Valori del filtro di autenticazione Web SPNEGO:

I valori del filtro di autenticazione SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controllano vari aspetti di SPNEGO. Utilizzare questa pagina per specificare valori di filtro differenti per ogni server delle applicazioni.

Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza>Sicurezza globale. In Autenticazione, espandere la Sicurezza Web e SIP e fare clic su Autenticazione Web SPNEGO. In Filtri SPNEGO, fare clic su Nuovo o selezionare un filtro da modificare.

Nome host

Specifica il nome host nell'SPN (Service Principal Name) Kerberos utilizzato da SPNEGO per stabilire un contesto sicuro Kerberos.

Il nome host è la forma completa di nomehost. Esempio: myHostname.austin.ibm.com.

L'SPN Kerberos è una stringa del formato HTTP/<nome host completo>@KERBEROS_REALM . L'SPN completo viene utilizzato con JGSS (Java Generic Security Service) dal provider SPNEGO per ottenere la credenziale e il contesto di sicurezza utilizzati nel processo di autenticazione.

Tipo di dati: String
Nome ambito Kerberos

Specifica il nome del realm Kerberos. Nella maggior parte dei casi, l'ambito corrisponde al nome del dominio in leggere maiuscole. Ad esempio, una macchina con il nome di dominio di test.austin.ibm.com generalmente ha un nome realm Kerberos AUSTIN.IBM.COM.

Se non si specifica il nome realm Kerberos, il realm predefinito viene usato definito nel file di configurazione.

Criteri di filtro

I criteri di filtro utilizzati dalla classe Java adoperata da SPNEGO.

La classe di implementazione predefinita com.ibm.ws.security.spnego.HTTPHeaderFilter utilizza questa proprietà per definire un elenco di regole di selezione che rappresentano le condizioni associate rispetto alle intestazioni delle richieste HTTP per determinare se la richiesta HTTP è selezionata o meno per l'autenticazione SPNEGO.

Ogni condizione viene specificata con una coppia chiave-valore, separata da un punto e virgola. Le condizioni vengono valutate da sinistra a destra , come visualizzate nella proprietà specificata. Se tutte le condizioni vengono soddisfatte, la richiesta HTTP viene selezionata per l'autenticazione SPNEGO.

La chiave e il valore nella coppia chiave-valore sono separati da un operatore che definisce quale condizione viene esaminata. La chiave identifica un'intestazione di richiesta HTTP da estrarre dalla richiesta e il relativo valore viene confrontato con il valore specificato nella coppia chiave-valore in base alla specifica dell'operatore. Se l'intestazione identificata dalla chiave non è presente nella richiesta HTTP, la condizione viene considerata non corrisposta.

È possibile utilizzare una qualsiasi delle intestazioni di richiesta HTTP standard come chiave nelle coppie chiave-valore. Consultare la specifica HTTP per l'elenco di intestazioni valide. Inoltre, due chiavi vengono definite per estrarre le informazioni dalla richiesta, utili anche come criterio di selezione, non disponibile tramite intestazioni di richiesta HTTP standard. La chiave di accesso remoto viene utilizzata come pseudo intestazione per richiamare l'indirizzo TCP/IP remoto dell'applicazione client che ha inviato la richiesta HTTP. La chiave URL di richiesta viene utilizzata come pseudo intestazione per richiamare l'URL utilizzato dell'applicazione client per eseguire la richiesta. L'interceptor utilizza il risultato dell'operazione getRequestURL nell'interfaccia javax.servlet.http.HttpServletRequest per creare l'indirizzo Web. Se è presente una stringa di query, viene utilizzato anche il risultato dell'operazione getQueryString nella stessa interfaccia. In questo caso, l'URL completo viene creato nel modo seguente:
String url = request.getRequestURL() + ‘?’ + request.getQueryString();
Vengono definiti i seguenti operatori e condizioni:
Tabella 1. Operazioni e condizioni filtro
Condizione Operatore Esempio
Corrispondenza esatta = =

Gli argomenti sono confrontati come uguali.

host=host.my.company.com
Corrispondenza parziale (inclusioni) %=

Gli argomenti sono confrontati con una corrispondenza parziale valida.

