Hodnoty filtru webového ověřování SPNEGO

Hodnoty filtru webového ověřování jednoduchého mechanizmu vyjednávání GSS-API (SPNEGO) řídí různé aspekty mechanizmu SPNEGO. Tato stránka slouží k zadání různých hodnot filtrů pro jednotlivé aplikační servery.

Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení. V části Ověřování rozbalte kategorii Webové zabezpečení a zabezpečení SIP a klepněte na volbu Webové ověřování SPNEGO. V části Filtry SPNEGO klepněte na tlačítko Nový nebo vyberte filtr, který chcete upravit.

Název hostitele

Udává plně určený název hostitele v hlavním názvu služby Kerberos (SPN) používaný mechanismem SPNEGO k vytvoření zabezpečeného kontextu Kerberos.

Název hostitele je plně určená forma názvu hostitele. Příklad: myHostname.austin.ibm.com.

Název SPN ověřování Kerberos SPN je řetězec ve tvaru HTTP/<úplný název hostitele>@KERBEROS_REALM . Kompletní název SPN je spolu se službou Java Generic Security Service (JGSS) používán poskytovatelem SPNEGO k získání pověření zabezpečení a kontextu zabezpečení v procesu ověření.

Datový typ: Řetězec
Název sféry Kerberos

Určuje název sféry ověřování Kerberos. Ve většině případů je názvem sféry název domény zapsaný velkými písmeny. Počítači s názvem domény test.austin.ibm.com by za normálních okolností odpovídal název domény ověřování Kerberos AUSTIN.IBM.COM.

Pokud nezadáte název sféry ověřování Kerberos, bude použita výchozí sféra definovaná v konfiguračním souboru ověřování Kerberos.

Kritéria filtru

Podmínky filtrování používané třídou prostředí Java, která je používána mechanismem SPNEGO.

Výchozí implementační třída com.ibm.ws.security.spnego.HTTPHeaderFilter používá tuto vlastnost k definování seznamu pravidel pro výběr, která představují podmínky, pro něž se zjišťuje shoda se záhlavími požadavků HTTP a určuje se, zda je příslušný požadavek HTTP vybrán pro ověřování SPNEGO či nikoli.

Každá podmínka je určena dvojicí klíč-hodnota. Dvojice jsou vzájemně odděleny středníkem. Podmínky jsou vyhodnocovány zleva doprava v pořadí, v jakém jsou zobrazeny v rámci určené vlastnosti. Jsou-li splněny všechny podmínky, je požadavek HTTP vybrán pro ověřování SPNEGO.

Klíč a hodnota ve dvojici klíč-hodnota jsou odděleny operátorem, který definuje ověřovanou podmínku. Klíč identifikuje záhlaví požadavku HTTP, které má být extrahováno z požadavku; tato hodnota je porovnána s hodnotou určenou ve dvojici klíč-hodnota podle určeného operátoru. Není-li záhlaví určené klíčem obsaženo v požadavku HTTP, je podmínka považována za nesplněnou.

Jako klíč v páru klíč-hodnota může být použito kterékoli standardní záhlaví požadavku HTTP. Seznam platných záhlaví lze najít ve specifikaci protokolu HTTP. Kromě toho jsou za účelem extrakce informací z požadavku definovány dva klíče, užitečné také jako kritéria výběru, která nejsou prostřednictvím standardních záhlaví požadavků HTTP dostupná. Klíč vzdálené adresy slouží jako falešné záhlaví pro načtení vzdálené adresy TCP/IP klientské aplikace, která odeslala požadavek HTTP. Klíč adresy URL požadavku slouží jako falešné záhlaví pro načtení adresy URL, která je použita klientskou aplikací pro vytvoření požadavku. Zachytávač pomocí výsledku operace getRequestURL v rozhraní javax.servlet.http.HttpServletRequest vytvoří webovou adresu. Při zadání řetězce dotazu je použit také výsledek operace getQueryString ve stejném rozhraní. V tomto případě je úplná adresa URL vytvořena následujícím způsobem:
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Tabulka 1. Operace a podmínky filtrů.

Tato tabulka popisuje operace a podmínky kritérií filtru.

Podmínka Operátor Příklad
Přesná shoda = =

Argumenty jsou porovnány s ohledem na shodu.

host=host.my.company.com
Částečná shoda (obsaženo) %=

Při porovnání argumentů platí částečná shoda.

user-agent%=IE 6
Částečná shoda (obsaženo v jednom z více argumentů) ^=

Při porovnání argumentů platí částečná shoda u jednoho z více argumentů.

request-url^=webApp1|webApp2|webApp3
Bez shody !=

Argumenty jsou porovnávány s ohledem na absenci shody.

request-url!=noSPNEGO
Větší než >

Argumenty jsou porovnány lexograficky podle relace větší než.

remote-address>192.168.255.130
Menší než <

Argumenty jsou porovnány lexograficky podle relace menší než.

remote-address<192.168.255.135
Poznámka: V předchozích verzích produktu WebSphere Application Server filtry záhlaví HTTP ověřování SPNEGO nezpracovávaly správně mezery, adresy IP a podmínky !=, avšak tyto problémy byly v této verzi opraveny.
Datový typ: Řetězec
Třída filtru

Název třídy prostředí Java, která je používána mechanismem SPNEGO k výběru požadavků HTTP, pro které bude použito ověřování SPNEGO. Pokud tento parametr neurčíte, bude použita výchozí třída filtru com.ibm.ws.security.spnego.HTTPHeaderFilter.

