Hodnoty filtru webového ověřování SPNEGO

Hodnoty filtru webového ověřování jednoduchého mechanismu vyjednávání GSS-API (SPNEGO) řídí různé aspekty mechanismu SPNEGO. Tato stránka slouží k zadání různých hodnot filtrů pro jednotlivé aplikační servery.

Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení. V části Ověřování rozbalte kategorii Webové zabezpečení a zabezpečení SIP a klepněte na volbu Webové ověřování SPNEGO. V části Filtry SPNEGO klepněte na tlačítko Nový nebo vyberte filtr, který chcete upravit.

Karta Konfigurace

Název hostitele

Udává plně určený název hostitele v hlavním názvu služby Kerberos (SPN) používaný mechanismem SPNEGO k vytvoření zabezpečeného kontextu Kerberos.

Název hostitele je plně určená forma názvu hostitele. Příklad: myHostname.austin.ibm.com.

Název SPN ověřování Kerberos SPN je řetězec ve tvaru HTTP/název_hostitele@sféra. Kompletní název SPN je spolu se službou Java Generic Security Service (JGSS) používán poskytovatelem SPNEGO k získání pověření zabezpečení a kontextu zabezpečení v procesu ověření.

Datový typ: Řetězec
Název sféry Kerberos

Určuje název sféry ověřování Kerberos. Ve většině případů je názvem sféry název domény zapsaný velkými písmeny. Počítači s názvem domény test.austin.ibm.com by za normálních okolností odpovídal název domény ověřování Kerberos AUSTIN.IBM.COM.

Kritéria filtru

Podmínky filtrování používané třídou prostředí Java, která je používána mechanismem SPNEGO.

Výchozí implementační třída com.ibm.ws.security.spnego.HTTPHeaderFilter používá tuto vlastnost k definování seznamu pravidel pro výběr, která představují podmínky, pro něž se zjišťuje shoda se záhlavími požadavků HTTP a určuje se, zda je příslušný požadavek HTTP vybrán pro ověřování SPNEGO či nikoli.

Každá podmínka je určena dvojicí klíč-hodnota. Dvojice jsou vzájemně odděleny středníkem. Podmínky jsou vyhodnocovány zleva doprava v pořadí, v jakém jsou zobrazeny v rámci určené vlastnosti. Jsou-li splněny všechny podmínky, je požadavek HTTP vybrán pro ověřování SPNEGO.

Klíč a hodnota ve dvojici klíč-hodnota jsou odděleny operátorem, který definuje ověřovanou podmínku. Klíč identifikuje záhlaví požadavku HTTP, které má být extrahováno z požadavku; tato hodnota je porovnána s hodnotou určenou ve dvojici klíč-hodnota podle určeného operátoru. Není-li záhlaví určené klíčem obsaženo v požadavku HTTP, je podmínka považována za nesplněnou.

Jako klíč v páru klíč-hodnota může být použito kterékoli standardní záhlaví požadavku HTTP. Seznam platných záhlaví lze najít ve specifikaci protokolu HTTP. Kromě toho jsou za účelem extrakce informací z požadavku definovány dva klíče, užitečné také jako kritéria výběru, která nejsou prostřednictvím standardních záhlaví požadavků HTTP dostupná. Klíč vzdálené adresy slouží jako falešné záhlaví pro načtení vzdálené adresy TCP/IP klientské aplikace, která odeslala požadavek HTTP. Klíč adresy URL požadavku slouží jako falešné záhlaví pro načtení adresy URL, která je použita klientskou aplikací pro vytvoření požadavku. Zachytávač pomocí výsledku operace getRequestURL v rozhraní javax.servlet.http.HttpServletRequest vytvoří webovou adresu. Při zadání řetězce dotazu je použit také výsledek operace getQueryString ve stejném rozhraní. V tomto případě je úplná adresa URL vytvořena následujícím způsobem:
String url = request.getRequestURL() + ‘?’ + request.getQueryString();
Jsou definovány následující operátory a podmínky:
Tabulka 1. Operace a podmínky filtrů
Podmínka Operátor Příklad
Přesná shoda = =

Argumenty jsou porovnány s ohledem na shodu.

host=host.my.company.com
Částečná shoda (obsaženo) %=

Při porovnání argumentů platí částečná shoda.

