Valores do Filtro de Autenticação da Web SPNEGO

Os valores do filtro de Autenticação da Web SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlam os diferentes aspectos do SPNEGO. Utilize essa página para especificar diferentes valores de filtro para cada servidor de aplicativos.

Para exibir essa página do console administrativo, clique em Segurança > Segurança global. Em Autenticação, expanda Segurança da Web e do SIP e, em seguida, clique em Autenticação da Web SPNEGO. Em Filtros do SPNEGO, clique em Novo ou selecione um filtro para ser editado.

Nome do Host

Especifica o nome completo do host no SPN (Service Principal Name) do Kerberos que é utilizado pelo SPNEGO para estabelecer um contexto seguro do Kerberos.

O nome do host é o formato completo do nome do host. Por exemplo, myHostname.austin.ibm.com.

O SPN Kerberos é uma cadeia no formato HTTP/<nome completo do host>@KERBEROS_REALM . O SPN completo é utilizado com o JGSS (Java Generic Security Service) pelo provedor SPNEGO para obter a credencial de segurança e o contexto de segurança que são utilizados no processo de autenticação.

Tipo de dados: Cadeia
Nome da Região do Kerberos

Especifica o nome de sua região do Kerberos. Na maioria dos casos, a região é o nome do domínio em letras maiúsculas. Por exemplo, uma máquina com o nome de domínio de test.austin.ibm.com poderia ter geralmente um nome de região do Kerberos de AUSTIN.IBM.COM.

Se você não especificar o nome da região do Kerberos, a região padrão que está definida no arquivo de configuração do Kerberos será utilizada.

Critérios de Filtragem

Os critérios de filtragem utilizados pela classe Java utilizado pelo SPNEGO.

A classe de implementação padrão com.ibm.ws.security.spnego.HTTPHeaderFilter utiliza essa propriedade para definir uma lista de regras de seleção que representam condições que são correspondidas com os cabeçalhos de um pedido de HTTP para determinar se ele está selecionado, ou não, para autenticação SPNEGO.

Cada condição é especificada com um par chave-valor, separados um do outro por um ponto-e-vírgula. As condições são avaliadas da esquerda para a direita, à medida que são exibidas na propriedades especificada. Se todas as condições forem satisfeitas, o pedido HTTP será selecionado para a autenticação SPNEGO.

A chave e o valor no par chave-valor são separados por um operador que define qual condição será verificada. A chave identifica um cabeçalho de pedido HTTP a ser extraído do pedido e seu valor é comparado com o valor especificado no par chave-valor de acordo com a especificação do operador. Se o cabeçalho identificado pela chave não estiver presente no pedido HTTP, a condição será tratada como não sendo satisfeita.

Qualquer um dos cabeçalhos de pedido HTTP padrão pode ser utilizado como chave nos pares chave-valor. Consulte a especificação HTTP para a lista de cabeçalhos válidos. Além disso, duas chaves são definidas para extrair informações do pedido, também útil como um critério de seleção, que não está disponível por meio dos cabeçalhos do pedido HTTP padrão. A chave de endereço remota é utilizada como um pseudo cabeçalho para recuperar o endereço TCP/IP remoto do aplicativo cliente que enviou o pedido HTTP. A chave pedido-URL é utilizada como um pseudo cabeçalho para recuperar a URL utilizada pelo aplicativo cliente para fazer o pedido. O interceptor utiliza o resultado da operação getRequestURL na interface javax.servlet.http.HttpServletRequest para construir o endereço da Web. Se uma cadeia de consulta estiver presente, o resultado da operação getQueryString na mesma interface também será utilizada. Nesse caso, a URL é construída com segue:
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Tabela 1. Condições e Operações do Filtro.

Essa tabela descreve as condições e operações de critério de filtragem.

Condição Operador Exemplo
Corresponder exatamente = =

Os argumentos são comparados como iguais.

host=host.my.company.com
Corresponder parcialmente (inclusões) %=

Os argumentos são comparados com uma correspondência parcial como válidos.

user-agent%=IE 6
Corresponder parcialmente (inclui um de muitos) ^=

Os argumentos são comparados com uma correspondência parcial como válidos para um de muitos argumentos especificados.

request-url^=webApp1|webApp2|webApp3
Não corresponder !=

Os argumentos são comparados como não iguais.

request-url!=noSPNEGO
Maior que >

Os argumentos são comparados lexograficamente como maiores que.

remote-address>192.168.255.130
Menor que <

Os argumentos são comparados lexograficamente como menores que.

remote-address<192.168.255.135
Nota: Nas versões anteriores do WebSphere Application Server, os filtros de cabeçalho HTTP SPNEGO não manipulavam espaços, endereços IP e a condição != corretamente, porém esses problemas foram corrigidos nesse release.
Tipo de dados: Cadeia
Classe de Filtro

Especifica o nome da classe Java que é utilizada pelo SPNEGO para selecionar quais pedidos de HTTP estão sujeitos à autenticação SPNEGO. Se você não especificar esse parâmetro, a classe de filtro padrão, com.ibm.ws.security.spnego.HTTPHeaderFilter, será utilizada.

