I valori del filtro di autenticazione SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controllano vari aspetti di SPNEGO. Utilizzare questa pagina per specificare valori di filtro differenti per ogni server delle applicazioni.
Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza>Sicurezza globale. In Autenticazione, espandere la Sicurezza Web e SIP e fare clic su Autenticazione Web SPNEGO. In Filtri SPNEGO, fare clic su Nuovo o selezionare un filtro da modificare.
Specifica il nome host nell'SPN (Service Principal Name) Kerberos utilizzato da SPNEGO per stabilire un contesto sicuro Kerberos.
Il nome host è la forma completa di nomehost. Esempio: myHostname.austin.ibm.com.
L'SPN Kerberos è una stringa del formato HTTP/<nome host completo>@KERBEROS_REALM . L'SPN completo viene utilizzato con JGSS (Java Generic Security Service) dal provider SPNEGO per ottenere la credenziale e il contesto di sicurezza utilizzati nel processo di autenticazione.
Tipo di dati: | String |
Specifica il nome del realm Kerberos. Nella maggior parte dei casi, l'ambito corrisponde al nome del dominio in leggere maiuscole. Ad esempio, una macchina con il nome di dominio di test.austin.ibm.com generalmente ha un nome realm Kerberos AUSTIN.IBM.COM.
Se non si specifica il nome realm Kerberos, il realm predefinito viene usato definito nel file di configurazione.
I criteri di filtro utilizzati dalla classe Java adoperata da SPNEGO.
La classe di implementazione predefinita com.ibm.ws.security.spnego.HTTPHeaderFilter utilizza questa proprietà per definire un elenco di regole di selezione che rappresentano le condizioni associate rispetto alle intestazioni delle richieste HTTP per determinare se la richiesta HTTP è selezionata o meno per l'autenticazione SPNEGO.
Ogni condizione viene specificata con una coppia chiave-valore, separata da un punto e virgola. Le condizioni vengono valutate da sinistra a destra , come visualizzate nella proprietà specificata. Se tutte le condizioni vengono soddisfatte, la richiesta HTTP viene selezionata per l'autenticazione SPNEGO.
La chiave e il valore nella coppia chiave-valore sono separati da un operatore che definisce quale condizione viene esaminata. La chiave identifica un'intestazione di richiesta HTTP da estrarre dalla richiesta e il relativo valore viene confrontato con il valore specificato nella coppia chiave-valore in base alla specifica dell'operatore. Se l'intestazione identificata dalla chiave non è presente nella richiesta HTTP, la condizione viene considerata non corrisposta.
String url = request.getRequestURL() + ‘?’ + request.getQueryString();
Condizione | Operatore | Esempio |
---|---|---|
Corrispondenza esatta | = = Gli argomenti sono confrontati come uguali. |
host=host.my.company.com |
Corrispondenza parziale (inclusioni) | %= Gli argomenti sono confrontati con una corrispondenza parziale valida. |
user-agent%=IE 6 |
Corrispondenza parziale (include uno di vari) | ^= Gli argomenti sono confrontati con una corrispondenza parziale valida per uno di vari argomenti specificati. |
request-url^=webApp1|webApp2|webApp3 |
Mancata corrispondenza | != Gli argomenti sono confrontati come non uguali. |
request-url!=noSPNEGO |
Maggiore di | > Gli argomenti sono confrontati lessograficamente come maggiori di. |
remote-address>192.168.255.130 |
Minore di | < Gli argomenti sono confrontati lessograficamente come minori di. |
remote-address<192.168.255.135 |
Tipo di dati: | String |
Specifica il nome della classe Java utilizzata da SPNEGO per selezionare le richieste HTTP soggette all'autenticazione SPNEGO. Se questo parametro non viene specificato, viene utilizzata la classe filtro predefinita, com.ibm.ws.security.spnego.HTTPHeaderFilter.
Tipo di dati: | String |
Questa scelta è facoltativa. Specifica l'URL di una risorsa che racchiude il contenuto incluso da SPNEGO nella risposta HTTP visualizzata dall'applicazione client browser se non supporta l'autenticazione SPNEGO.
Questa proprietà può specificare una risorsa Web (http://) o un file (file://).
<html><head><title>SPNEGO authentication is not supported</title></head> <body>SPNEGO authentication is not supported on this client</body></html>;
Tipo di dati: | String |
Questa proprietà è facoltativa. Specifica l'URL di una risorsa che racchiude il contenuto incluso da SPNEGO nella risposta HTTP visualizzata dall'applicazione client browser.
L'applicazione client browser visualizza questa risposta HTTP quando il client del browser invia un token NTLM (NT LAN Manager) invece del token SPNEGO previsto durante l'handshake challenge-response.
<html><head><title>An NTLM Token was received.</title></head> <body>Your browser configuration is correct, but you have not logged into a supported Microsoft(R) Windows(R) Domain. <p>Please login to the application using the normal login page.</html>
Tipo di dati: | String |
Specifica se le credenziali delegate da Kerberos devono essere memorizzate o meno da SPNEGO. Consente, inoltre, a un'applicazione di richiamare le credenziali memorizzate e propagarle in altre applicazioni a valle per un'ulteriore autenticazione SPNEGO.
Questa opzione richiede l'utilizzo della funzione di delega credenziali Kerberos avanzata e dello sviluppo di logica personalizzata da parte dello sviluppatore dell'applicazione. Lo sviluppatore deve interagire direttamente con Kerberos TGS (Ticket Granting Service) per ottenere un TGT (Ticket Granting Ticket) utilizzando le credenziali Kerberos delegate per conto dell'utente da cui ha avuto origine la richiesta. Lo sviluppatore deve inoltre creare il token Kerberos SPNEGO appropriato e includerlo nella richiesta HTTP per continuare il processo di autenticazione downstream SPNEGO, inclusa la gestione di un ulteriore scambio di risposte di verifica SPNEGO, se necessario.
Valore predefinito: | Disabilitato |
Questa scelta è facoltativa. Specifica se SPNEGO rimuove o meno il suffisso del nome utente principal, cominciando dal carattere @ che precede il nome ambito Kerberos. Se questo attributo è impostato su true, il suffisso del nome utente principal viene rimosso. Se questo attributo viene impostato su false, il suffisso del nome principal viene mantenuto. Il valore predefinito utilizzato è true.
Valore predefinito: | Disabilitato |
I collegamenti contrassegnati (online) richiedono un accesso a Internet.