SPNEGO Web 鑑別過濾器值

簡單且受保護的 GSS-API 協議機制 (SPNEGO) 的 Web 鑑別過濾器值,用來控制 SPNEGO 的不同層面。 請利用這個頁面來指定每個應用程式伺服器的不同過濾器值。

若要檢視這個管理主控台頁面,請按一下安全 > 廣域安全。 從「鑑別」中,展開「Web 和 SIP 安全」,再按一下 SPNEGO Web 鑑別。 在「SPNEGO 過濾器」之下,按一下新建,或選取要編輯的過濾器。

「配置」標籤

主機名稱

指定 Kerberos 服務主體名稱 (SPN) 中,SPNEGO 用來建立 Kerberos 安全環境定義的完整主機名稱。

這個主機名稱是完整格式的主機名稱。 例如,myHostname.austin.ibm.com

Kerberos SPN 是 HTTP/<fully qualified hostname>@KERBEROS_REALM 格式的字串。 完整的 SPN 供 SPNEGO 提供者用來搭配 Java™ 一般安全性服務 (JGSS),以取得鑑別程序所用的安全憑證和安全環境定義。

資料類型: 字串
Kerberos 網域範圍名稱

指定您的 Kerberos 網域範圍的名稱。在大部分情況下,您的網域範圍就是您大寫字母的網域名稱。 比方說,網域名稱為 test.austin.ibm.com 的機器,其 Kerberos 網域範圍名稱通常便是 AUSTIN.IBM.COM

如果您並未指定 Kerberos 網域範圍名稱,便會使用 Kerberos 配置檔中所定義的預設網域範圍。

過濾準則

SPNEGO 使用的 Java 類別所用的過濾準則。

com.ibm.ws.security.spnego.HTTPHeaderFilter 預設實作類別利用這個內容來定義一份選擇規則清單,這些規則代表用來比對 HTTP 要求標頭的條件,以便判斷是否選取 HTTP 要求來進行 SPNEGO 鑑別。

每個條件都是以鍵值組來指定,用分號來分開每個鍵值組。 各條件是依照它們在指定內容中所顯示,由左至右進行評估。 如果所有條件都符合,便會選取 HTTP 要求來進行 SPNEGO 鑑別。

鍵值組的索引鍵和值是以運算子分隔,其定義要檢查的條件。 索引鍵會識別將從要求中擷取的 HTTP 要求標頭,並根據所指定的運算子,比較它的值與鍵值組所指定的值。 如果索引鍵所識別的標頭不在 HTTP 要求中,便會將條件當作不符合來處理。

任何標準 HTTP 要求標頭都可用來作為鍵值組中的索引鍵。 請參閱 HTTP 規格來找出有效標頭清單。 另外,也定義兩個索引鍵來擷取要求中的資訊,它們也能夠作為選取準則,這在標準 HTTP 要求標頭中並不提供。remote-address 索引鍵用來作為虛擬標頭,以便擷取傳送 HTTP 要求之用戶端應用程式的遠端 TCP/IP 位址。request-URL 索引鍵用來作為虛擬標頭,以便擷取用戶端應用程式用來發出要求的 URL。攔截程式利用 javax.servlet.http.HttpServletRequest 介面中 getRequestURL 作業的結果來建構網址。 如果查詢字串存在,也會使用相同介面中 getQueryString 作業的結果。 在這個情況下,完整 URL 的建構方式如下:
String url = request.getRequestURL() + ‘?’ + request.getQueryString();
定義的運算子及條件如下:
表 1. 過濾條件和作業
條件 操作員 範例
完全相符 = =

引數比較為相等。

host=host.my.company.com
局部符合(包括) %=

引數比較,局部符合有效。

user-agent%=IE 6
局部符合(包括許多之一) ^=

引數比較,針對指定的許多引數之一,局部符合有效。

request-url^=webApp1|webApp2|webApp3
不符合 !=

引數比較為不相等。

request-url!=noSPNEGO
大於 >

引數逐項比較為大於。

remote-address>192.168.255.130
小於 <

引數逐項比較為小於。

remote-address<192.168.255.135
資料類型: 字串
過濾器類別

指定一個 Java 類別名稱,供 SPNEGO 用來選取將進行 SPNEGO 鑑別的 HTTP 要求。 如果未指定這個參數,便會使用預設過濾器類別 com.ibm.ws.security.spnego.HTTPHeaderFilter。

資料類型: 字串
不支援 SPNEGO 的錯誤頁面 URL

這個選項是選用的。 它指定在瀏覽器用戶端應用程式不支援 SPNEGO 鑑別的情況下,含有 SPNEGO 將併到這個用戶端應用程式所顯示的 HTTP 回應中之內容的資源 URL。

這個內容可以指定 Web (http://) 或檔案 (file://) 資源。

如果未指定這個內容,或攔截程式找不到指定的資源,便使用下列內容:
<html><head><title>不支援 SPNEGO 鑑別</title></head>
<body>在這個用戶端上,不支援 SPNEGO 鑑別</body></html>;
資料類型: 字串
收到 NTLM 記號的錯誤頁面 URL

這個內容是選用的。它指定含有 SPNEGO 將併到瀏覽器用戶端應用程式所顯示的 HTTP 回應中之內容的資源 URL。

當瀏覽器用戶端在盤查-回應信號交換期間傳送 NT LAN 管理程式 (NTLM) 記號,而不是預期的 SPNEGO 記號時,瀏覽器用戶端應用程式會顯示這個 HTTP 回應。

如果未指定這個內容,或攔截程式找不到指定的資源,便使用下列內容:
<html><head><title>收到 NTLM 記號。</title></head>
<body>您的瀏覽器配置正確,但您尚未登入支援的
Microsoft® Windows® 網域。
<p>請利用一般登入頁面來登入應用程式。</html>
資料類型: 字串
啟用委派 Kerberos 認證

指定 SPNEGO 是否應該儲存 Kerberos 委派認證。 另外,它也讓應用程式擷取儲存的認證,以及將這些認證傳播到其他下游應用程式,以便進行其他 SPNEGO 鑑別。

這個選項需要使用進階 Kerberos 認證委派特性,也需要應用程式開發人員開發自訂邏輯。 開發人員必須與 Kerberos 通行證授權服務 (TGS) 直接互動,以便利用委派的 Kerberos 認證,代表發出要求的使用者來取得通行證授權通行證 (TGT)。 另外,開發人員也必須建構適當的 Kerberos SPNEGO 記號,將它併入 HTTP 要求,才能繼續進行下游的 SPNEGO 鑑別程序,必要的話,也包括處理其他 SPNEGO 盤查-回應交換。

預設值: 停用
從主體名稱修整 Kerberos 網域範圍

這個選項是選用的。 它指定 SPNEGO 是否從 Kerberos 網域範圍名稱前面的 @ 開始,移除主體使用者名稱的字尾。 如果這個屬性設為 true,便會移除主體使用者名稱的字尾。 如果這個屬性設為 false,便會保留主體名稱的字尾。 所用的預設值是 true

預設值: 停用



標示(線上)的鏈結表示需要存取網際網路。

相關參考


檔名: usec_kerb_SPNEGO_edit.html