Wartości filtru uwierzytelniania WWW SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) sterują różnymi aspektami mechanizmu SPNEGO. Ta strona umożliwia określenie różnych wartości filtru dla poszczególnych serwerów aplikacji.
Aby wyświetlić tę stronę Konsoli administracyjnej, należy kliknąć opcję Zabezpieczenia > Zabezpieczenia globalne. W obszarze Uwierzytelnianie rozwiń pozycję Bezpieczeństwo WWW i SIP, a następnie kliknij opcję Uwierzytelnianie WWW SPNEGO. W obszarze Filtry mechanizmu SPNEGO kliknij opcję Nowy lub wybierz filtr do edycji.
Określa pełną nazwę hosta w nazwie użytkownika usługi Kerberos (Service Principal Name - SPN), która jest używana przez mechanizm SPNEGO do ustanowienia zabezpieczonego kontekstu protokołu Kerberos.
Nazwa hosta musi mieć format pełnej nazwy hosta. Na przykład moja_nazwa_hosta.austin.ibm.com.
Nazwa użytkownika usługi Kerberos (Service Principal Name - SPN) jest łańcuchem w formacie HTTP/<pełna_nazwa_hosta>@DZIEDZINA_PROTOKOŁU_KERBEROS. Pełna nazwa SPN jest używana w połączeniu z usługą JGSS (Java Generic Security Service) przez dostawcę mechanizmu SPNEGO w celu uzyskania referencji zabezpieczeń i kontekstu zabezpieczeń używanych w procesie uwierzytelniania.
Typ danych: | String |
Określa nazwę dziedziny protokołu Kerberos. Zazwyczaj jest to nazwa domeny pisana wielkimi literami. Na przykład komputer, którego nazwa domeny ma postać test.austin.ibm.com, zazwyczaj będzie miał następującą nazwę dziedziny protokołu Kerberos: AUSTIN.IBM.COM.
Jeśli nie określono nazwy dziedziny protokołu Kerberos, zostanie użyta domyślna dziedzina zdefiniowana w pliku konfiguracyjnym protokołu Kerberos.
Kryteria filtrowania używane w klasie Java na potrzeby mechanizmu SPNEGO.
Właściwość ta jest używana w domyślnej klasie implementacji com.ibm.ws.security.spnego.HTTPHeaderFilter do definiowania listy reguł wyboru reprezentujących warunki, których dopasowanie do nagłówków żądań HTTP pozwala określić, czy żądania te mają być objęte uwierzytelnianiem SPNEGO.
Poszczególne warunki są definiowane za pomocą par klucz-wartość rozdzielanych średnikami. Warunki są wartościowane od lewej do prawej strony, zgodnie ze sposobem ich wyświetlania w ramach określonej właściwości. W przypadku spełnienia wszystkich warunków żądanie HTTP zostaje objęte uwierzytelnianiem SPNEGO.
Klucz i wartość w każdej parze są rozdzielone operatorem definiującym warunek, który ma zostać sprawdzony. Klucz identyfikuje nagłówek żądania HTTP, który ma zostać wyodrębniony z żądania i którego wartość będzie porównywana z wartością określoną w parze klucz-wartość zgodnie ze specyfikacją operatora. Jeśli żądanie HTTP nie zawiera nagłówka identyfikowanego przez klucz, warunek jest traktowany jako niespełniony.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Warunek | Operator | Przykład |
---|---|---|
Zgodne całkowicie | = = Argumenty są porównywane jako równe. |
host=host.moja.firma.com |
Zgodne częściowo (zawiera) | %= Argumenty są porównywane z dopuszczeniem częściowej zgodności. |
user-agent%=IE 6 |
Zgodne częściowo (zawiera jeden z wielu) | ^= Argumenty są porównywane z dopuszczeniem częściowej zgodności dla jednego z wielu określonych argumentów. |
request-url^=webApp1|webApp2|webApp3 |
Niezgodne | != Argumenty są porównywane jako nierówne. |
request-url!=noSPNEGO |
Większe | > Argumenty są porównywane leksykograficznie jako większe. |
remote-address>192.168.255.130 |
Mniejsze | < Argumenty są porównywane leksykograficznie jako mniejsze. |
remote-address<192.168.255.135 |
Typ danych: | String |
Nazwa klasy Java używanej w mechanizmie SPNEGO do wybrania tych żądań HTTP, które podlegają uwierzytelnianiu przy użyciu mechanizmu SPNEGO. Jeśli ten parametr nie zostanie określony, zostanie użyta domyślna klasa filtru com.ibm.ws.security.spnego.HTTPHeaderFilter.