Tipo de dados: Cadeia
URL da Página de Erro de SPNEGO Não Suportado

Essa seleção é opcional. Especifica a URL de um recurso que possui o conteúdo que o SPNEGO incluirá na resposta de HTTP exibida pelo aplicativo cliente do navegador se ele não suportar autenticação SPNEGO.

Essa propriedade pode especificar um recurso da Web (http://) ou em arquivo (file://).

Se essa propriedade não for especificada, ou o interceptor não puder localizar o recurso especificado, o seguinte conteúdo será utilizado:
<html><head><title>A
autenticação SPNEGO não é suportada</title></head>
<body>A autenticação SPNEGO não é suportada nesse cliente</body></html>;
Tipo de dados: Cadeia
URL da Página de Erro de Token NTLM Recebido

Esta propriedade é opcional. Especifica a URL de um recurso que possui o conteúdo que o SPNEGO incluirá na resposta de HTTP, que é exibida pelo aplicativo cliente do navegador.

O aplicativo cliente do navegador exibe essa resposta de HTTP quando o cliente do navegador envia um token NTLM (NT LAN Manage) em vez do token SPNEGO esperado durante o handshake de contestação/resposta.

Se essa propriedade não for especificada ou o interceptor não puder localizar o recurso especificado, o seguinte conteúdo será utilizado:
<html><head><title>Um Token NTLM foi recebido. </title></head>
<body>Sua configuração do navegador está correta, mas você não
efetuou login num
Microsoft(R) Windows(R) Domain suportado.
<p>Efetue login no aplicativo utilizando a página de login normal. </html>

Essa propriedade pode especificar um recurso da Web (http://) ou em arquivo (file://).

Tipo de dados: Cadeia
Ativar Delegação de Credenciais Kerberos

Especifica se as credenciais delegadas pelo Kerberos devem ser armazenadas pelo SPNEGO. Permite também que um aplicativo recupere as credenciais armazenadas e propague-as para outros aplicativos de recebimento de dados para autenticação SPNEGO adicional.

Essa opção exige o uso do recurso de delegação de credencial avançada do Kerberos e o desenvolvimento de lógica customizada pelo desenvolvedor de aplicativos. O desenvolvedor deve interagir diretamente com o Kerberos KDC para obter um Ticket Granting Service (TGS) do Kerberos utilizando as credenciais do Kerberos delegadas em nome do usuário que originou o pedido. O desenvolvedor também deve construir o token Kerberos SPNEGO apropriado e incluí-lo no pedido HTTP para continuar o processo de autenticação SPNEGO de recebimento de dados, incluindo o manuseio da troca desafio-resposta adicional do SPNEGO, quando necessário.

Nota: Se essa opção estiver ativada (que é o padrão), GSSCredential não será serializável e não poderá ser propagada para o servidor de recebimento de dados. A credencial de delegação do Kerberos cliente será extraída e a base KRBAuthnToken será criada. O KRBAuthnToken contém a delegação do Kerberos cliente e pode ser propagado para um servidor de recebimento de dados.

Se quiser propagar o KRBAuthnToken para um servidor de recebimento de dados, o Ticket Granting Ticket (TGT) cliente deverá conter opções sem endereço e redirecionáveis. Se um TGT cliente estiver endereçado, o servidor de recebimento de dados não terá uma credencial de delegação do GSS cliente após ser propagado.

Você pode extrair a GSSCredential de delegação do cliente de um KRBAuthnToken utilizando o método KRBAuthnToken.getGSSCredential().

Padrão: Desativado
Remover Região do Kerberos do Nome do Proprietário

Essa seleção é opcional. Especifica se o SPNEGO removerá o sufixo do nome de usuário do proprietário, iniciando a partir do @ que precede o nome da região do Kerberos. Se esse atributo for configurado como true, o sufixo do nome do usuário do proprietário será removido. Se esse atributo estiver configurado como false, o sufixo do nome do proprietário será retido. O valor padrão utilizado é true.

Nota: É necessário configurar esse campo para true se você estiver usando o registro do Sistema Operacional Local no z/OS e o módulo de mapeamento integrado para mapear os proprietários Kerberos para as identidades SAF.
Padrão: Desativado



Links marcados (on-line) requerem acesso à Internet.

Referências relacionadas
Ativação de Autenticação da Web SPNEGO
Autenticação Kerberos


Nome do arquivo: usec_kerb_SPNEGO_edit.html