5.8.3. Configurer JBoss Negociation sur un domaine Microsoft Windows.

Cette section décrit comment configurer les comptes requis par JBoss Negociation à utiliser quand JBoss EAP doit exécuter sur un serveur Microsoft Windows, faisant partie du domaine Active Directory.
Dans cette section, le nom d'hôte utilisé pour accéder au serveur dénommé {hostname}, {realm}, le domaine {domain} et le serveur hébergeant l'instance de JBoss EAP est dénommé {machine_name}.

Procédure 5.6. Configurer JBoss Negociation sur un domaine Microsoft Windows.

  1. Supprimer les mappages principaux du service existant

    Dans un réseau Microsoft Windows, certains mappages sont créés automatiquement. Supprimez les mappages créés automatiquement pour mapper l'identité du serveur avec le service principal pour que la négociation se déroule correctement. Le mappage permet au navigateur web de l'ordinateur client de faire confiance au serveur et d'essayez SPNEGO. L'ordinateur client vérifie avec le contrôleur de domaine un mappage de la forme HTTP {hostname}
    Voici les étapes nécessaires pour supprimer les mappages existants :
    • Lister les mappages enregistrés dans le domaine de l'ordinateur qui utilise la commande setspn -L {machine_name}.
    • Supprimer les mappages existants par les commandes, setspn -D HTTP/{hostname} {machine_name} et setspn -D host/{hostname} {machine_name}.
  2. Créer un compte d'utilisateur hôte.

    Note

    Veillez à ce que le nom d'utilisateur hôte soit différent de {machine_name}.
    Dans le reste de la section, le nom d'utilisateur hôte est {user_name}.
  3. Définir le mappage entre {user_name} et {hostname}.

    • Exécuter la commande suivante pour configurer le mappage pricipal du service, ktpass -princ HTTP/{hostname}@{realm} -pass * -mapuser {domain}\{user_name}.
    • Saisir le mot de passe du nom d'utilisateur quand vous y serez invité.

      Note

      Réinitialiser le mot de passe de l'utilisateur comme prérequis d'exportation du keytab.
    • Vérifier le mappage en exécutant la commande suivante, setspn -L {user_name}
  4. Exporter le keytab de l'utilisateur dans le serveur sur lequel EAP est installé.

    Exécuter la commande suivante pour exporter le keytab, ktab -k service.keytab -a HTTP/{hostname}@{realm}.

    Note

    Cette commande exporte le ticket duHTTP/{hostname} principal dans le fichier keytab service.keytab, qui est utilisé pour configurer le domaine de sécurité hôte sur JBoss.
  5. Définir le principal dans le domaine de sécurité comme suit :
    <module-option name="principal">HTTP/{hostname}@{realm}</module-option>