Valores del filtro de autenticación web SPNEGO

Los valores del filtro de autenticación SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlan diferentes aspectos de SPNEGO. Utilice esta página para especificar valores de filtro distintos para cada servidor de aplicaciones.

Para ver esta página de la consola administrativa, pulse Seguridad > Seguridad global. En Autenticación, expanda Seguridad Web y SIP y, a continuación, pulse Autenticación web SPNEGO. En Filtros SPNEGO, pulse Nuevo o seleccione un filtro para editarlo.

Pestaña Configuración

Nombre de host

Especifica el nombre de host totalmente calificado del nombre de principal de servicio (SPN) de Kerberos que utiliza SPNEGO para establecer un contexto seguro de Kerberos.

El nombre de host es la forma totalmente calificada del nombre de host. Por ejemplo, myHostname.austin.ibm.com.

El nombre principal del servicio (SPN) de Kerberos es una serie con el formato HTTP/<nombre de host completo>@KERBEROS_REALM . El proveedor SPNEGO utiliza el SPN completo con el Java Generic Security Service (JGSS) para obtener la credencial de seguridad y el contexto de seguridad que se utilizan en el proceso de autenticación.

Tipo de datos: Serie
Nombre de reino Kerberos

Especifica el nombre del reino Kerberos. En la mayoría de los casos, el reino es el nombre de dominio en letras mayúsculas. Por ejemplo, una máquina con el nombre de dominio de test.austin.ibm.com generalmente tendrá un nombre de reino Kerberos de AUSTIN.IBM.COM.

Si no especifica el nombre de reino Kerberos, se utiliza el reino predeterminado que se define en el archivo de configuración de Kerberos.

Criterio de filtro

Criterio de filtrado que utiliza la clase Java que a su vez utiliza SPNEGO.

La clase de implementación com.ibm.ws.security.spnego.HTTPHeaderFilter predeterminada utiliza esta propiedad para definir una lista de reglas de selección que representa las condiciones que se hacen coincidir con las cabeceras de las solicitudes HTTP para determinar si la solicitud se ha seleccionado o no para la autenticación SPNEGO.

Cada condición se especifica con un par de clave y valor, separadas entres sí por un signo de punto y coma. Las condiciones se evalúan de izquierda a derecha, a medida que se muestran en la propiedad especificada. Si se cumplen todas las condiciones, se selecciona la solicitud HTTP para la autenticación SPNEGO.

La clave y el valor del par de clave y valor se separan mediante un operador que define la condición que se ha seleccionado. La clave identifica una cabecera de solicitud HTTP para extraerla de la solicitud y comparar su valor con el valor especificado en el par de clave y valor según la especificación del operador. Si la cabecera identificada mediante la clave no está presente en la solicitud HTTP, se considera que no se cumple con la condición.

Cualquiera de las cabeceras de la solicitud HTTP estándar se puede utilizar como la clave de los pares de clave y valor. Consulte la especificación HTTP para obtener la lista de cabeceras válidas. Asimismo, se definen dos claves para extraer la información de la solicitud, también resulta útil como un criterio de selección que no está disponible a través de las cabeceras de las solicitudes HTTP estándar. La clave de dirección remota se utiliza como una pseudocabecera para recuperar la dirección TCP/IP remota de la aplicación cliente que ha enviado la solicitud HTTP. La clave del URL de solicitud se utiliza como un pseudocabecera para recupera el URL que utiliza la aplicación cliente que ha realizado la solicitud. El interceptor utiliza el resultado de la operación getRequestURL en la interfaz javax.servlet.http.HttpServletRequest para crear la dirección web. Si hay una serie de consulta presente, se utiliza también el resultado de la operación getQueryString en la misma interfaz. En este caso, el URL completo se crea del modo siguiente:
String url = request.getRequestURL() + ‘?’ + request.getQueryString();
Se definen los siguientes operadores y condiciones:
Tabla 1. Condiciones y operaciones de filtro
Condición Operador Ejemplo
Coincidencia exacta = =

Los argumentos se comparan como iguales.

host=host.my.company.com
Coincidencia parcial (inclusiones) %=

Los argumentos se comparan con una coincidencia parcial que es válida.

