Valorile filtrului de Autentificare web SPENGO (Simple and Protected GSS-API Negotiation Mechanism) controlează diferite aspecte ale SPNEGO. Utilizaţi această pagină pentru a specifica diferite valori de filtru pentru fiecare server de aplicaţii.
Pentru a vizualiza această pagină de consolă administrativă, apăsaţi pe Securitate > Securitate globală. Din Autentificare, expandaţi Securitatea Web şi SIP şi apoi apăsaţi pe Autentificare web SPNEGO. Sub Filtre SPNEGO, apăsaţi pe Nou sau selectaţi un filtru de editat.
Specifică numele gazdă complet calificat din SPN-ul (nume principal service) Kerberos care este utilizat de SPNEGO pentru a stabili un context sigur Kerberos.
Numele gazdă este forma complet calificată a numelui gazdă. De exemplu, myHostname.austin.ibm.com.
SPN-ul Kerberos este un şir de forma HTTP/<nume gazdă complet calificat>@KERBEROS_REALM . SPN-ul complet este utilizat cu Java Generic Security Service (JGSS) de furnizorul SPNEGO pentru a obţine acreditarea de securitate şi contextul de securitate care sunt utilizate în procesul de autentificare.
Tip date: | Şir |
Specifică numele regiunii dumneavoastră Kerberos. În majoritatea cazurilor, regiunea dumneavoastră este numele dumneavoastră de domeniu cu litere mari. De exemplu, o maşină cu numele de domeniu test.austin.ibm.com ar avea de obicei un nume de regiune Kerberos AUSTIN.IBM.COM.
Dacă nu specificaţi numele regiunii Kerberos, atunci se utilizează regiunea implicită care este definită în fişierul de configurare Kerberos.
Criteriul de filtrare utilizat de clasa Java care este utilizat de SPNEGO.
Clasa de implementare implicită com.ibm.ws.security.spnego.HTTPHeaderFilter utilizează această proprietate pentru a defini o listă de reguli de selecţie care reprezintă condiţii ce sunt potrivite faţă de anteturi de cereri HTTP pentru a determina dacă cererea HTTP este sau nu selectată pentru autentificarea SPNEGO.
Fiecare condiţie este specificată cu o pereche cheie-valoare, separate una de cealaltă prin punct şi virgulă. Condiţiile sunt evaluate de la stânga la dreapta, aşa cum se afiează în proprietatea specificată. Dacă sunt îndeplinite toate condiţiile, cererea HTTP este selectată pentru autentificare SPNEGO.
Cheia şi valoarea dintr-o pereche cheie-valoare sunt separate printr-un operator care defineşte ce condiţie este verificată. Cheia identifică un antet de cerere HTTP de extras din cerere şi valoarea sa este comparată cu valoarea care este specificată în perechea cheie-valoare conform specificaţiei operatorului. Dacă antetul care este identificat de cheie nu este prezent în cererea HTTP, condiţia este tratată ca şi cum n-ar fi îndeplinită.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Condiţie | Operator | Exemplu |
---|---|---|
Potrivire exactă | = = Argumentele sunt comparate ca egale. |
host=host.my.company.com |
Potrivire parţială (include) | %= Argumentele sunt comparate cu o potrivire parţială care e validă. |
user-agent%=IE 6 |
Potrivire parţială (include unul din mai multe) | ^= Argumentele sunt comparate cu o potrivire parţială care este validă penrtu unul dintre mai multe argumente specificate. |
request-url^=webApp1|webApp2|webApp3 |
Nu se potriveşte | != Argumentele sunt comparate ca inegale. |
request-url!=noSPNEGO |
Mai mare decât | > Argumentele sunt comparate lexografic ca mai mare decât. |
remote-address>192.168.255.130 |
Mai mic decât | < Argumentele sunt comparate lexografic ca mai mic decât. |
remote-address<192.168.255.135 |
Tip date: | Şir |
Specifică numele clasei Java care este utilizată de SPNEGO pentru a selecta ce cereri HTTP sunt supuse autentificării SPNEGO. Dacă nu specificaţi acest parametru, se utilizează clasa de filtru implicită, com.ibm.ws.security.spnego.HTTPHeaderFilter.
Tip date: | Şir |
Această alegere este opţională. Specifică URL-ul unei resurse care conţine ce include SPNEGO în răspunsul HTTP care este afişat de aplicaţia de client browser dacă nu suportă autentificare SPNEGO.
Această proprietate poate specifica o resursă web (http://) sau de fişier (file://).
<html><head><title>Autentificarea SPNEGO nu este suportată </title></head> <body>Autentificarea SPNEGO nu este suportată pe acest client</body></html>;
Tip date: | Şir |
Această proprietate este opţională. Specifică URL-ul unei resurse care conţine ce include SPNEGO în răspunsul HTTP care este afişat de aplicaţia de client browser.
Aplicaţia client browser afişează acest răspuns HTTP când clientul browser trimite un token NTLM (Manager LAN NT) în locul token-ului SPNEGO aşteptat în timpul dialogului de confirmare cerere de identificare-răspuns.
<html><head><title>S-a primit un token NTLM.</title></head> <body>Configuraţia browser-ului dumneavoastră este corectă, dar nu v-aţi logat într-un Microsoft(R) Windows(R) Domain suportat. <p>Vă rugăm logaţi-vă în aplicaţie utilizând pagina de logare normală.</html>
Această proprietate poate specifica o resursă web (http://) sau de fişier (file://).
Tip date: | Şir |
Specifică dacă acreditările delegate Kerberos ar trebui să fie stocate de SPNEGO. De asemenea, permite unei aplicaţii să extragă acreditările stocate şi să le propage la alte aplicaţii din aval pentru autentificare SPNEGO suplimentară.
Această opţiune necesită utilizarea caracteristicii de delegaţie a acreditărilor Kerberos şi dezvoltarea logicii personalizate de către dezvoltatorul aplicaţiei. Dezvoltatorul trebuie să interacţioneze cu Kerberos KDC pentru a obţine un Kerberos Ticket Granting Service (TGS) utilizând acreditările Kerberos delegate din partea utilizatorului care a originat cererea. Dezvoltatorul trebuie să construiască şi token-ul Kerberos SPNEGO corespunzător şi să-l includă în cererea HTTP pentru a continua procesul de autentificare SPNEGO în aval, inclusiv tratarea schimbului cerere de identificare-răspuns SPNEGO suplimentar, dacă este necesar.
Dacă doriţi să propagaţi KRBAuthnToken la un server în aval, Ticket Granting Ticket (TGT) client trebuie să conţină opţiuni înaintabile şi fără adrese. Dacă se adresează un TGT client, serverul din aval nu are o acreditare de delgaţie GSS client după ce este propagată.
Puteţi extrage GSSCredential de delegaţie client din KRBAuthnToken utilizând metoda KRBAuthnToken.getGSSCredential().
Implicit: | Dezactivat |
Această alegere este opţională. Specifică dacă SPNEGO înlătură sufixul numelui de utilizator principal din @ care precedă numele de regiune Kerberos. Dacă acest atribut este setat la true, se înlătură sufixul numelui de utilizator principal. Dacă acest atribut este setat la false, se reţine sufixul numelui principal. Valoarea implicită utilizată este true.
Implicit: | Dezactivat |
Legăturile marcate (online) necesită acces la internet.