Jako webového ověřovatele pro server WebSphere Application Server můžete povolit mechanismus jednoduchého chráněného vyjednávání GSS-API (SPNEGO).
Webové ověřování SPNEGO zajišťuje jednotné přihlášení typu klient/server pomocí vyjednávání použití tokenů SPNEGO.
Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení. V části Ověřování rozbalte kategorii Webové zabezpečení a zabezpečení SIP a klepněte na volbu Webové ověřování SPNEGO.
Určuje mechanismus SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) jako prostředek webového ověřování pro aplikační server.
Výchozí hodnota: | Zakázáno |
Umožňuje dynamicky aktualizovat běhovou komponentu SPNEGO při změnách SPNEGO bez nutnosti restartování aplikačního serveru.
Výchozí hodnota: | Povoleno |
Určuje, že jako první je pro přihlášení k serveru WebSphere Application Server nejprve použit mechanismus SPNEGO jako webový ověřovatel. Selže-li však toto přihlášení, bude pro další pokus o přihlášení k serveru WebSphere Application Server použit mechanismus ověřování aplikace.
Výchozí hodnota: | Zakázáno |
Název a úplná cesta konfiguračního souboru ověřování Kerberos. K vyhledání souboru klepněte na tlačítko Procházet.
Konfigurační soubor ověřování Kerberos ( krb5.conf nebo krb5.ini) obsahuje informace o konfiguraci klienta včetně umístění středisek distribuce klíčů (KDC) pro příslušnou sféru. Soubor krb5.conf se používá pro všechny platformy s výjimkou platformy Windows, pro kterou se používá soubor krb5.ini.
Datový typ: | Řetězec |
Název a úplná cesta souboru tabulky klíčů ověřování Kerberos. K vyhledání souboru klepněte na tlačítko Procházet.
Soubor tabulky klíčů ověřování Kerberos obsahuje jeden nebo více názvů činitele služby ověřování Kerberos a klíčů. Výchozí název souboru tabulky klíčů je krb5.keytab. Je důležité, aby hostitelé chránili své soubory tabulky klíčů a uložili je na lokální disk, takže je budou moci číst pouze autorizovaní uživatelé. Podrobnější informace naleznete v části Creating a Kerberos service principal and keytab file.
Datový typ: | Řetězec |
Název hostitele v názvu SPN používaný mechanismem SPNEGO k vytvoření zabezpečeného kontextu Kerberos.
Název hostitele je plně určený název hostitele. Příklad: myHostname.austin.ibm.com.
Hlavní název služby Kerberos (SPN) je řetězec ve formátu HTTP/<plně určený název hostitele>nazevhostitele@KERBEROS_realm. Kompletní název SPN je spolu se službou Java Generic Security Service (JGSS) používán poskytovatelem SPNEGO k získání pověření zabezpečení a kontextu zabezpečení v procesu ověření.
Datový typ: | Řetězec |
Název sféry Kerberos. Ve většině případů je názvem sféry název domény zapsaný velkými písmeny. Počítači s názvem domény test.austin.ibm.com by za normálních okolností odpovídal název domény ověřování Kerberos AUSTIN.IBM.COM.
Datový typ: | Řetězec |
Parametr filtrování používaný třídou prostředí Java, která je používána mechanismem SPNEGO.
Výchozí implementační třída com.ibm.ws.security.spnego.HTTPHeaderFilter používá tuto vlastnost k definování seznamu pravidel pro výběr, která představují podmínky, pro něž se zjišťuje shoda se záhlavími požadavků HTTP a určuje se, zda je příslušný požadavek HTTP vybrán pro ověřování SPNEGO či nikoli.
Každá podmínka je určena dvojicí klíč-hodnota. Dvojice jsou vzájemně odděleny středníkem. Podmínky jsou vyhodnocovány zleva doprava v pořadí, v jakém jsou zobrazeny v rámci určené vlastnosti. Jsou-li splněny všechny podmínky, je požadavek HTTP vybrán pro ověřování SPNEGO.
Klíč a hodnota ve dvojici klíč-hodnota jsou odděleny operátorem, který definuje ověřovanou podmínku. Klíč identifikuje záhlaví požadavku HTTP, které má být extrahováno z požadavku; tato hodnota je porovnána s hodnotou určenou ve dvojici klíč-hodnota podle určeného operátoru. Není-li záhlaví určené klíčem obsaženo v požadavku HTTP, je podmínka považována za nesplněnou.
String url = request.getRequestURL() + ‘?’ + request.getQueryString();
Podmínka | Operátor | Příklad |
---|---|---|
Přesná shoda | = = Argumenty jsou porovnány s ohledem na shodu. |
host=host.my.company.com |
Částečná shoda (obsaženo) | %= Při porovnání argumentů platí částečná shoda. |
user-agent%=IE 6 |
Částečná shoda (obsaženo v jednom z více argumentů) | ^= Při porovnání argumentů platí částečná shoda u jednoho z více argumentů. |
request-url^=webApp1|webApp2|webApp3 |
Bez shody | != Argumenty jsou porovnávány s ohledem na absenci shody. |
request-url!=noSPNEGO |
Větší než | > Argumenty jsou porovnány lexograficky podle relace větší než. |
remote-address>192.168.255.130 |
Menší než | < Argumenty jsou porovnány lexograficky podle relace menší než. |
remote-address<192.168.255.135 |
Datový typ: | Řetězec |
Odkazy s označením (online) vyžadují přístup k Internetu.