Typ danych: | String |
Jest to ustawienie opcjonalne. Określa ono adres URL zasobu zawierającego treść dołączaną przez mechanizm SPNEGO do odpowiedzi HTTP wyświetlanej w aplikacji klienckiej przeglądarki, jeśli uwierzytelnianie przy użyciu mechanizmu SPNEGO nie jest obsługiwane.
Ta właściwość może określać zasób WWW (http://) lub zasób plikowy (file://).
<html><head><title>Uwierzytelnianie mechanizmu SPNEGO nie jest obsługiwane</title></head> <body>Uwierzytelnianie mechanizmu SPNEGO nie jest obsługiwane na tym kliencie</body></html>;
Typ danych: | String |
Ta właściwość jest opcjonalna. Określa ona adres URL zasobu zawierającego treść dołączaną przez mechanizm SPNEGO do odpowiedzi HTTP wyświetlanej w aplikacji klienckiej przeglądarki.
Ta odpowiedź HTTP jest wyświetlana w aplikacji klienckiej przeglądarki, gdy podczas uzgadniania pytanie-odpowiedź zamiast oczekiwanego znacznika SPNEGO klient przeglądarki wyśle znacznik NT LAN manager (NTLM).
<html><head><title>Odebrano znacznik NTLM.</title></head> <body>Konfiguracja przeglądarki jest poprawna, ale użytkownik nie jest zalogowany w obsługiwanej domenie Microsoft(R) Windows(R). <p>Zaloguj się do aplikacji za pomocą zwykłej strony logowania.</html>
Ta właściwość może określać zasób WWW (http://) lub zasób plikowy (file://).
Typ danych: | String |
Określa, czy delegowane referencje protokołu Kerberos mają być składowane przez mechanizm SPNEGO. Umożliwia też wydobywanie przez aplikację przechowywanych referencji oraz zstępujące propagowanie ich do innych aplikacji na potrzeby dodatkowego uwierzytelniania przy użyciu mechanizmu SPNEGO.
Ta opcja wymaga używania zaawansowanej funkcji delegowania referencji protokołu Kerberos oraz zaprojektowania niestandardowej logiki przez twórcę aplikacji. Programista musi bezpośrednio współdziałać z usługą KDC protokołu Kerberos w celu uzyskania dostępu do usługi nadania biletu (Ticket Granting Service - TGS) protokołu Kerberos przy użyciu delegowanych referencji protokołu Kerberos w imieniu użytkownika, który wysłał żądanie. Programista musi również utworzyć odpowiedni znacznik SPNEGO protokołu Kerberos i włączyć go do żądania HTTP w celu kontynuowania zstępującego procesu uwierzytelniania przy użyciu mechanizmu SPNEGO, w tym (jeśli jest to konieczne) obsługi dodatkowej wymiany pytanie-odpowiedź mechanizmu SPNEGO.
Jeśli baza KRBAuthnToken ma być propagowana do serwera znajdującego się za danym serwerem, to usługa Bilet nadania biletu musi zawierać bezadresowe i przekazywalne opcje. Jeśli klient TGT jest adresowany, serwer znajdujący się za danym serwerem nie ma referencji delegowania GSS klienta po jego propagacji.
Istnieje możliwość wyodrębnienia referencji GSSCredential delegowania klienta z bazy KRBAuthnToken, używając metody KRBAuthnToken.getGSSCredential().
Wartość domyślna: | Wyłączone |
Jest to ustawienie opcjonalne. Określa ono, czy mechanizm SPNEGO ma usuwać przyrostek nazwy użytkownika, zaczynając od znaku @ poprzedzającego nazwę dziedziny protokołu Kerberos. Jeśli ten atrybut ma wartość true, przyrostek nazwy użytkownika jest usuwany. Jeśli ten atrybut ma wartość false, przyrostek nazwy użytkownika jest zachowywany. Wartością domyślną jest wartość true.
Wartość domyślna: | Wyłączone |
Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.