Povolení webového ověřování SPNEGO

Jako webového ověřovatele pro server WebSphere Application Server můžete povolit mechanismus jednoduchého chráněného vyjednávání GSS-API (SPNEGO).

Webové ověřování SPNEGO zajišťuje jednotné přihlášení typu klient/server pomocí vyjednávání použití tokenů SPNEGO.

Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení. V části Ověřování rozbalte kategorii Webové zabezpečení a zabezpečení SIP a klepněte na volbu Webové ověřování SPNEGO.

Karta Konfigurace

Povolit mechanismus SPNEGO

Určuje mechanismus SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) jako prostředek webového ověřování pro aplikační server.

Výchozí hodnota: Zakázáno
Dynamicky aktualizovat modul SPNEGO

Umožňuje dynamicky aktualizovat běhovou komponentu SPNEGO při změnách SPNEGO bez nutnosti restartování aplikačního serveru.

Poznámka: Tato volba je znepřístupněna, není-li vybrána volba Povolit protokol SPNEGO.
Výchozí hodnota: Povoleno
Povolit návrat k mechanismu ověřování aplikace

Určuje, že jako první je pro přihlášení k serveru WebSphere Application Server nejprve použit mechanismus SPNEGO jako webový ověřovatel. Selže-li však toto přihlášení, bude pro další pokus o přihlášení k serveru WebSphere Application Server použit mechanismus ověřování aplikace.

Poznámka: Tato volba je znepřístupněna, není-li vybrána volba Povolit protokol SPNEGO.
Výchozí hodnota: Zakázáno
Úplná cesta ke konfiguračnímu souboru služby Kerberos

Název a úplná cesta konfiguračního souboru ověřování Kerberos. K vyhledání souboru klepněte na tlačítko Procházet.

Konfigurační soubor ověřování Kerberos ( krb5.conf nebo krb5.ini) obsahuje informace o konfiguraci klienta včetně umístění středisek distribuce klíčů (KDC) pro příslušnou sféru. Soubor krb5.conf se používá pro všechny platformy s výjimkou platformy Windows, pro kterou se používá soubor krb5.ini.

Datový typ: Řetězec
Název souboru tabulky klíčů Kerberos s úplnou cestou

Název a úplná cesta souboru tabulky klíčů ověřování Kerberos. K vyhledání souboru klepněte na tlačítko Procházet.

Soubor tabulky klíčů ověřování Kerberos obsahuje jeden nebo více názvů činitele služby ověřování Kerberos a klíčů. Výchozí název souboru tabulky klíčů je krb5.keytab. Je důležité, aby hostitelé chránili své soubory tabulky klíčů a uložili je na lokální disk, takže je budou moci číst pouze autorizovaní uživatelé. Podrobnější informace naleznete v části Creating a Kerberos service principal and keytab file.

Datový typ: Řetězec
Název hostitele

Název hostitele v názvu SPN používaný mechanismem SPNEGO k vytvoření zabezpečeného kontextu Kerberos.

Název hostitele je plně určený název hostitele. Příklad: myHostname.austin.ibm.com.

Hlavní název služby Kerberos (SPN) je řetězec ve formátu HTTP/<plně určený název hostitele>nazevhostitele@KERBEROS_realm. Kompletní název SPN je spolu se službou Java Generic Security Service (JGSS) používán poskytovatelem SPNEGO k získání pověření zabezpečení a kontextu zabezpečení v procesu ověření.

Datový typ: Řetězec
Název sféry Kerberos

Název sféry Kerberos. Ve většině případů je názvem sféry název domény zapsaný velkými písmeny. Počítači s názvem domény test.austin.ibm.com by za normálních okolností odpovídal název domény ověřování Kerberos AUSTIN.IBM.COM.

Datový typ: Řetězec
Kritéria filtru

Parametr filtrování používaný třídou prostředí Java, která je používána mechanismem SPNEGO.

Výchozí implementační třída com.ibm.ws.security.spnego.HTTPHeaderFilter používá tuto vlastnost k definování seznamu pravidel pro výběr, která představují podmínky, pro něž se zjišťuje shoda se záhlavími požadavků HTTP a určuje se, zda je příslušný požadavek HTTP vybrán pro ověřování SPNEGO či nikoli.

Každá podmínka je určena dvojicí klíč-hodnota. Dvojice jsou vzájemně odděleny středníkem. Podmínky jsou vyhodnocovány zleva doprava v pořadí, v jakém jsou zobrazeny v rámci určené vlastnosti. Jsou-li splněny všechny podmínky, je požadavek HTTP vybrán pro ověřování SPNEGO.

Klíč a hodnota ve dvojici klíč-hodnota jsou odděleny operátorem, který definuje ověřovanou podmínku. Klíč identifikuje záhlaví požadavku HTTP, které má být extrahováno z požadavku; tato hodnota je porovnána s hodnotou určenou ve dvojici klíč-hodnota podle určeného operátoru. Není-li záhlaví určené klíčem obsaženo v požadavku HTTP, je podmínka považována za nesplněnou.

Jako klíč v páru klíč-hodnota může být použito kterékoli standardní záhlaví požadavku HTTP. Seznam platných záhlaví lze najít ve specifikaci protokolu HTTP. Kromě toho jsou za účelem extrakce informací z požadavku definovány dva klíče, užitečné také jako kritéria výběru, která nejsou prostřednictvím standardních záhlaví požadavků HTTP dostupná. Klíč vzdálené adresy slouží jako falešné záhlaví pro načtení vzdálené adresy TCP/IP klientské aplikace, která odeslala požadavek HTTP. Klíč adresy URL požadavku slouží jako falešné záhlaví pro načtení adresy URL, která je použita klientskou aplikací pro vytvoření požadavku. Zachytávač pomocí výsledku operace getRequestURL v rozhraní javax.servlet.http.HttpServletRequest vytvoří webovou adresu. Při zadání řetězce dotazu je použit také výsledek operace getQueryString ve stejném rozhraní. V tomto případě je úplná adresa URL vytvořena následujícím způsobem:
String url = request.getRequestURL() + ‘?’ + request.getQueryString();
Jsou definovány následující operátory a podmínky:
Tabulka 1. Operace a podmínky filtrů
Podmínka Operátor Příklad
Přesná shoda = =

Argumenty jsou porovnány s ohledem na shodu.

host=host.my.company.com
Částečná shoda (obsaženo) %=

Při porovnání argumentů platí částečná shoda.

user-agent%=IE 6
Částečná shoda (obsaženo v jednom z více argumentů) ^=

Při porovnání argumentů platí částečná shoda u jednoho z více argumentů.

request-url^=webApp1|webApp2|webApp3
Bez shody !=

Argumenty jsou porovnávány s ohledem na absenci shody.

request-url!=noSPNEGO
Větší než >

Argumenty jsou porovnány lexograficky podle relace větší než.

remote-address>192.168.255.130
Menší než <

Argumenty jsou porovnány lexograficky podle relace menší než.

remote-address<192.168.255.135
Datový typ: Řetězec



Odkazy s označením (online) vyžadují přístup k Internetu.

Související odkazy


Název souboru: usec_kerb_SPNEGO_config.html