Los valores del filtro de autenticación SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlan diferentes aspectos de SPNEGO. Utilice esta página para especificar valores de filtro distintos para cada servidor de aplicaciones.
Para ver esta página de la consola administrativa, pulse Seguridad > Seguridad global. En Autenticación, expanda Seguridad Web y SIP y, a continuación, pulse Autenticación web SPNEGO. En Filtros SPNEGO, pulse Nuevo o seleccione un filtro para editarlo.
Especifica el nombre de host totalmente calificado del nombre de principal de servicio (SPN) de Kerberos que utiliza SPNEGO para establecer un contexto seguro de Kerberos.
El nombre de host es la forma totalmente calificada del nombre de host. Por ejemplo, myHostname.austin.ibm.com.
El nombre principal del servicio (SPN) de Kerberos es una serie con el formato HTTP/<nombre de host completo>@KERBEROS_REALM . El proveedor SPNEGO utiliza el SPN completo con el Java Generic Security Service (JGSS) para obtener la credencial de seguridad y el contexto de seguridad que se utilizan en el proceso de autenticación.
Tipo de datos: | Serie |
Especifica el nombre del reino Kerberos. En la mayoría de los casos, el reino es el nombre de dominio en letras mayúsculas. Por ejemplo, una máquina con el nombre de dominio de test.austin.ibm.com generalmente tendrá un nombre de reino Kerberos de AUSTIN.IBM.COM.
Si no especifica el nombre de reino Kerberos, se utiliza el reino predeterminado que se define en el archivo de configuración de Kerberos.
Criterio de filtrado que utiliza la clase Java que a su vez utiliza SPNEGO.
La clase de implementación com.ibm.ws.security.spnego.HTTPHeaderFilter predeterminada utiliza esta propiedad para definir una lista de reglas de selección que representa las condiciones que se hacen coincidir con las cabeceras de las solicitudes HTTP para determinar si la solicitud se ha seleccionado o no para la autenticación SPNEGO.
Cada condición se especifica con un par de clave y valor, separadas entres sí por un signo de punto y coma. Las condiciones se evalúan de izquierda a derecha, a medida que se muestran en la propiedad especificada. Si se cumplen todas las condiciones, se selecciona la solicitud HTTP para la autenticación SPNEGO.
La clave y el valor del par de clave y valor se separan mediante un operador que define la condición que se ha seleccionado. La clave identifica una cabecera de solicitud HTTP para extraerla de la solicitud y comparar su valor con el valor especificado en el par de clave y valor según la especificación del operador. Si la cabecera identificada mediante la clave no está presente en la solicitud HTTP, se considera que no se cumple con la condición.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Condición | Operador | Ejemplo |
---|---|---|
Coincidencia exacta | = = Los argumentos se comparan como iguales. |
host=host.my.company.com |
Coincidencia parcial (inclusiones) | %= Los argumentos se comparan con una coincidencia parcial que es válida. |
user-agent%=IE 6 |
Coincidencia parcial (incluye una de muchas) | ^= Los argumentos se comparan con una coincidencia parcial que es válida para uno de los muchos argumentos especificados. |
request-url^=webApp1|webApp2|webApp3 |
Sin coincidencia | != Los argumentos se comparan como no iguales. |
request-url!=noSPNEGO |
Mayor que | > Los argumentos se comparan lexográficamente como mayor que. |
remote-address>192.168.255.130 |
Menor que | < Los argumentos se comparan lexográficamente como menor que. |
remote-address<192.168.255.135 |
Tipo de datos: | Serie |
Especifica el nombre de la clase Java que utilizará SPNEGO para seleccionar qué solicitudes HTTP están sujetas a la autenticación SPNEGO. Si no especifica este parámetro, se utiliza la clase de filtro por omisión com.ibm.ws.security.spnego.HTTPHeaderFilter.
Tipo de datos: | Serie |
Esta selección es opcional. Especifica el URL de un recurso que incluye el contenido que SPNEGO incluye en la respuesta HTTP que es visualizada por la aplicación cliente de navegador si no soporta la autenticación SPNEGO.
Esta propiedad puede especificar un recurso web (http://) o un recurso de archivo (archivo://).
<html><head><title>No se da soporte a la autenticación SPNEGO</title></head> <body>La autenticación SPNEGO no está soportada en este cliente</body></html>;
Tipo de datos: | Serie |
Esta propiedad es opcional. Especifica el URL de un recurso que contiene el contenido que SPNEGO incluye en la respuesta HTTP, que es visualizada por la aplicación cliente de navegador.
La aplicación cliente de navegador muestra esta respuesta HTTP cuando el cliente de navegador envía una señal de gestor de LAN NT (NTLM) en lugar de la señal de SPNEGO esperada durante el reconocimiento de respuesta-desafío.
<html><head><title>Se ha recibido una señal NTLM.</title></head> <body>La configuración del navegador es correcta pero no ha iniciado la sesión en un dominio Microsoft(R) Windows(R) Domain soportado. <p>Inicie la sesión en la aplicación utilizando la página de inicio de sesión normal.</html>
Esta propiedad puede especificar un recurso web (http://) o un recurso de archivo (archivo://).
Tipo de datos: | Serie |
Especifica si SPNEGO debe almacenar las credenciales delegadas de Kerberos. También permite a una aplicación recuperar las credenciales almacenadas y propagarlas a otras aplicaciones en sentido descendente para una autenticación SPNEGO adicional.
Esta opción requiere el uso de la característica de delegación de credenciales Kerberos avanzada y el desarrollo de lógica personalizada por el desarrollador de aplicaciones. El desarrollador debe interactuar directamente con el KDC de Kerberos para obtener un TGS (Ticket Granting Service) utilizando las credenciales delegadas de Kerberos en nombre del usuario final que ha originado la solicitud. El desarrollador debe construir también la señal SPNEGO de Kerberos apropiado e incluirlo en la solicitud HTTP para continuar el proceso de autenticación SPNEGO en sentido descendente incluido el intercambio adicional de respuestas y desafíos de SPNEGO, si es necesario.
Si desea propagar la KRBAuthnToken al servidor en sentido descendente, el cliente TGT (Ticket Granting Ticket) debe contener opciones sin dirección (addressless) y reenviables (forwardable). Si el cliente TGT tiene dirección, el servidor en sentido descendente no tiene credencial de delegación GSS tras propagarse.
Puede extraer la delegación de cliente GSSCredential de KRBAuthnToken mediante el método KRBAuthnToken.getGSSCredential().
Valor predeterminado: | Inhabilitado |
Esta selección es opcional. Especifica si SPNEGO elimina el sufijo del nombre de usuario principal, empezando desde el símbolo @ que precede al nombre de reino Kerberos. Si este atributo se establece en true, el sufijo del nombre de usuario del principal se eliminará. Si este atributo se establece en false, se mantiene el sufijo del nombre principal. El valor predeterminado utilizado es true.
Valor predeterminado: | Inhabilitado |
Los enlaces marcados (en línea) requieren acceso a Internet.