user-agent%=IE 6
Coincidencia parcial (incluye una de muchas) ^=

Los argumentos se comparan con una coincidencia parcial que es válida para uno de los muchos argumentos especificados.

request-url^=webApp1|webApp2|webApp3
Sin coincidencia !=

Los argumentos se comparan como no iguales.

request-url!=noSPNEGO
Mayor que >

Los argumentos se comparan lexográficamente como mayor que.

remote-address>192.168.255.130
Menor que <

Los argumentos se comparan lexográficamente como menor que.

remote-address<192.168.255.135
Tipo de datos: Serie
Clase de filtro

Especifica el nombre de la clase Java que utilizará SPNEGO para seleccionar qué solicitudes HTTP están sujetas a la autenticación SPNEGO. Si no especifica este parámetro, se utiliza la clase de filtro predeterminada com.ibm.ws.security.spnego.HTTPHeaderFilter.

Tipo de datos: Serie
URL de la página de error de SPNEGO no soportado

Esta selección es opcional. Especifica el URL de un recurso que incluye el contenido que SPNEGO incluye en la respuesta HTTP que es visualizada por la aplicación cliente de navegador si no soporta la autenticación SPNEGO.

Esta propiedad puede especificar un recurso web (http://) o un recurso de archivo (archivo://).

Si no se especifica esta propiedad, o si el interceptor no puede encontrar el recurso especificado, se utiliza el contenido siguiente:
<html><head><title>La autenticación SPNEGO no se soporta</title></head>
<body>La autenticación SPNEGO no se soporta en este cliente</body></html>;
Tipo de datos: Serie
URL de la página de error de recepción de señal NTLM

Esta propiedad es opcional. Especifica el URL de un recurso que contiene el contenido que SPNEGO incluye en la respuesta HTTP, que es visualizada por la aplicación cliente de navegador.

La aplicación cliente de navegador muestra esta respuesta HTTP cuando el cliente de navegador envía una señal de gestor de LAN NT (NTLM) en lugar de la señal de SPNEGO esperada durante el reconocimiento de respuesta-desafío.

Si no se especifica esta propiedad o si el interceptor no puede encontrar el recurso especificado, se utiliza el contenido siguiente:
<html><head><title>Se ha recibido una señal NTLM.</title></head>
<body>La configuración del navegador es correcta pero no ha iniciado la sesión en un dominio
Microsoft(R) Windows(R) Domain soportado.
<p>Inicie la sesión en la aplicación utilizando la página de inicio de sesión normal.</html>
Tipo de datos: Serie
Habilitar la delegación de credenciales Kerberos

Especifica si SPNEGO debe almacenar las credenciales delegadas de Kerberos. También permite a una aplicación recuperar las credenciales almacenadas y propagarlas a otras aplicaciones en sentido descendente para una autenticación SPNEGO adicional.

Esta opción requiere el uso de la característica de delegación de credenciales Kerberos avanzada y el desarrollo de lógica personalizada por el desarrollador de aplicaciones. El desarrollador debe interactuar directamente con TGS (Ticket Granting Service) de Kerberos para obtener un TGT (Ticket Granting Ticket) utilizando las credenciales delegadas de Kerberos en nombre del usuario final que ha originado la solicitud. El desarrollador debe construir también la señal SPNEGO de Kerberos apropiado e incluirlo en la solicitud HTTP para continuar el proceso de autenticación SPNEGO en sentido descendente incluido el intercambio adicional de respuestas y desafíos de SPNEGO, si es necesario.

Valor predeterminado: Inhabilitado
Recortar el reino Kerberos del nombre de principal

Esta selección es opcional. Especifica si SPNEGO elimina el sufijo del nombre de usuario principal, empezando desde el símbolo @ que precede al nombre de reino Kerberos. Si este atributo se establece en true, el sufijo del nombre de usuario del principal se eliminará. Si este atributo se establece en false, se mantiene el sufijo del nombre principal. El valor predeterminado utilizado es true.

Valor predeterminado: Inhabilitado



Los enlaces marcados (en línea) requieren acceso a Internet.

Referencia relacionada


Nombre de fichero: usec_kerb_SPNEGO_edit.html