SPNEGO Web 認証フィルター値

Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) の Web 認証フィルター値は、SPNEGO のさまざまな性質を制御します。このページを使用して、 アプリケーション・サーバーごとに異なるフィルターの値を指定します。

この管理コンソール・ページを表示するには、 「セキュリティー」>「グローバル・ セキュリティー」をクリックします。「認証」において、 「Web および SIP セキュリティー (Web and SIP Security)」を展開してから、「SPNEGO Web 認証」をクリックします。SPNEGO のフィルター で、「新規」をクリックするか、編集するフィルターを選択します。

「構成」タブ

ホスト名

Kerberos セキュア・コンテキストを確立するために SPNEGO によって使用される Kerberos サービス・プリンシパル名 (SPN) の完全修飾ホスト名を指定します。

このホスト名は、完全修飾形式のホスト名です。例えば、myHostname.austin.ibm.com のようになります。

Kerberos SPN は、HTTP/<fully qualified hostname>@KERBEROS_REALM 形式のストリングです。 Java™ Generic Security Service (JGSS) では、 認証プロセスで使用されるセキュリティー・クレデンシャルおよびセキュリティー・コンテキストを 取得するために、SPNEGO プロバイダーによって完全な SPN が使用されます。

データ型: ストリング
Kerberos レルム名

Kerberos レルムの名前を指定します。ほとんどの場合、レルムはドメイン・ネームを大文字にしたものです。例えば、ドメイン・ネームが test.austin.ibm.com のマシンの Kerberos レルム名は、通常は AUSTIN.IBM.COM です。

Kerberos レルムの名前を指定していない場合は、Kerberos 構成ファイルに定義されているデフォルトのレルムが使用されます。

フィルター基準

SPNEGO が使用する Java クラスによって使用されるフィルタリング条件。

com.ibm.ws.security.spnego.HTTPHeaderFilter デフォルト実装クラスはこのプロパティーを使用して、HTTP 要求が SPNEGO 認証に対して選択されているかどうかを判別するために、HTTP 要求ヘッダーに対して突き合わせる条件を表す選択ルールのリストを定義します。

各条件は、セミコロンで区切られたキーと値のペアで指定されます。 これらの条件は、指定プロパティーでの表示順に左から右へ向かって評価されます。 すべての条件に適合する場合、その HTTP 要求が SPNEGO 認証用に選択されます。

キーと値のペアのキーと値は、どの条件を検査するかを定義する演算子によって区切られます。 このキーは、要求から抽出する HTTP 要求ヘッダーを識別し、この値が演算子の指定に従ってキー値に指定されている値と比較されます。 このキーによって識別されたヘッダーが HTTP 要求に存在しない場合、条件は不適合と見なされます。

すべての標準 HTTP 要求ヘッダーを、キーと値のペアのキーとして使用できます。 有効なヘッダーのリストについては、HTTP 仕様を参照してください。 また、標準 HTTP 要求ヘッダーでは使用できない 2 つのキーが、要求から情報を抽出するために定義されています。これは、選択基準としても便利です。 remote-address キーは、HTTP 要求を送信したクライアント・アプリケーションのリモート TCP/IP アドレスを取得するための疑似ヘッダーとして使用されます。 request-URL キーは、クライアント・アプリケーションが要求を行うために使用する URL を取得するための疑似ヘッダーとして使用されます。 インターセプターは、javax.servlet.http.HttpServletRequest インターフェースの getRequestURL オペレーションの結果を使用して、Web アドレスを構成します。 照会ストリングが存在する場合は、同じインターフェースの getQueryString オペレーションの結果も使用されます。 この場合、完全な URL は以下のように構成されます。
String url = request.getRequestURL() + ‘?’ + request.getQueryString();
以下の演算子および条件が定義されています。
表 1. フィルター条件および演算子
条件 オペレーター
正確に一致 = =