Datový typ: Řetězec
Adresa URL chybové stránky, není-li mechanizmus SPNEGO podporován

Tato volba je volitelná. Určuje adresu URL prostředku obsahujícího obsah, který je protokolem SPNEGO vložen do odpovědi HTTP zobrazené klientskou aplikací (prohlížečem), není-li ověřování SPNEGO podporováno.

Tato vlastnost může určovat webový prostředek (http://) nebo prostředek souboru (file://).

Pokud tato vlastnost není zadána nebo pokud zachytávač nenalezl určený prostředek, bude použit následující obsah:
<html><head><title>Ověřování SPNEGO není podporováno</title></head>
<body>Ověřování SPNEGO není v tomto klientu podporováno.</body></html>;
Datový typ: Řetězec
Adresa URL chybové stránky v případě přijetí tokenu NTLM

Tato vlastnost je volitelná. Určuje adresu URL prostředku obsahujícího obsah, který je protokolem SPNEGO vložen do odpovědi HTTP zobrazené klientskou aplikací (prohlížečem).

Klientská aplikace (prohlížeč) zobrazí tuto odpověď HTTP, pokud klient prohlížeče odešle během dohodování způsobem výzva-odpověď token NTLM (NT LAN Manager).

Pokud tato vlastnost není zadána nebo pokud zachytávač nenalezl určený prostředek, bude použit následující obsah:
<html><head><title>Byl přijat token NTLM.</title></head>
<body>Konfigurace prohlížeče je správná, nejste však přihlášení k podporované
doméně Microsoft(R) Windows(R).
<p>Přihlašte se k aplikaci prostřednictvím běžné přihlašovací stránky.</html>

Tato vlastnost může určovat webový prostředek (http://) nebo prostředek souboru (file://).

Datový typ: Řetězec
Povolit delegování pověření Kerberos

Určuje, zda mají být pověření delegovaná ověřováním Kerberos ukládána mechanismem SPNEGO. Zároveň povoluje aplikaci načítat uložená pověření a šířit je do dalších aplikací ve směru zpracování pro účely dalšího ověřování SPNEGO.

Tato volba vyžaduje použití funkce rozšířeného delegování pověření Kerberos a vývoj vlastní logiky vývojářem aplikace. Vývojář musí získat službu Kerberos TGS (Ticket Granting Service) přímo z rozhraní Kerberos KDC s použitím delegovaných pověřovacích údajů Kerberos pro uživatele, od kterého požadavek pochází. Vývojář musí rovněž sestavit odpovídající token SPNEGO Kerberos SPNEGO a zahrnout jej do požadavku HTTP pro pokračování procesu ověřování SPNEGO ve směru zpracování včetně zpracování další výměny SPNEGO na principu výzva-odpověď (v případě potřeby).

Poznámka: Je-li tato volba povolena (výchozí stav), hodnota GSSCredential není serializovatelná a nelze ji šířit na další server v cestě zpracování. Jsou extrahovány pověřovací údaje delegování Kerberos klienta a vytvořen základ prvku KRBAuthnToken. Prvek KRBAuthnToken obsahuje delegování Kerberos klienta a lze jej šířit na další server v cestě zpracování.

Chcete-li šířit prvek KRBAuthnToken na další server, musí prvek TGT (Ticket Granting Ticket) obsahovat volby bez adresy a s možností předání. Je-li klient TGT adresován, další server v cestě zpracování nebude mít po předání pověřovacích údajů delegování GSS klienta tyto údaje k dispozici.

Pověřovací údaje delegování klienta můžete extrahovat z prvku KRBAuthnToken pomocí metody KRBAuthnToken.getGSSCredential().

Výchozí hodnota: Zakázáno
Oříznutí sféry Kerberos z názvu činitele

Tato volba je volitelná. Určuje, zda má mechanizmus SPNEGO odebírat příponu jména uživatele činitele počínaje znakem @ uvedeným před názvem sféry Kerberos. Je-li tento atribut nastaven na hodnotu true, bude předpona jména uživatele činitele odebrána. Je-li tento atribut nastaven na hodnotu false, bude předpona jména uživatele činitele zachována. Výchozí použitá hodnota je true.

Poznámka: Toto pole je třeba nastavit na hodnotu true, používáte-li registr Lokální operační systém v systému z/OS a integrovaný modul mapování pro mapování činitelů ověřování Kerberos na identity autorizace SAF.
Výchozí hodnota: Zakázáno



Odkazy s označením (online) vyžadují přístup k Internetu.

Související odkazy
Povolení webového ověřování SPNEGO
Ověřování Kerberos


Název souboru: usec_kerb_SPNEGO_edit.html