Valeurs du filtre d'authentification Web SPNEGO

Les valeurs du filtre d'authentification Web SPNEGO (Simple and Protected GSS-API Negotiation) contrôlent différents aspects du mécanisme SPNEGO. Cette page permet d'indiquer différentes valeurs de filtre pour chaque serveur d'applications.

Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Sécurité globale. Dans Authentification, développez Web et sécurité SIP, puis cliquez sur Authentification Web SPNEGO. Sous Filtres SPNEGO, cliquez sur Nouveau ou sélectionnez un filtre à éditer.

Nom d'hôte

Indique le nom d'hôte qualifié complet dans le nom principal de service Kerberos (SPN) utilisé par SPNEGO pour établir un contexte Kerberos sécurisé.

Le nom d'hôte correspond à la forme qualifiée complète du nom d'hôte. Par exemple, myHostname.austin.ibm.com.

Le SPN Kerberos est une chaîne de format HTTP/<nom d'hôte qualifié complet>@KERBEROS_REALM . Le SPN complet est utilisé avec Java Generic Security Service (JGSS) par le fournisseur SPNEGO afin d'obtenir les justificatif de sécurité et contexte de sécurité utilisés au cours du processus d'identification.

Type de données : Chaîne
Nom du domaine Kerberos

Indique le nom de votre domaine Kerberos. Dans la plupart des cas, votre domaine Kerberos correspond au nom de domaine en majuscules. Par exemple, une machine ayant le nom de domaine test.austin.ibm.com possède généralement le nom de domaine Kerberos AUSTIN.IBM.COM.

Si vous ne spécifiez pas le nom du domaine Kerberos, le domaine par défaut défini dans le fichier de configuration Kerberos est utilisé.

Critères de filtrage

Critères de filtrage utilisés par la classe Java elle-même utilisée par SPNEGO.

La classe d'implémentation par défaut com.ibm.ws.security.spnego.HTTPHeaderFilter utilise cette propriété pour définir une liste de règles de sélection. Ces règles constituent les conditions qui sont comparées aux en-têtes de requête HTTP afin de déterminer si la requête HTTP est retenue ou non pour l'authentification SPNEGO.

Chaque condition est spécifiée avec une paire clé-valeur, séparées les unes des autres par un point-virgule. Les conditions sont évaluées de gauche à droite, comme elles apparaissent dans la propriété spécifiée. Si toutes les conditions sont remplies, la requête HTTP est sélectionnée pour l'authentification SPNEGO.

La clé et la valeur qui constituent la paire clé-valeur sont séparées par un opérateur qui détermine la condition à vérifier. La clé identifie un en-tête de requête HTTP à extraire de la requête, sa valeur est ensuite comparée à la valeur spécifiée dans la paire clé-valeur selon la spécification de l'opérateur. Si l'en-tête qui est identifié par la clé n'est pas présent dans la requête HTTP, la condition est considérée comme non remplie.

Tout en-tête de requête HTTP standard peut être utilisé comme clé dans les paires clé-valeur. Reportez-vous à la spécification HTTP pour obtenir la liste des en-têtes valides. En outre, deux clés sont définies pour extraire des informations de la requête. Ces clés sont également utiles comme critère de sélection qui n'est pas toujours disponible via les en-têtes de requêtes HTTP standards. La clé d'adresse distante est utilisée comme pseudo en-tête afin de récupérer l'adresse TCP/IP distante de l'application client à l'origine de la requête HTTP. La clé de requête d'URL est utilisée comme pseudo en-tête afin de récupérer l'adresse URL utilisée par l'application client pour émettre la requête. L'intercepteur utilise le résultat de l'opération getRequestURL dans l'interface javax.servlet.http.HttpServletRequest pour construire les adresses Web. Si une chaîne de requête est présente, le résultat de l'opération getQueryString dans la même interface est également utilisé. Dans ce cas, l'adresse URL complète est construite de la manière suivante :
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Tableau 1. Conditions et opérations des filtres.

Ce tableau répertorie les crtières et les opérations de filtrage.

Condition Opérateur Exemple
Correspondance exacte = =

Les arguments sont comparés comme étant égaux.

host=host.my.company.com
Correspondance partielle (inclut) %=

Les arguments sont comparés avec une correspondance partielle valide.

user-agent%=IE 6
Correspondance partielle (en inclut un sur un grand nombre) ^=

Les arguments sont comparés avec une correspondance partielle qui est valide pour un des nombreux arguments spécifiés.

request-url^=webApp1|webApp2|webApp3
Pas de correspondance !=

Les arguments sont comparés comme étant inégaux.

request-url!=noSPNEGO
Supérieur à >

Les arguments sont comparés de manière lexicographique comme étant supérieurs à.

remote-address>192.168.255.130
Inférieur à <

Les arguments sont comparés de manière lexicographique comme étant inférieurs à.

remote-address<192.168.255.135
Remarque : Dans les versions précédentes de WebSphere Application Server, les filtres d'en-tête SPNEGO HTTP ne traitaient pas les espaces, les adresses IP et la condition != correctement, mais ces problèmes ont été corrigés dans cette version.
Type de données : Chaîne
Classe du filtre

Indique le nom de la classe Java utilisée par SPNEGO pour sélectionner les requêtes HTTP sujettes à l'authentification SPNEGO. Si vous n'indiquez pas ce paramètre, la classe de filtre par défaut com.ibm.ws.security.spnego.HTTPHeaderFilter est utilisée.