user-agent%=IE 6
Částečná shoda (obsaženo v jednom z více argumentů) ^=

Při porovnání argumentů platí částečná shoda u jednoho z více argumentů.

request-url^=webApp1|webApp2|webApp3
Bez shody !=

Argumenty jsou porovnávány s ohledem na absenci shody.

request-url!=noSPNEGO
Větší než >

Argumenty jsou porovnány lexograficky podle relace větší než.

remote-address>192.168.255.130
Menší než <

Argumenty jsou porovnány lexograficky podle relace menší než.

remote-address<192.168.255.135
Datový typ: Řetězec
Třída filtru

Název třídy prostředí Java, která je používána mechanismem SPNEGO k výběru požadavků HTTP, pro které bude použito ověřování SPNEGO. Pokud tento parametr neurčíte, bude použita výchozí třída filtru com.ibm.ws.security.spnego.HTTPHeaderFilter.

Datový typ: Řetězec
Adresa URL chybové stránky, není-li mechanizmus SPNEGO podporován

Tato volba je volitelná. Určuje adresu URL prostředku obsahujícího obsah, který je protokolem SPNEGO vložen do odpovědi HTTP zobrazené klientskou aplikací (prohlížečem), není-li ověřování SPNEGO podporováno.

Tato vlastnost může určovat webový prostředek (http://) nebo prostředek souboru (file://).

Pokud tato vlastnost není zadána nebo pokud zachytávač nenalezl určený prostředek, bude použit následující obsah:
<html><head><title>Ověřování SPNEGO není podporováno</title></head>
<body>Ověřování SPNEGO není v tomto klientu podporováno.</body></html>;
Datový typ: Řetězec
Adresa URL chybové stránky v případě přijetí tokenu NTLM

Tato vlastnost je volitelná. Určuje adresu URL prostředku obsahujícího obsah, který je protokolem SPNEGO vložen do odpovědi HTTP zobrazené klientskou aplikací (prohlížečem).

Klientská aplikace (prohlížeč) zobrazí tuto odpověď HTTP, pokud klient prohlížeče odešle během dohodování způsobem výzva-odpověď token NTLM (NT LAN Manager).

Pokud tato vlastnost není zadána nebo pokud zachytávač nenalezl určený prostředek, bude použit následující obsah:
<html><head><title>Byl přijat token NTLM.</title></head>
<body>Konfigurace prohlížeče je správná, nejste však přihlášení k podporované
doméně Microsoft(R) Windows(R).
<p>Přihlašte se k aplikaci prostřednictvím běžné přihlašovací stránky.</html>
Datový typ: Řetězec
Povolit delegování pověření Kerberos

Určuje, zda mají být pověření delegovaná ověřováním Kerberos ukládána mechanismem SPNEGO.Zároveň povoluje aplikaci načítat uložená pověření a šířit je do dalších aplikací ve směru zpracování pro účely dalšího ověřování SPNEGO.

Tato volba vyžaduje použití funkce rozšířeného delegování pověření Kerberos a vývoj vlastní logiky vývojářem aplikace. Vývojář musí pracovat přímo se službou TGS (Ticket Granting Service) zabezpečení Kerberos a získat tiket TGT (Ticket Granting Ticket) s použitím delegovaných pověření Kerberos jako zástupce uživatele, který požadavek zadal. Vývojář musí rovněž sestavit odpovídající token SPNEGO Kerberos SPNEGO a zahrnout jej do požadavku HTTP pro pokračování procesu ověřování SPNEGO ve směru zpracování včetně zpracování další výměny SPNEGO na principu výzva-odpověď (v případě potřeby).

Výchozí hodnota: Zakázáno
Oříznutí sféry Kerberos z názvu činitele

Tato volba je volitelná. Určuje, zda má mechanismus SPNEGO odebírat příponu jména uživatele činitele počínaje znakem @ uvedeným před názvem sféry Kerberos. Je-li tento atribut nastaven na hodnotu true, bude předpona jména uživatele činitele odebrána. Je-li tento atribut nastaven na hodnotu false, bude předpona jména uživatele činitele zachována. Výchozí použitá hodnota je true.

Výchozí hodnota: Zakázáno



Odkazy s označením (online) vyžadují přístup k Internetu.

Související odkazy


Název souboru: usec_kerb_SPNEGO_edit.html