SPNEGO webes hitelesítés szűrőértékei

Az Egyszerű és védett GSS-API egyeztetési mechanizmus (SPNEGO) webes hitelesítés szűrőértékei az SPNEGO különböző működési módjait vezérlik. Az alábbi oldalon minden egyes alkalmazáskiszolgálóhoz más szűrőértékek adhatók meg.

Az alábbi adminisztrációs konzol oldal megtekintéséhez kattintson a Biztonság > Globális biztonság elemre. A Hitelesítés szakaszban bontsa ki a Web és SIP biztonság ágat, majd kattintson az SPNEGO webes hitelesítés elemre. Az SPNEGO szűrők részben kattintson az Új lehetőségre, vagy válasszon ki egy szűrőt szerkesztéshez.

Hosztnév

Az SPNEGO által Kerberos biztonságos környezet létrehozásához használt teljes képzésű Kerberos szolgáltatásazonosító nevet (SPN) adja meg.

A hoszt neve a hosztnév teljes képzésű formátuma. Például: myHostname.austin.ibm.com.

A Kerberos SPN egy karaktersorozat a következő formátumban: HTTP/<teljes képzésű hosztnév>@KERBEROS_REALM . Az SPNEGO szolgáltató a teljes SPN-t a Java általános biztonsági szolgáltatással (JGSS) használja a hitelesítési folyamatban használt biztonsági hitelesítési adatok és biztonságos környezet lekérdezésére.

Adattípus: Karaktersorozat
Kerberos tartománynév

A Kerberos tartomány nevét határozza meg. A legtöbb esetben a tartomány a tartománynév nagybetűs formátumban. Egy test.austin.ibm.com tartománynevű számítógép Kerberos tartományneve lehet például AUSTIN.IBM.COM.

Ha nem adja meg a Kerberos tartománynevet, akkor a Kerberos konfigurációs fájlban meghatározott alapértelmezett tartomány kerül felhasználásra.

Szűrési feltételek

A szűrési feltételeket az SPNEGO által használt Java osztály használja.

A com.ibm.ws.security.spnego.HTTPHeaderFilter alapértelmezett megvalósítási osztály ezt a tulajdonságot kijelölési szabályok listájának meghatározásához használja, amelyek olyan feltételeket képviselnek, amelyek a HTTP kérés fejlécével vannak egyeztetve, hogy meghatározzák, a HTTP kérés ki van-e jelölve az SPNEGO hitelesítéshez.

Minden egyes feltétel egy kulcs-érték párral van megadva, pontosvesszővel tagoltan. A feltételeket a rendszer balról jobbra értékeli ki, ahogy a megadott tulajdonságban megjelennek. Ha minden feltétel megfelel, akkor HTTP kérés ki lesz jelölve az SPNEGO hitelesítéshez.

A kulcs-érték párban kulcs és az érték egy olyan műveleti jellel van elválasztva, amely meghatározza az ellenőrzött feltételt. A kulcs a kérésből kibontandó HTTP kérés fejlécét azonosítja, és az értéke a kulcs-érték párban megadott értékkel kerül összehasonlításra a műveleti jel meghatározása alapján. Ha a kulcs által azonosított fejléc nincs benne a HTTP kérésben, akkor a feltételt a rendszer nem találja egyezőnek.

Bármelyik szabványos HTTP kérés fejléc használható kulcsként a kulcs-érték párokban. Az érvényes fejlécek listáját a HTTP meghatározásban találja. Továbbá a kérésből információk kibontására két kulcs van meghatározva, amelyek szintén használhatók olyan kijelölési feltételként, amely nem érhető el szabványos HTTP kérés fejléceken keresztül. A távoli cím kulcs használható pszeudo fejlécként az ügyfélalkalmazás távoli TCP/IP címének lekéréséhez, amely a HTTP kérést küldte. A kérés-URL kulcs használható pszeudo fejlécként az URL cím lekéréséhez, amelyet az ügyfélalkalmazás kérés létrehozásához használ. Az elfogó a getRequestURL művelet eredményét a javax.servlet.http.HttpServletRequest felületen, webcím összeállításához használja. Ha jelen van egy lekérdezésművelet karaktersorozat, akkor a getQueryString művelet művelet eredménye ugyanazon a felületen is felhasználásra kerül. Ebben az esetben a teljes URL az alábbiak szerint kerül összeállításra:
String url = request.getRequestURL() + ‘?' + request.getQueryString();
1. Táblázat Szűrőfeltételek és műveletek.

Ez a táblázat a szűrő feltételeket és műveleteket írja le.

Feltétel Operátor Példa
Pontos egyezés = =

Az argumentumok összehasonlítása megegyezik.

host=host.my.company.com
Részleges egyezés (tartalmazás) %=

Az összehasonlított argumentumok részleges egyezéssel érvényesek.

user-agent%=IE 6
Részleges egyezés (többöl egyet tartalmaz) ^=

Az összehasonlított argumentumok több megadott argumentum egyikével részleges egyezéssel érvényesek.

request-url^=webApp1|webApp2|webApp3
Nincs egyezés !=

Az összehasonlított argumentumok nem egyeznek meg.

request-url!=noSPNEGO
Nagyobb, mint >

A lexografikusan összehasonlított argumentumok nagyobbak.

remote-address>192.168.255.130
Kisebb, mint <

A lexografikusan összehasonlított argumentumok kisebbek.

remote-address<192.168.255.135
Megjegyzés: A WebSphere Application Server korábbi változataiban, a SPNEGO HTTP fejléc szűrők a szóközöket, IP címeket és a != feltételt nem kezelték megfelelően, de ezek a problémák ebben a kiadásban javítva lettek.
Adattípus: Karaktersorozat
Szűrőosztály

A HTTP kérések kiválasztásához az SPNEGO hitelesítés tárgyaként használt Java osztály nevét adja meg. Ha nem adja meg ezt a paramétert, akkor az alapértelmezett szűrőosztály a com.ibm.ws.security.spnego.HTTPHeaderFilter, kerül felhasználásra.

