Você pode ativar o SPNEGO (Simple and Protected GSS-API Negotiation) como o Autenticador da Web para o WebSphere Application Server.
A autenticação da Web SPNEGO fornece conexão única de cliente/servidor, negociando o uso de tokens SPNEGO.
Para visualizar essa página do console administrativo, clique em Segurança > Segurança Global. Em Autenticação, expanda Segurança da Web e do SIP e, em seguida, clique em Autenticação da Web SPNEGO.
Especifica o SPNEGO ( Simple and Protected GSS-API Negotiation Mechanism) como um Autenticador da Web para o servidor de aplicativos.
Padrão: | Desativado |
Possibilita ativar dinamicamente o tempo de execução do SPNEGO quando ocorrem alterações do SPNEGO sem reiniciar o servidor de aplicativos.
Padrão: | Ativado |
Especifica que o SPNEGO como um autenticador da Web é utilizado para efetuar login primeiro no WebSphere Application Server. Entretanto, se o login falhar, o mecanismo de autenticação do aplicativo será utilizado para efetuar login no WebSphere Application Server.
Padrão: | Desativado |
O nome do arquivo de configuração do Kerberos com seu caminho completo. Você pode clicar em Procurar para localizá-lo.
O arquivo de configuração do cliente do Kerberos, krb5.conf ou krb5.ini, contém informações de configuração do Kerberos, incluindo os locais dos KDCs (Key Distribution Centers) para a região de interesse. O arquivo krb5.conf é o nome padrão para todas as plataformas, exceto o sistema operacional Windows, que utiliza o arquivo krb5.ini.
Tipo de dados: | Cadeia |
O nome do arquivo keytab do Kerberos com seu caminho completo. Você pode clicar em Procurar para localizá-lo.
O arquivo keytab do Kerberos contém um ou mais nomes e chaves de proprietário de serviço Kerberos. O arquivo keytab padrão é krb5.keytab. É importante para os hosts protegerem seus arquivos keytab Kerberos armazenando-os no disco local, o que os torna legíveis apenas aos usuários autorizados. Leia Criando um Arquivo Keytab e um Proprietário de Serviço Kerberos para obter mais informações.
Tipo de dados: | Cadeia |
O nome do host no SPN utilizado pelo SPNEGO para estabelecer um contexto Kerberos seguro.
O nome do host é o nome completo do host. Por exemplo, myHostname.austin.ibm.com.
O SPN (Service Principal Name) do Kerberos é uma cadeia no formato HTTP/<nome completo do host>hostname@KERBEROS_realm. O SPN completo é utilizado com o JGSS (Java Generic Security Service) pelo provedor SPNEGO para obter a credencial de segurança e o contexto de segurança que são utilizados no processo de autenticação.
Tipo de dados: | Cadeia |
O nome da região do Kerberos. Na maioria dos casos, a região é o nome do domínio em letras maiúsculas. Por exemplo, uma máquina com o nome de domínio de test.austin.ibm.com teria geralmente um nome de região do Kerberos de AUSTIN.IBM.COM.
Tipo de dados: | Cadeia |
O parâmetro de filtragem utilizado pela classe Java utilizado pelo SPNEGO.
A classe de implementação padrão com.ibm.ws.security.spnego.HTTPHeaderFilter utiliza essa propriedade para definir uma lista de regras de seleção que representam condições que são correspondidas com os cabeçalhos de um pedido de HTTP para determinar se ele está selecionado, ou não, para autenticação SPNEGO.
Cada condição é especificada com um par chave-valor, separados um do outro por um ponto-e-vírgula. As condições são avaliadas da esquerda para a direita, à medida que são exibidas na propriedades especificada. Se todas as condições forem satisfeitas, o pedido HTTP será selecionado para a autenticação SPNEGO.
A chave e o valor no par chave-valor são separados por um operador que define qual condição será verificada. A chave identifica um cabeçalho de pedido HTTP a ser extraído do pedido e seu valor é comparado com o valor especificado no par chave-valor de acordo com a especificação do operador. Se o cabeçalho identificado pela chave não estiver presente no pedido HTTP, a condição será tratada como não sendo satisfeita.
Cadeia url = request.getRequestURL() + ‘?’ + request.getQueryString();
Condição | Operador | Exemplo |
---|---|---|
Corresponder exatamente | = = Os argumentos são comparados como iguais. |
host=host.my.company.com |
Corresponder parcialmente (inclusões) | %= Os argumentos são comparados com uma correspondência parcial como válidos. |
user-agent%=IE 6 |
Corresponder parcialmente (inclui um de muitos) | ^= Os argumentos são comparados com uma correspondência parcial como válidos para um de muitos argumentos especificados. |
request-url^=webApp1|webApp2|webApp3 |
Não corresponder | != Os argumentos são comparados como não iguais. |
request-url!=noSPNEGO |
Maior que | > Os argumentos são comparados lexograficamente como maiores que. |
remote-address>192.168.255.130 |
Menor que | < Os argumentos são comparados lexograficamente como menores que. |
remote-address<192.168.255.135 |
Tipo de dados: | Cadeia |
Links marcados (on-line) requerem acesso à Internet.