Valores do Filtro de Autenticação da Web SPNEGO

Os valores do filtro de Autenticação da Web SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlam os diferentes aspectos do SPNEGO. Utilize essa página para especificar diferentes valores de filtro para cada servidor de aplicativos.

Para exibir essa página do console administrativo, clique em Segurança > Segurança global. Em Autenticação, expanda Segurança da Web e do SIP e, em seguida, clique em Autenticação da Web SPNEGO. Em Filtros do SPNEGO, clique em Novo ou selecione um filtro para ser editado.

Guia Configuração

Nome do Host

Especifica o nome completo do host no SPN (Service Principal Name) do Kerberos que é utilizado pelo SPNEGO para estabelecer um contexto seguro do Kerberos.

O nome do host é o formato completo do nome do host. Por exemplo, myHostname.austin.ibm.com.

O Kerberos SPN é uma cadeia da forma HTTP/hostname@realm. O SPN completo é utilizado com o JGSS (Java Generic Security Service) pelo provedor SPNEGO para obter a credencial de segurança e o contexto de segurança que são utilizados no processo de autenticação.

Tipo de dados: Cadeia
Nome da Região do Kerberos

Especifica o nome de sua região do Kerberos. Na maioria dos casos, a região é o nome do domínio em letras maiúsculas. Por exemplo, uma máquina com o nome de domínio de test.austin.ibm.com poderia ter geralmente um nome de região do Kerberos de AUSTIN.IBM.COM.

Critérios de Filtragem

Os critérios de filtragem utilizados pela classe Java utilizado pelo SPNEGO.

A classe de implementação padrão com.ibm.ws.security.spnego.HTTPHeaderFilter utiliza essa propriedade para definir uma lista de regras de seleção que representam condições que são correspondidas com os cabeçalhos de um pedido de HTTP para determinar se ele está selecionado, ou não, para autenticação SPNEGO.

Cada condição é especificada com um par chave-valor, separados um do outro por um ponto-e-vírgula. As condições são avaliadas da esquerda para a direita, à medida que são exibidas na propriedades especificada. Se todas as condições forem satisfeitas, o pedido HTTP será selecionado para a autenticação SPNEGO.

A chave e o valor no par chave-valor são separados por um operador que define qual condição será verificada. A chave identifica um cabeçalho de pedido HTTP a ser extraído do pedido e seu valor é comparado com o valor especificado no par chave-valor de acordo com a especificação do operador. Se o cabeçalho identificado pela chave não estiver presente no pedido HTTP, a condição será tratada como não sendo satisfeita.

Qualquer um dos cabeçalhos de pedido HTTP padrão pode ser utilizado como chave nos pares chave-valor. Consulte a especificação HTTP para a lista de cabeçalhos válidos. Além disso, duas chaves são definidas para extrair informações do pedido, também útil como um critério de seleção, que não está disponível por meio dos cabeçalhos do pedido HTTP padrão. A chave de endereço remota é utilizada como um pseudo cabeçalho para recuperar o endereço TCP/IP remoto do aplicativo cliente que enviou o pedido HTTP. A chave pedido-URL é utilizada como um pseudo cabeçalho para recuperar a URL utilizada pelo aplicativo cliente para fazer o pedido. O interceptor utiliza o resultado da operação getRequestURL na interface javax.servlet.http.HttpServletRequest para construir o endereço da Web. Se uma cadeia de consulta estiver presente, o resultado da operação getQueryString na mesma interface também será utilizada. Nesse caso, a URL é construída com segue:
Cadeia url = request.getRequestURL() + ‘?’ + request.getQueryString();
Os seguintes operadores e condições estão definidos:
Table 1. Condições e Operações do Filtro
Condição Operador Exemplo
Corresponder exatamente = =

Os argumentos são comparados como iguais.

host=host.my.company.com
Corresponder parcialmente (inclusões) %=

Os argumentos são comparados com uma correspondência parcial como válidos.

user-agent%=IE 6
Corresponder parcialmente (inclui um de muitos) ^=

Os argumentos são comparados com uma correspondência parcial como válidos para um de muitos argumentos especificados.

