Kerberos-Authentifizierung erfordert mehrere Systeme in Ihrer Landschaft, die das Ergebnis für den Benutzer transparent aushandeln.

• Web-Client

  Der Web-Client fordert einen Service oder eine Ressource vom AS Java an und authentifiziert sich am Kerberos Key Distribution Center. Benutzer verwenden z.B. einen Web-Browser als Web-Client, um auf Web-Anwendungen, die auf den AS Java laufen, zuzugreifen.

• Kerberos Key Distribution Center (KDC)

  Das SPNegoLoginModule verwendet den in Microsoft Windows 2000 und höhere Betriebssysteme integrierten Single-Sign-On-Authentifizierungsmechanismus (SSO-Authentifizierungsmechanismus). Microsoft Windows Domain Controller (DC) agiert als KDC, das Windows Integrated Authentication in einer Windows-Domäne ermöglicht. Es authentifiziert den Benutzer und stellt ein Ticket aus, das für die Kommunikation zwischen dem AS Java und dem Web-Client des Benutzers verwendet wird.

  Weitere Informationen über das Integrieren von Nicht-Windows-Serverkomponenten in die Microsoft-Kerberos-Infrastruktur finden Sie in den im Microsoft Developer Network (MSDN) unter http://msdn.microsoft.com verfügbaren Dokumenten.

• AS Java

  Der AS Java verwendet eine proprietäre API, um den ausgehandelten Sicherheitskontext vom Kerberos-Ticket-Aussteller zu erhalten, und verwendet die User Management Engine (UME), um die Identity-Management-Informationen des authentifizierten Benutzers zu ermitteln. Der AS Java gewährt Zugriff auf die Services oder Ressourcen, die der Web-Client angefragt hat.

Kerberos-Authentifizierung mit dem AS Java wurde mit folgenden Plattformen getestet:

• Java Development Kit (JDK) 5.0

• Windows-Kerberos-Umgebung:

  • Microsoft Windows Server 2000 Active Directory

  • Microsoft Windows Server 2003 Active Directory