我需要在我的redhat環境中啓用SSO。我需要知道哪些rpms需要安裝。 相信這是配置AD以支持WebSeal實例的單點登錄的情況。我正在安裝WebSeal 6.1(Tivoli Access Manager WebSeal 6.1)。在redhat上啓用SSO環境
我對此沒有任何認識。任何人都可以告訴我並幫助我在這裏如何繼續以及應採取哪些措施。先決條件是什麼?
我需要在我的redhat環境中啓用SSO。我需要知道哪些rpms需要安裝。 相信這是配置AD以支持WebSeal實例的單點登錄的情況。我正在安裝WebSeal 6.1(Tivoli Access Manager WebSeal 6.1)。在redhat上啓用SSO環境
我對此沒有任何認識。任何人都可以告訴我並幫助我在這裏如何繼續以及應採取哪些措施。先決條件是什麼?
有IBM的信息中心良好的書面記錄如何做到這一點:
TAM 6.0:
TAM 6.1.1:
SAM 7.0 :
你必須:
啓用SPNEGO下面是我的一些注意事項,可以幫助。不過,我強烈建議您按照信息中心網站上的說明進行操作,因爲它們幾乎是正確的。
對於步驟1,在linux_i386
目錄中,使用安裝IBM Kerberos客戶端:
轉-i IBMkrb5-客戶1.4.0.2-1.i386.rpm
對於步驟2,ktpass命令將您的廣告控制器看起來應該像上運行:
的ktpass -princ HTTP/[email protected] -pass NEW_PASSWORD -mapuser WEBSEAL_SERVER_NAME_N OTFQDN退房手續C:\ WEBSEAL_SERVER_NAME_NOTFQD_HTTP.keytab -mapOp設置
轉讓該密鑰表文件到您的Linux服務器。
還要確保Linux服務器上的keytab文件是chown ivmgr.ivmgr; chmod 600.否則,WebSEAL進程將無法讀取它。
對於第3步,您需要編輯/etc/krb5/krb5.conf
並配置KDC,AD領域和本地DNS名稱。您可以使用mkkrb5clnt
實用程序來解決此問題:
config.krb5 -r AD-DOMAIN.ORG -c ad-domain.org -s ad-domain。組織-d AD域
編輯krb5.conf
和變化:
[libdefaults]
default_tkt_enctypes = des-cbc-md5 des-cbc-crc
default_tgs_enctypes = des-cbc-md5 des-cbc-crc
從我的筆記,我就可以測試使用Kerberos配置(這是所有記錄在信息中心文章):
在/ usr/KRB5 /斌/的kinit [email protected]
輸入passwor d用於WebSEAL用戶,然後使用klist
來檢查事情。
第4步,只需編輯WebSEAL配置文件,並更改:
[spnego]
spnego-auth = https
[authentication-mechanisms]
kerberosv5 = /opt/PolicyDirector/lib/libstliauthn.so
如果你是客戶端的配置正確,只要他們的AD帳戶名的TAM帳戶名稱,然後它會工作相匹配。你也可以擁有的WebSEAL前面加上@ DOMAIN.ORG當映射到一個TAM用戶,這是方便,如果你將擁有多個域設置爲SSO。但是,您必須在目錄中使用[email protected]將TAM帳戶映射到。
您可以指定身份驗證級別SPNEGO通過修改的WebSEAL配置文件中的[authentication-levels]
部分用武之地。這一水平將是level = kerberosv5
祝你好運,有耐心。在Linux上獲取Kerberos客戶端設置是最困難的部分。這是一個有點棘手,當它想資本DNS域名,小寫DNS域名,或只是普通的香草AD域名。
這個問題應該問上superuser.com,而不是在這裏,因爲它不是關於節目。無論如何,你需要提供更多的信息。用戶是否登錄到紅帽服務器上的shell?還是他們登錄到Windows,並想通過Windows登錄到紅帽機器上運行的Web服務器?域用戶是否是Windows用戶?他們使用Kerberos嗎?他們使用哪個瀏覽器?就目前而言,回答你的問題是不可能的。 –