user-agent%=IE 6
Corrispondenza parziale (include uno di vari) ^=

Gli argomenti sono confrontati con una corrispondenza parziale valida per uno di vari argomenti specificati.

request-url^=webApp1|webApp2|webApp3
Mancata corrispondenza !=

Gli argomenti sono confrontati come non uguali.

request-url!=noSPNEGO
Maggiore di >

Gli argomenti sono confrontati lessograficamente come maggiori di.

remote-address>192.168.255.130
Minore di <

Gli argomenti sono confrontati lessograficamente come minori di.

remote-address<192.168.255.135
Tipo di dati: String
Classe filtro

Specifica il nome della classe Java utilizzata da SPNEGO per selezionare le richieste HTTP soggette all'autenticazione SPNEGO. Se questo parametro non viene specificato, viene utilizzata la classe filtro predefinita, com.ibm.ws.security.spnego.HTTPHeaderFilter.

Tipo di dati: String
URL pagina di errore non supportata da SPNEGO

Questa scelta è facoltativa. Specifica l'URL di una risorsa che racchiude il contenuto incluso da SPNEGO nella risposta HTTP visualizzata dall'applicazione client browser se non supporta l'autenticazione SPNEGO.

Questa proprietà può specificare una risorsa Web (http://) o un file (file://).

Se questa proprietà non viene specificata oppure se l'intercettatore non è in grado di individuare la risorsa specificata, viene utilizzato il seguente contenuto:
<html><head><title>SPNEGO authentication is not supported</title></head>
<body>SPNEGO authentication is not supported on this client</body></html>;
Tipo di dati: String
URL pagina di errore di ricezione token NTLM

Questa proprietà è facoltativa. Specifica l'URL di una risorsa che racchiude il contenuto incluso da SPNEGO nella risposta HTTP visualizzata dall'applicazione client browser.

L'applicazione client browser visualizza questa risposta HTTP quando il client del browser invia un token NTLM (NT LAN Manager) invece del token SPNEGO previsto durante l'handshake challenge-response.

Se questa proprietà non viene specificata o se il programma di intercettazione non riesce a trovare la risorsa specificata, verrà utilizzato il seguente contenuto.
<html><head><title>An NTLM Token was received.</title></head>
<body>Your browser configuration is correct, but you have not logged into a supported
Microsoft(R) Windows(R) Domain.
<p>Please login to the application using the normal login page.</html>
Tipo di dati: String
Abilita la delega delle credenziali Kerberos

Specifica se le credenziali delegate da Kerberos devono essere memorizzate o meno da SPNEGO. Consente, inoltre, a un'applicazione di richiamare le credenziali memorizzate e propagarle in altre applicazioni a valle per un'ulteriore autenticazione SPNEGO.

Questa opzione richiede l'utilizzo della funzione di delega credenziali Kerberos avanzata e dello sviluppo di logica personalizzata da parte dello sviluppatore dell'applicazione. Lo sviluppatore deve interagire direttamente con Kerberos TGS (Ticket Granting Service) per ottenere un TGT (Ticket Granting Ticket) utilizzando le credenziali Kerberos delegate per conto dell'utente da cui ha avuto origine la richiesta. Lo sviluppatore deve inoltre creare il token Kerberos SPNEGO appropriato e includerlo nella richiesta HTTP per continuare il processo di autenticazione downstream SPNEGO, inclusa la gestione di un ulteriore scambio di risposte di verifica SPNEGO, se necessario.

Valore predefinito: Disabilitato
Rimuovi ambito Kerberos dal nome principal

Questa scelta è facoltativa. Specifica se SPNEGO rimuove o meno il suffisso del nome utente principal, cominciando dal carattere @ che precede il nome ambito Kerberos. Se questo attributo è impostato su true, il suffisso del nome utente principal viene rimosso. Se questo attributo viene impostato su false, il suffisso del nome principal viene mantenuto. Il valore predefinito utilizzato è true.

Valore predefinito: Disabilitato



I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Riferimenti correlati


Nome file: usec_kerb_SPNEGO_edit.html