Мне нужно включить SSO в моей среде redhat. Мне нужно знать, какой rpms требуется для установки. считают, что это случай настройки AD для поддержки единого входа в экземпляр WebSeal. Я устанавливаю WebSeal 6.1 (Tivoli Access Manager WebSeal 6.1).Включить SSO на redhat Environment
У меня нет знаний относительно этого. Может кто-нибудь известить меня и помочь мне здесь, как действовать и какие шаги следует предпринять. Какими должны быть предпосылки?
Существует хорошая рецензия на ИнфоЦентр IBM, о том, как это сделать:
ТАМ 6.0:
ТАМ 6.1.1:
SAM 7,0 :
Вы должны:
Вот некоторые из моих записей, которые могут помочь. Тем не менее, я бы настоятельно рекомендовал следовать инструкциям на сайте InfoCenter, поскольку они почти правы.
На шаге 1, в каталоге linux_i386, установить клиент IBM Kerberos с помощью:
обороты -i IBMkrb5-клиент-1.4.0.2-1.i386.rpm
На шаге 2, то Ktpass команда запускается на контроллере AD должен выглядеть примерно так:
Ktpass -princ HTTP/[email protected] -pass new_password -mapuser WEBSEAL_SERVER_NAME_N OTFQDN отъезда C: \ WEBSEAL_SERVER_NAME_NOTFQD_HTTP.keytab -mapOp набор
Transfer, что Keytab файл на сервер Linux.
Также убедитесь, что файл keytab на сервере Linux chown ivmgr.ivmgr; chmod 600. В противном случае процесс WebSEAL не сможет его прочитать.
Для шага 3 вам нужно будет отредактировать /etc/krb5/krb5.conf и настроить область KDC, AD и локальное DNS-имя. Вы можете использовать утилиту mkkrb5clnt, чтобы помочь с этим:
config.krb5 -r -c AD-DOMAIN.ORG ad-domain.org -s ад-домен.орг -d AD-DOMAIN
Редактировать krb5.conf и изменение:
[libdefaults]
default_tkt_enctypes = des-cbc-md5 des-cbc-crc
default_tgs_enctypes = des-cbc-md5 des-cbc-crc
Из моих заметок, я имел вы можете проверить конфигурацию Kerberos с помощью (это все документально на Инфотека статьи):
/USR/krb5/бен/Kinit [email protected]
Введите passwor d для пользователя WebSEAL, затем используйте klist для проверки.
На шаге 4, просто отредактируйте файл конфигурации WebSEAL и изменения:
[spnego]
spnego-auth = https
[authentication-mechanisms]
kerberosv5 = /opt/PolicyDirector/lib/libstliauthn.so
Если клиенты настроены правильно, до тех пор, как имя его учетной записи AD соответствует их имя учетной записи ТАМ, то он будет работать. Вы также можете использовать WebSEAL для @DOMAIN.ORG при сопоставлении с пользователем TAM, что удобно, если вы собираетесь настроить несколько доменов для единого входа. Тем не менее, вы должны иметь учетные записи TAM с [email protected] в своем каталоге для сопоставления.
Вы можете указать, какой уровень доступа SPHEGO достигнут, изменив раздел [authentication-levels] в конфигурационном файле WebSEAL. Этот уровень будет level = kerberosv5
Удачи и терпения. Получение клиентской настройки Kerberos в ящике Linux было самой сложной частью. Это немного сложно, когда он хочет получить имя домена DNS DNS, нижнее регистрационное имя домена DNS или просто имя домена доменного имени ванили.
Этот вопрос следует задавать на superuser.com, а не здесь, так как речь идет не о программировании. В любом случае, вам нужно предоставить гораздо больше информации. Могут ли пользователи войти в оболочку на вашем сервере redhat? Или они регистрируются в окнах и хотят передать вход в Windows на веб-сервер, который работает на машине redhat? Являются ли пользователи Windows в домене? Используют ли они Kerberos? Какой браузер они используют? Как сейчас, на ваш вопрос просто невозможно ответить. –