Значения фильтра Web-идентификации SPNEGO

Значения фильтра Web-идентификации механизма Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) управляют различными аспектами работы SPNEGO. На этой странице для каждого сервера приложений можно указать разные значения фильтра.

Для просмотра страницы административной консоли выберите Защита > Глобальная защита. В разделе Идентификация разверните Web и SIP защиту и выберите Web-идентификация SPNEGO. В фильтрах SPNEGO выберите Создать или имеющийся фильтр и измените его.

Конфигурация

Имя хоста

Указывает полное имя хоста в имени субъекта службы Kerberos (SPN), которое используется SPNEGO для установки защищенного контекста Kerberos.

Имя хоста - полная форма сетевого имени. Например, myHostname.austin.ibm.com.

SPN Kerberos - это строка следующего формата:HTTP/<полное имя хоста>@KERBEROS_REALM . Полный SPN применяется провайдером SPNEGO вместе с Java Generic Security Service (JGSS) с целью получения разрешений и контекста защиты для предоставления прав доступа.

Тип данных:

Строка

Имя области Kerberos

Задает имя области Kerberos. В большинстве случаев область - это имя домена, состоящее из букв в верхнем регистре. Например, для системы с именем домена test.austin.ibm.com имя области Kerberos обычно выглядит как AUSTIN.IBM.COM.

Если пользователь не укажет имя области Kerberos, будет использован стандартная область, определенная в файле конфигурации Kerberos.

Критерии фильтрации

Критерий фильтрации для класса Java, который используется SPNEGO.

Класс реализации по умолчанию com.ibm.ws.security.spnego.HTTPHeaderFilter использует это свойство для определения набора правил выбора, описывающих условиями, с помощью которых проверяются заголовки запроса HTTP для определения необходимости применения идентификации SPNEGO.

Каждое условие определяется как пара ключ-значение. В качестве разделителя условий применяется точка с запятой. Условия проверяются в порядке слева направо. Если все условия выполнены, то запрос HTTP подлежит идентификации SPNEGO.

Ключ и значения разделяются операторами, указывающими на проверяемое условие. Ключ определяет извлекаемый заголовок запроса HTTP; полученное значение сравнивается со значением из условие с помощью указанного оператора. Если заданный заголовок отсутствует в запросе HTTP, то условие не выполняется.

В качестве ключей можно использовать любые стандартные заголовки запросов HTTP. Список допустимых заголовков можно просмотреть в спецификации протокола HTTP. Кроме того, доступны два ключа, предназначенные для извлечения информации из запроса, которые можно использовать в качестве критерия выбора (не поддерживаются в стандартных заголовках запросов HTTP). Ключ remote-address выполняет роль псевдозаголовка для извлечения удаленного адреса TCP/IP приложения-клиента, отправившего запрос HTTP. Ключ request-URL выполняет роль псевдозаголовка для извлечения URL, с помощью которого приложение-клиент отправило запрос. Перехватчик использует результат операции getRequestURL и интерфейсе javax.servlet.http.HttpServletRequest для составления адреса. Если строка запроса указана, то дополнительно применяется результат операции getQueryString из того же интерфейса. В этом случае полный URL составляется следующим образом:

String url = request.getRequestURL() + ‘?’ + request.getQueryString();

Ниже перечислены определенные операторы и условия:

Табл. 1. Операторы и условия фильтрации

Условие	Оператор	Пример
Точное совпадение	= = Проверяется равенство аргументов.	host=host.my.company.com
Частичное совпадение (включает)	%= Проверяется частичное совпадение аргументов.	user-agent%=IE 6
Частичное совпадение (включает один из нескольких)	^= Проверяется частичное совпадение одного из нескольких аргументов.	request-url^=webApp1|webApp2|webApp3
Не равно	!= Проверяется неравенство аргументов.	request-url!=noSPNEGO
Больше	> Проверяется, является ли один аргумент больше другого.	remote-address>192.168.255.130
Меньше	< Проверяется, является ли один аргумент меньше другого.	remote-address<192.168.255.135

Тип данных:

Строка

Класс фильтра

Указывает имя класса Java, применяемого SPNEGO для выбора запросов HTTP, подлежащих идентификации SPNEGO. Если этот параметр не указан, используется класс фильтра по умолчанию, com.ibm.ws.security.spnego.HTTPHeaderFilter.

Тип данных:

Строка

URL ошибочной страницы, неподдерживаемой SPNEGO

Это необязательное поле. В нем указывается URL ресурса, содержащего данные, добавляемые SPNEGO в ответ HTTP, отображаемый клиентским приложением браузера, если это приложение не поддерживает идентификацию SPNEGO.

В свойстве можно указать как веб-ресурс (http://), так и файл (file://).

Если свойство не указано или перехватчик не смог найти указанный ресурс, используется следующее содержимое:

<html><head><title>Идентификация SPNEGO не поддерживается</title></head>
<body>Для этого клиента не поддерживается идентификация SPNEGO</body></html>;

Тип данных:

Строка

URL ошибочной полученной страницы маркера NTLM

Это обязательное свойство. Указывается URL ресурса, содержащего данные, добавляемые SPNEGO в ответ HTTP, отображаемый в клиентском приложении браузера.

Клиентское приложение браузера отображает этот ответ HTTP, когда клиент браузера отправляет маркер NT LAN manager (NTLM) вместо ожидаемого маркера SPNEGO в ходе согласования вызов-ответ.

Если это свойство не задано или перехватчик не сможет найти указанный ресурс, то применяется следующее содержимое:

<html><head><title>Получен маркер NTLM.</title></head>
<body>Конфигурация браузера не содержит ошибок, но вы не вошли в поддерживаемый
Домен Microsoft(R) Windows(R).
<p>Войдите в систему приложения с обычной страницы входа.</html>

Тип данных:

Строка

Включить делегирование идентификационных данных Kerberos

Указывает, должны ли делегированные идентификационные данные Kerberos сохраняться SPNEGO. Это свойство также позволяет приложению извлечь сохраненные идентификационные данные и разослать их другим приложениям для дополнительной идентификации SPNEGO.

Этот параметр требует использования функции дополнительного делегирования одноразового разрешения Kerberos и разработки пользовательской логики разработчика приложений. Разработчик должен взаимодействовать непосредственно со службой выдачи ключей Kerberos (TGS) для получения начального паспорта (TGT) с помощью разрешений Kerberos, переданных от имени пользователя, отправившего запрос. Кроме того, разработчик должен создать паспорт SPNEGO Kerberos и добавить его в запрос HTTP для продолжения идентификации SPNEGO по течению, включая дополнительное согласование Вызов-Ответ SPNEGO.

По умолчанию:

Выключен

Извлечение области Kerberos из имени субъекта

Это необязательное поле. Указывает, следует ли SPNEGO удалять суффикс имени субъекта, начинающийся с символа @ и содержащий имя области Kerberos. Если атрибут установлен в true, то суффикс имени пользователя субъекта удаляется. Если же атрибут установлен в false, суффикс имени субъекта остается целиком. Значение по умолчанию - true.

По умолчанию:

Выключен

Ссылки, помеченные как (в сети), требуют подключения к Internet.