Ativação de Autenticação da Web SPNEGO

Você pode ativar o SPNEGO (Simple and Protected GSS-API Negotiation) como o Autenticador da Web para o WebSphere Application Server.

A autenticação da Web SPNEGO fornece conexão única de cliente/servidor, negociando o uso de tokens SPNEGO.

Para visualizar essa página do console administrativo, clique em Segurança > Segurança Global. Em Autenticação, expanda Segurança da Web e do SIP e, em seguida, clique em Autenticação da Web SPNEGO.

Guia Configuração

Ativar SPNEGO

Especifica o SPNEGO ( Simple and Protected GSS-API Negotiation Mechanism) como um Autenticador da Web para o servidor de aplicativos.

Padrão: Desativado
Atualizar Dinamicamente o SPNEGO

Possibilita ativar dinamicamente o tempo de execução do SPNEGO quando ocorrem alterações do SPNEGO sem reiniciar o servidor de aplicativos.

Nota: Essa opção ficará desativada se a opção Ativar SPNEGO não for selecionada.
Padrão: Ativado
Permitir alternância para mecanismo de autenticação de aplicativo

Especifica que o SPNEGO como um autenticador da Web é utilizado para efetuar login primeiro no WebSphere Application Server. Entretanto, se o login falhar, o mecanismo de autenticação do aplicativo será utilizado para efetuar login no WebSphere Application Server.

Nota: Essa opção ficará desativada se a opção Ativar SPNEGO não for selecionada.
Padrão: Desativado
Arquivo de Configuração do Kerberos com Caminho Completo

O nome do arquivo de configuração do Kerberos com seu caminho completo. Você pode clicar em Procurar para localizá-lo.

O arquivo de configuração do cliente do Kerberos, krb5.conf ou krb5.ini, contém informações de configuração do Kerberos, incluindo os locais dos KDCs (Key Distribution Centers) para a região de interesse. O arquivo krb5.conf é o nome padrão para todas as plataformas, exceto o sistema operacional Windows, que utiliza o arquivo krb5.ini.

Tipo de dados: Cadeia
Nome do Arquivo keytab do Kerberos com Caminho Completo

O nome do arquivo keytab do Kerberos com seu caminho completo. Você pode clicar em Procurar para localizá-lo.

O arquivo keytab do Kerberos contém um ou mais nomes e chaves de proprietário de serviço Kerberos. O arquivo keytab padrão é krb5.keytab. É importante para os hosts protegerem seus arquivos keytab Kerberos armazenando-os no disco local, o que os torna legíveis apenas aos usuários autorizados. Leia Criando um Arquivo Keytab e um Proprietário de Serviço Kerberos para obter mais informações.

Tipo de dados: Cadeia
Nome do Host

O nome do host no SPN utilizado pelo SPNEGO para estabelecer um contexto Kerberos seguro.

O nome do host é o nome completo do host. Por exemplo, myHostname.austin.ibm.com.

O SPN (Service Principal Name) do Kerberos é uma cadeia no formato HTTP/<nome completo do host>hostname@KERBEROS_realm. O SPN completo é utilizado com o JGSS (Java Generic Security Service) pelo provedor SPNEGO para obter a credencial de segurança e o contexto de segurança que são utilizados no processo de autenticação.

Tipo de dados: Cadeia
Nome da Região do Kerberos

O nome da região do Kerberos. Na maioria dos casos, a região é o nome do domínio em letras maiúsculas. Por exemplo, uma máquina com o nome de domínio de test.austin.ibm.com teria geralmente um nome de região do Kerberos de AUSTIN.IBM.COM.

Tipo de dados: Cadeia
Critério de Filtragem

O parâmetro de filtragem utilizado pela classe Java utilizado pelo SPNEGO.

A classe de implementação padrão com.ibm.ws.security.spnego.HTTPHeaderFilter utiliza essa propriedade para definir uma lista de regras de seleção que representam condições que são correspondidas com os cabeçalhos de um pedido de HTTP para determinar se ele está selecionado, ou não, para autenticação SPNEGO.

Cada condição é especificada com um par chave-valor, separados um do outro por um ponto-e-vírgula. As condições são avaliadas da esquerda para a direita, à medida que são exibidas na propriedades especificada. Se todas as condições forem satisfeitas, o pedido HTTP será selecionado para a autenticação SPNEGO.

A chave e o valor no par chave-valor são separados por um operador que define qual condição será verificada. A chave identifica um cabeçalho de pedido HTTP a ser extraído do pedido e seu valor é comparado com o valor especificado no par chave-valor de acordo com a especificação do operador. Se o cabeçalho identificado pela chave não estiver presente no pedido HTTP, a condição será tratada como não sendo satisfeita.

Qualquer um dos cabeçalhos de pedido HTTP padrão pode ser utilizado como chave nos pares chave-valor. Consulte a especificação HTTP para a lista de cabeçalhos válidos. Além disso, duas chaves são definidas para extrair informações do pedido, também útil como um critério de seleção, que não está disponível por meio dos cabeçalhos do pedido HTTP padrão. A chave de endereço remota é utilizada como um pseudo cabeçalho para recuperar o endereço TCP/IP remoto do aplicativo cliente que enviou o pedido HTTP. A chave pedido-URL é utilizada como um pseudo cabeçalho para recuperar a URL utilizada pelo aplicativo cliente para fazer o pedido. O interceptor utiliza o resultado da operação getRequestURL na interface javax.servlet.http.HttpServletRequest para construir o endereço da Web. Se uma cadeia de consulta estiver presente, o resultado da operação getQueryString na mesma interface também será utilizada. Nesse caso, a URL é construída com segue:
Cadeia url = request.getRequestURL() + ‘?’ + request.getQueryString();
Os seguintes operadores e condições estão definidos:
Table 1. Condições e Operações do Filtro
Condição Operador Exemplo
Corresponder exatamente = =

Os argumentos são comparados como iguais.

host=host.my.company.com
Corresponder parcialmente (inclusões) %=

Os argumentos são comparados com uma correspondência parcial como válidos.

user-agent%=IE 6
Corresponder parcialmente (inclui um de muitos) ^=

Os argumentos são comparados com uma correspondência parcial como válidos para um de muitos argumentos especificados.

request-url^=webApp1|webApp2|webApp3
Não corresponder !=

Os argumentos são comparados como não iguais.

request-url!=noSPNEGO
Maior que >

Os argumentos são comparados lexograficamente como maiores que.

remote-address>192.168.255.130
Menor que <

Os argumentos são comparados lexograficamente como menores que.

remote-address<192.168.255.135
Tipo de dados: Cadeia



Links marcados (on-line) requerem acesso à Internet.

Referências relacionadas


Nome do arquivo: usec_kerb_SPNEGO_config.html