还要确保Linux服务器上的keytab文件是chown ivmgr.ivmgr;chmod 600。否则WebSEAL进程将无法读取它 对于步骤3,您需要编辑/etc/krb5/krb5.conf并配置KDC、AD领域和本地DNS名称。您可以使用mkkrb5clnt实用程序来帮助: config.krb5-r AD-DOMAIN.ORG-c AD-DOMAIN.ORG-s AD-DOMAIN.ORG-d AD-DOMAIN 编辑krb5.conf并更改:
[libdefaults]
default_tkt_enctypes = des-cbc-md5 des-cbc-crc
default_tgs_enctypes = des-cbc-md5 des-cbc-crc
[spnego]
spnego-auth = https
[authentication-mechanisms]
kerberosv5 = /opt/PolicyDirector/lib/libstliauthn.so
从我的笔记中可以看出,您可以使用infocenter文章中的以下内容测试Kerberos配置:
/usr/krb5/bin/kinitwebseal@AD-DOMAIN.ORG
输入WebSEAL用户的密码,然后使用klist进行检查
对于步骤4,只需编辑WebSEAL配置文件并更改:
[libdefaults]
default_tkt_enctypes = des-cbc-md5 des-cbc-crc
default_tgs_enctypes = des-cbc-md5 des-cbc-crc
[spnego]
spnego-auth = https
[authentication-mechanisms]
kerberosv5 = /opt/PolicyDirector/lib/libstliauthn.so
如果您的客户端配置正确,只要他们的AD帐户名与TAM帐户名匹配,它就可以工作。当映射到TAM用户时,您还可以让WebSEAL在@DOMAIN.ORG前面加上前缀,如果您要为SSO设置多个域,这将非常方便。但是,您必须拥有TAM帐户user@domain.org在要映射到的目录中
您可以通过修改WebSEAL配置文件中的[authentication level]部分来指定SPNEGO的身份验证级别。该级别将为level=kerberosv5
祝你好运,要有耐心。在Linux机器上安装Kerberos客户端是最困难的部分。当它需要大写DNS域名、小写DNS域名或普通广告域名时,这有点棘手。这个问题应该在superuser.com上提出,而不是在这里,因为它与编程无关。无论如何,你需要提供更多的信息。用户是否登录到redhat服务器上的shell?或者他们是否登录到windows并希望将windows登录传递到redhat计算机上运行的web服务器?windows用户是否在域中?他们正在使用Kerberos吗?他们使用哪种浏览器?就目前而言,回答你的问题是不可能的。