Hodnoty filtru webového ověřování jednoduchého mechanizmu vyjednávání GSS-API (SPNEGO) řídí různé aspekty mechanizmu SPNEGO. Tato stránka slouží k zadání různých hodnot filtrů pro jednotlivé aplikační servery.
Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení. V části Ověřování rozbalte kategorii Webové zabezpečení a zabezpečení SIP a klepněte na volbu Webové ověřování SPNEGO. V části Filtry SPNEGO klepněte na tlačítko Nový nebo vyberte filtr, který chcete upravit.
Udává plně určený název hostitele v hlavním názvu služby Kerberos (SPN) používaný mechanismem SPNEGO k vytvoření zabezpečeného kontextu Kerberos.
Název hostitele je plně určená forma názvu hostitele. Příklad: myHostname.austin.ibm.com.
Název SPN ověřování Kerberos SPN je řetězec ve tvaru HTTP/<úplný název hostitele>@KERBEROS_REALM . Kompletní název SPN je spolu se službou Java Generic Security Service (JGSS) používán poskytovatelem SPNEGO k získání pověření zabezpečení a kontextu zabezpečení v procesu ověření.
Datový typ: | Řetězec |
Určuje název sféry ověřování Kerberos. Ve většině případů je názvem sféry název domény zapsaný velkými písmeny. Počítači s názvem domény test.austin.ibm.com by za normálních okolností odpovídal název domény ověřování Kerberos AUSTIN.IBM.COM.
Pokud nezadáte název sféry ověřování Kerberos, bude použita výchozí sféra definovaná v konfiguračním souboru ověřování Kerberos.
Podmínky filtrování používané třídou prostředí Java, která je používána mechanismem SPNEGO.
Výchozí implementační třída com.ibm.ws.security.spnego.HTTPHeaderFilter používá tuto vlastnost k definování seznamu pravidel pro výběr, která představují podmínky, pro něž se zjišťuje shoda se záhlavími požadavků HTTP a určuje se, zda je příslušný požadavek HTTP vybrán pro ověřování SPNEGO či nikoli.
Každá podmínka je určena dvojicí klíč-hodnota. Dvojice jsou vzájemně odděleny středníkem. Podmínky jsou vyhodnocovány zleva doprava v pořadí, v jakém jsou zobrazeny v rámci určené vlastnosti. Jsou-li splněny všechny podmínky, je požadavek HTTP vybrán pro ověřování SPNEGO.
Klíč a hodnota ve dvojici klíč-hodnota jsou odděleny operátorem, který definuje ověřovanou podmínku. Klíč identifikuje záhlaví požadavku HTTP, které má být extrahováno z požadavku; tato hodnota je porovnána s hodnotou určenou ve dvojici klíč-hodnota podle určeného operátoru. Není-li záhlaví určené klíčem obsaženo v požadavku HTTP, je podmínka považována za nesplněnou.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Podmínka | Operátor | Příklad |
---|---|---|
Přesná shoda | = = Argumenty jsou porovnány s ohledem na shodu. |
host=host.my.company.com |
Částečná shoda (obsaženo) | %= Při porovnání argumentů platí částečná shoda. |
user-agent%=IE 6 |
Částečná shoda (obsaženo v jednom z více argumentů) | ^= Při porovnání argumentů platí částečná shoda u jednoho z více argumentů. |
request-url^=webApp1|webApp2|webApp3 |
Bez shody | != Argumenty jsou porovnávány s ohledem na absenci shody. |
request-url!=noSPNEGO |
Větší než | > Argumenty jsou porovnány lexograficky podle relace větší než. |
remote-address>192.168.255.130 |
Menší než | < Argumenty jsou porovnány lexograficky podle relace menší než. |
remote-address<192.168.255.135 |
Datový typ: | Řetězec |
Název třídy prostředí Java, která je používána mechanismem SPNEGO k výběru požadavků HTTP, pro které bude použito ověřování SPNEGO. Pokud tento parametr neurčíte, bude použita výchozí třída filtru com.ibm.ws.security.spnego.HTTPHeaderFilter.
Datový typ: | Řetězec |
Tato volba je volitelná. Určuje adresu URL prostředku obsahujícího obsah, který je protokolem SPNEGO vložen do odpovědi HTTP zobrazené klientskou aplikací (prohlížečem), není-li ověřování SPNEGO podporováno.
Tato vlastnost může určovat webový prostředek (http://) nebo prostředek souboru (file://).
<html><head><title>Ověřování SPNEGO není podporováno</title></head> <body>Ověřování SPNEGO není v tomto klientu podporováno.</body></html>;
Datový typ: | Řetězec |
Tato vlastnost je volitelná. Určuje adresu URL prostředku obsahujícího obsah, který je protokolem SPNEGO vložen do odpovědi HTTP zobrazené klientskou aplikací (prohlížečem).
Klientská aplikace (prohlížeč) zobrazí tuto odpověď HTTP, pokud klient prohlížeče odešle během dohodování způsobem výzva-odpověď token NTLM (NT LAN Manager).
<html><head><title>Byl přijat token NTLM.</title></head> <body>Konfigurace prohlížeče je správná, nejste však přihlášení k podporované doméně Microsoft(R) Windows(R). <p>Přihlašte se k aplikaci prostřednictvím běžné přihlašovací stránky.</html>
Tato vlastnost může určovat webový prostředek (http://) nebo prostředek souboru (file://).
Datový typ: | Řetězec |
Určuje, zda mají být pověření delegovaná ověřováním Kerberos ukládána mechanismem SPNEGO. Zároveň povoluje aplikaci načítat uložená pověření a šířit je do dalších aplikací ve směru zpracování pro účely dalšího ověřování SPNEGO.
Tato volba vyžaduje použití funkce rozšířeného delegování pověření Kerberos a vývoj vlastní logiky vývojářem aplikace. Vývojář musí získat službu Kerberos TGS (Ticket Granting Service) přímo z rozhraní Kerberos KDC s použitím delegovaných pověřovacích údajů Kerberos pro uživatele, od kterého požadavek pochází. Vývojář musí rovněž sestavit odpovídající token SPNEGO Kerberos SPNEGO a zahrnout jej do požadavku HTTP pro pokračování procesu ověřování SPNEGO ve směru zpracování včetně zpracování další výměny SPNEGO na principu výzva-odpověď (v případě potřeby).
Chcete-li šířit prvek KRBAuthnToken na další server, musí prvek TGT (Ticket Granting Ticket) obsahovat volby bez adresy a s možností předání. Je-li klient TGT adresován, další server v cestě zpracování nebude mít po předání pověřovacích údajů delegování GSS klienta tyto údaje k dispozici.
Pověřovací údaje delegování klienta můžete extrahovat z prvku KRBAuthnToken pomocí metody KRBAuthnToken.getGSSCredential().
Výchozí hodnota: | Zakázáno |
Tato volba je volitelná. Určuje, zda má mechanizmus SPNEGO odebírat příponu jména uživatele činitele počínaje znakem @ uvedeným před názvem sféry Kerberos. Je-li tento atribut nastaven na hodnotu true, bude předpona jména uživatele činitele odebrána. Je-li tento atribut nastaven na hodnotu false, bude předpona jména uživatele činitele zachována. Výchozí použitá hodnota je true.
Výchozí hodnota: | Zakázáno |
Odkazy s označením (online) vyžadují přístup k Internetu.