Конфигурация Kerberos в jBoss AS 7.1

Question

Я пытаюсь настроить аутентификацию Kerberos в Jboss AS 7.1, и у меня возникают некоторые проблемы при настройке standalone.xml: Очевидно, мне нужно указать полный путь к файлу * .keytab, что не очень удобно.Я попытался сделать что-то вроде:

<module-option name="keyTab" value="${jboss.server.config.dir}/my.keytab"/>

Но похоже, что она не заменяет переменную jboss.server.config.dir на ее значение.

У кого-нибудь естьИдея, что я могу сделать?

Answer 1

глупый вопрос а ты в кластере? если да, то вместо «сервер» нужно указать «домен» jboss.domain.config.dir,

тогда не обязательно ставить keytab, вы также можете поставить pass / login.

есть несколько способов использовать SSO с jboss ...

, а затем попытайтесь указать абсолютный путь ...

, затем проверьте, находится ли JBOSS_DIR в переменных окружения ... или установлено, когда jboss запущен

Answer 2

Я предполагаю, что вы здесь * nix. Важно помнить, что keytab является : учетные данные для субъекта службы, к которому ваши клиенты будут проходить аутентификацию. Любой, кто может получить доступ к этому файлу keytab, может войти в систему под этой учетной записью, поэтому важно защитить его.

В нашей среде мы защищаем его, создавая домашний каталог для учетной записи и размещая там таблицу ключей. Таким образом, предполагая, что keytab предназначен для DOMAIN \ jboss-svc, мы регистрируем jboss-svc на машине * nix (наши машины linux присоединены к домену) и помещаем keytab в домашний каталог учетной записи службы (/ home / jboss-svc /). JBoss-svc.keytab). Тогда мы chmod 600.

Наши скрипты /etc/init.d/jboss отредактированы для запуска jboss под учетной записью jboss-svc, что означает, что jboss сможет получить безопасный доступ к таблице ключей.

С помощью этой настройки вы теперь можете настроить свой jboss для поиска таблицы ключей по адресу /home/jboss-svc/jboss-svc.keytab.