request-url^=webApp1|webApp2|webApp3
Não corresponder !=

Os argumentos são comparados como não iguais.

request-url!=noSPNEGO
Maior que >

Os argumentos são comparados lexograficamente como maiores que.

remote-address>192.168.255.130
Menor que <

Os argumentos são comparados lexograficamente como menores que.

remote-address<192.168.255.135
Tipo de dados: Cadeia
Classe de Filtro

Especifica o nome da classe Java que é utilizada pelo SPNEGO para selecionar quais pedidos de HTTP estão sujeitos à autenticação SPNEGO. Se você não especificar esse parâmetro, a classe de filtro padrão, com.ibm.ws.security.spnego.HTTPHeaderFilter, será utilizada.

Tipo de dados: Cadeia
URL da Página de Erro de SPNEGO Não Suportado

Essa seleção é opcional. Especifica a URL de um recurso que possui o conteúdo que o SPNEGO incluirá na resposta de HTTP exibida pelo aplicativo cliente do navegador se ele não suportar autenticação SPNEGO.

Essa propriedade pode especificar um recurso da Web (http://) ou em arquivo (file://).

Se essa propriedade não for especificada, ou o interceptor não puder localizar o recurso especificado, o seguinte conteúdo será utilizado:
<html><head><title>A autenticação SPNEGO não é suportada</title></head>
<body>A autenticação SPNEGO não é suportada neste cliente</body></html>;
Tipo de dados: Cadeia
URL da Página de Erro de Token NTLM Recebido

Esta propriedade é opcional. Especifica a URL de um recurso que possui o conteúdo que o SPNEGO incluirá na resposta de HTTP, que é exibida pelo aplicativo cliente do navegador.

O aplicativo cliente do navegador exibe essa resposta de HTTP quando o cliente do navegador envia um token NTLM (NT LAN Manage) em vez do token SPNEGO esperado durante o handshake de contestação/resposta.

Se essa propriedade não for especificada ou o interceptor não puder localizar o recurso especificado, o seguinte conteúdo será utilizado:
<html><head><title>Um Token NTLM foi recebido. </title></head>
<body>Sua configuração do navegador está correta, mas você não
efetuou login num Microsoft(R) Windows(R) Domain suportado.
<p>Efetue login no aplicativo utilizando a página de login normal. </html>
Tipo de dados: Cadeia
Ativar Delegação de Credenciais Kerberos

Especifica se as credenciais delegadas pelo Kerberos devem ser armazenadas pelo SPNEGO. Permite também que um aplicativo recupere as credenciais armazenadas e propague-as para outros aplicativos de recebimento de dados para autenticação SPNEGO adicional.

Essa opção exige o uso do recurso de delegação de credencial avançada do Kerberos e o desenvolvimento de lógica customizada pelo desenvolvedor de aplicativos. O desenvolvedor deve interagir diretamente com o TGS (Ticket Granting Service) Kerberos para obter um TGT (Ticket Granting Ticket) utilizando as credenciais do Kerberos delegadas em nome do usuário que originou o pedido. O desenvolvedor também deve construir o token Kerberos SPNEGO apropriado e incluí-lo no pedido HTTP para continuar o processo de autenticação SPNEGO de recebimento de dados, incluindo o manuseio da troca desafio-resposta adicional do SPNEGO, quando necessário.

Padrão: Desativado
Remover Região do Kerberos do Nome do Proprietário

Essa seleção é opcional. Especifica se o SPNEGO removerá o sufixo do nome de usuário do proprietário, iniciando a partir do @ que precede o nome da região do Kerberos. Se esse atributo for configurado como true, o sufixo do nome do usuário do proprietário será removido. Se esse atributo estiver configurado como false, o sufixo do nome do proprietário será retido. O valor padrão utilizado é true.

Padrão: Desativado



Links marcados (on-line) requerem acesso à Internet.

Referências relacionadas


Nome do arquivo: usec_kerb_SPNEGO_edit.html