引数が等しいかどうかが比較されます。

host=host.my.company.com
部分的に一致 (含む) %=

部分的な一致を有効なものとして引数を比較します。

user-agent%=IE 6
部分的に一致 (複数の中の 1 つ) ^=

指定された多くの引数の中の 1 つと一致する部分一致を有効なものとして比較します。

request-url^=webApp1|webApp2|webApp3
一致しない !=

引数が等しくないかどうかが比較されます。

request-url!=noSPNEGO
より大きい >

引数が辞書的により大きいかどうかが比較されます。

remote-address>192.168.255.130
より小さい <

引数が辞書的により小さいかどうかが比較されます。

remote-address<192.168.255.135
データ型: ストリング
フィルター・クラス

SPNEGO が SPNEGO 認証の対象となる HTTP 要求を選択するために使用する Java クラスの名前を指定します。 このパラメーターを指定しない場合、デフォルトのフィルター・クラス com.ibm.ws.security.spnego.HTTPHeaderFilter が使用されます。

データ型: ストリング
SPNEGO 非サポートのエラー・ページ URL

この選択はオプションです。これは、 SPNEGO が HTTP 応答に組み込む内容を含むリソースの URL を指定します。 この内容は、ブラウザーのクライアント・アプリケーションが SPNEGO 認証をサポートしていない場合に、そのアプリケーションによって表示されます。

このプロパティーは Web (http://) またはファイル (file://) のリソースを指定できます。

このプロパティーが指定されていない場合や、インターセプターが指定のリソースを見つけられなかった場合は、 以下のコンテンツが使用されます。
<html><head><title>SPNEGO authentication is not supported</title></head>
<body>SPNEGO authentication is not supported on this client</body></html>;
データ型: ストリング
NTLM トークン受信のエラー・ページ URL

このプロパティーはオプションです。これは、 SPNEGO が HTTP 応答に組み込む内容を含むリソースの URL を指定します。 この内容はブラウザーのクライアント・アプリケーションによって表示されます。

この HTTP 応答は、ブラウザーのクライアント・アプリケーションが ユーザー確認のための質問への応答のハンドシェーク時に、 予期される SPNEGO トークンではなく NT LAN マネージャー (NTLM) トークンを送信した場合に、 ブラウザーのクライアント・アプリケーションに表示されます。

このプロパティーが指定されていない場合や、インターセプターが指定されたリソースを見つけられなかった場合は、以下のコンテンツが使用されます。
<html><head><title>An NTLM Token was received.</title></head>
<body>Your browser configuration is correct, but you have not logged into a supported
Microsoft(R) Windows(R) Domain.
<p>Please login to the application using the normal login page.</html>
データ型: ストリング
Kerberos クレデンシャルの代行を有効にする

Kerberos の代行クレデンシャルを SPNEGO が保管するかどうかを指定します。また、アプリケーションは保管されたクレデンシャルを取得し、 それらを追加の SPNEGO 認証用に他のダウンストリームのアプリケーションに伝搬させることができます。

このオプションでは、拡張 Kerberos クレデンシャル代行機能の使用および アプリケーション開発者によるカスタム・ロジックの作成が必要です。 開発者は、リクエストを発信したユーザーに代わって、Kerberos チケット許可サービス (TGS) と直接対話し、 代行 Kerberos クレデンシャルを使用して Ticket Granting Ticket (TGT) を取得する必要があります。 また、開発者は、適切な Kerberos SPNEGO トークンを構成して、それを HTTP 要求に含めることで、ダウンストリームの SPNEGO 認証プロセスを継続する必要があります。これには、必要に応じて、追加の SPNEGO ユーザー確認のための質問への応答交換の処理が含まれます。

デフォルト: 使用不可
プリンシパル名からの Kerberos レルムの切り取り

この選択はオプションです。SPNEGO が、Kerberos レルム名に先行する、 「@」で始まるプリンシパル・ユーザー名のサフィックスを除去するかどうかを指定します。 この属性が true に設定されている場合、プリンシパル・ユーザー名のサフィックスは除去されます。 この属性を false に設定すると、 プリンシパル名のサフィックスは保存されます。使用されるデフォルト値は true です。

デフォルト: 使用不可



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連資料


ファイル名: usec_kerb_SPNEGO_edit.html