Type de données : Chaîne
SPNEGO ne prend pas en charge une adresse URL de page d'erreurs

Cette option est facultative. Elle indique l'adresse URL d'une ressource contenant les éléments que SPNEGO inclut dans la réponse HTTP affichée par l'application du client de navigation si elle ne prend pas en charge l'authentification SPNEGO.

Cette propriété peut définir une ressource Web (http://) ou de fichier (file://).

Si cette propriété n'est pas précisée ou si l'intercepteur ne parvient pas à trouver la ressource spécifiée, le contenu suivant est utilisé :
<html><head><title>SPNEGO authentication is not supported</title></head>
<body>SPNEGO authentication is not supported on this client</body></html>;
Type de données : Chaîne
URL de page d'erreurs du jeton NTLM reçu

Cette propriété est facultative. Cette option permet d'indiquer l'URL d'une ressource contenant les éléments que SPNEGO inclut dans la réponse HTTP à afficher par l'application client de navigation.

L'application du client de navigation affiche la réponse HTTP lorsque le client de navigation envoie un jeton NTLM (NT LAN manager) au lieu du jeton SPNEGO prévu lors de l'établissement de la liaison stimulation-réponse.

Si cette propriété n'est pas précisée ou si l'intercepteur ne parvient pas à trouver la ressource spécifiée, le contenu suivant est utilisé :
<html><head><title>Un jeton NTLM a été reçu.</title></head>
<body>La configuration de votre navigateur est correcte mais vous ne vous êtes pas connecté à un
domaine Microsoft(R) Windows(R) pris en charge.
<p>Veuillez vous connecter à l'application au moyen de la page de connexion normale.</html>

Cette propriété peut définir une ressource Web (http://) ou de fichier (file://).

Type de données : Chaîne
Activer la délégation des justificatifs Kerberos

Indique si les justificatifs délégués Kerberos doivent être stockés par SPNEGO. Cette option active également une application pour extraire les justificatifs stockés et pour les propager vers d'autres applications pour une authentification SPNEGO supplémentaire.

Cette option requiert l'utilisation de la fonction de délégation de justificatif Kerberos avancée et le développement de la logique personnalisée par le développeur d'application. Ce dernier doit directement interagir avec le KDC Kerberos afin d'obtenir un service TGS (Kerberos Ticket Granting Service) au moyen des données d'identification Kerberos déléguées pour le compte de l'utilisateur à l'origine de la requête. Le développeur doit aussi construire le jeton SPNEGO Kerberos approprié et l'intégrer dans la requête HTTP afin de poursuivre le processus d'authentification SPNEGO en aval et notamment gérer des échanges stimulation-réponse SPNEGO supplémentaires.

Remarque : Si cette option est activée (valeur par défaut), l'identification GSSCredential n'est pas sérialisable et ne peut pas être propagée au serveur en aval. Les données d'identification Kerberos déléguées par le client sont extraites et la base KRBAuthnToken est créée. Le jeton KRBAuthnToken contient la délégation Kerberos du client et peut être propagé à un serveur en aval.

Si vous voulez propager le jeton KRBAuthnToken à un serveur en aval, le ticket TGT (Ticket Granting Ticket) doit contenir des options sans adresse et transmissible. Si un ticket TGT d'un client a une adresse, le serveur en aval n'a pas de données d'identification GSS déléguées par le client après sa propagation.

Vous pouvez extraire l'identification GSSCredential déléguée par le client à partir du jeton KRBAuthnToken au moyen de la méthode KRBAuthnToken.getGSSCredential().

Valeur par défaut Désactivé
Retirer le domaine Kerberos du nom de principal

Cette option est facultative. Elle indique si SPNEGO supprime le suffixe du nom d'utilisateur principal, à partir du caractère @ précédant le nom de domaine Kerberos. Si la valeur true est attribuée à cet attribut, le suffixe du nom d'utilisateur principal est supprimé. Si cet attribut est défini sur false, le suffixe du nom de principal est conservé. La valeur utilisée par défaut est true.

Remarque : Vous devez entrer true dans cette zone si vous utilisez le registre du système d'exploitation local sur z/OS et le module de mappage intégré pour mapper les principaux Kerberos aux identités SAF.
Valeur par défaut Désactivé



Les liens marqués (en ligne) requièrent un accès à Internet.

Référence associée
Activation de l'authentification Web SPNEGO
Page d'authentification Kerberos


Nom du fichier : usec_kerb_SPNEGO_edit.html