Adattípus: Karaktersorozat
SPNEGO "nem támogatott" hibaoldal URL címe

Ez a menüpont elhagyható. Megadja azon erőforrás URL címét, amely tartalmazza azt a tartalmat, amit az SPNEGO a böngésző ügyfélalkalmazás HTTP válaszában megjelenít, ha az nem támogatja az SPNEGO hitelesítést.

Ez a tulajdonság egy webes (http://) vagy egy fájl (fájl://) erőforrást határozhat meg.

Ha ez a tulajdonság nincs megadva, vagy a beavatkozó nem találja a megadott információforrást, akkor a rendszer a következő tartalmat használja:
<html><head><title>SPNEGO hitelesítés nem támogatott</title></head>
<body>SPNEGO hitelesítés nem támogatott ezen az ügyfélen</body></html>;
Adattípus: Karaktersorozat
NTLM jelsor fogadása hibaoldal URL címe

Ez a tulajdonság elhagyható. Megadja azon erőforrás URL címét, amely tartalmazza azt a tartalmat, amit az SPNEGO a böngésző ügyfélalkalmazás HTTP válaszában megjelenít.

A böngésző ügyfélalkalmazás ezt a HTTP választ akkor jeleníti meg, ha a böngésző ügyfél egy NT LAN kezelő (NTLM) jelsort küld a várt SPNEGO jelsor helyett a hívás-válasz egyeztetés során.

Ha ez a tulajdonság nincs megadva, vagy a beavatkozó nem találja a megadott információforrást, akkor a rendszer a következő tartalmat használja:
<html><head><title>NTLM jelsor érkezett.</title></head>
<body>A böngésző beállítása helyes, de nem jelentkezett be a támogatott
Microsoft(R) Windows(R) tartományba.
<p>Jelentkezzen be az alkalmazásba a szokásos bejelentkezési oldalon.</html>

Ez a tulajdonság egy webes (http://) vagy egy fájl (fájl://) erőforrást határozhat meg.

Adattípus: Karaktersorozat
Kerberos hitelesítési adatok delegálásának engedélyezése

Megadja, hogy a Kerberos delegált hitelesítési adatait az SPNEGO tárolhatja-e. Lehetővé teszi egy alkalmazás számára a tárolt hitelesítési adatok lekérését, majd továbbítását egyéb alkalmazásfolyamokhoz, további SPNEGO hitelesítéshez.

Ez a beállítás megköveteli a speciális Kerberos hitelesítési adatok delegálási szolgáltatásának használatát, valamint az alkalmazásfejlesztőtől egy egyéni funkció fejlesztését. A fejlesztőnek közvetlenül a Kerberos kulcselosztó központtal együttműködve meg kell szereznie a Jegy adományozási szolgáltatást (TGS), a delegált Kerberos hitelesítő adatok használatával, annak a felhasználónak a nevében, akitől a kérés ered. A fejlesztőnek össze kell állítania a megfelelő Kerberos SPNEGO jelsort, majd bele kell foglalnia a HTTP kérésbe az SPNEGO hitelesítési folyamat folytatásához, beleértve a további SPNEGO hívás-válasz cserét, ha szükséges.

Megjegyzés: Ha ez a beállítás engedélyezett (alapértelmezés), akkor a GSSCredential nem sorosítható és nem továbbítható az alsóbb szintű kiszolgálónak. A rendszer kibontja az ügyfél Kerberos meghatalmazási hitelesítő adatokat, és létrehozza a KRBAuthnToken alapot. A KRBAuthnToken tartalmazza az ügyfél Kerberos meghatalmazást és továbbítható az alsóbb szintű kiszolgálónak.

Ha továbbítani szeretné a KRBAuthnToken jelsort egy alsóbb szintű kiszolgálónak, akkor a Jegyadományozási jegynek (TGT) cím nélküli és továbbítható beállításokat kell tartalmaznia. Ha az ügyfél TGT címzett, akkor az alsóbb szintű kiszolgáló nem rendelkezik ügyfél GSS meghatalmazási hitelesítő adatokkal a továbbítás után.

Az ügyfél meghatalmazási GSSCredential a KRBAuthnToken.getGSSCredential() metódussal bontható ki a KRBAuthnToken jelsorból.

Alapértelmezett: Tiltott
Kerberos tartomány levágása az azonosítónévből

Ez a menüpont elhagyható. Megadja, hogy az SPNEGO eltávolítja-e az azonosító felhasználónév utótagját, a @ karaktertől kezdve, amely megelőzi a Kerberos tartománynevet. Ha ez az attribútum igaz értékre van beállítva, akkor az azonosító felhasználónév utótagja eltávolításra kerül. Ha ez az attribútum hamis értékre van beállítva, akkor az azonosítónév megmarad. A használt alapértelmezett érték az igaz.

Megjegyzés: Ezt a mezőt true értékre kell állítani, ha z/OS rendszeren a helyi operációs rendszert és a beépített leképzési modult egyaránt használja Kerberos azonosított szereplők leképzésére SAF azonosságokra.
Alapértelmezett: Tiltott



A jelzett hivatkozások (online) Internet-hozzáférést igényelnek.

Kapcsolódó hivatkozás
SPNEGO webes hitelesítés engedélyezése
Kerberos hitelesítés


Fájlnév: usec_kerb_SPNEGO_edit.html