Az Egyszerű és védett GSS-API egyeztetési mechanizmus (SPNEGO) webes hitelesítés szűrőértékei az SPNEGO különböző működési módjait vezérlik. Az alábbi oldalon minden egyes alkalmazáskiszolgálóhoz más szűrőértékek adhatók meg.
Az alábbi adminisztrációs konzol oldal megtekintéséhez kattintson a Biztonság > Globális biztonság elemre. A Hitelesítés szakaszban bontsa ki a Web és SIP biztonság ágat, majd kattintson az SPNEGO webes hitelesítés elemre. Az SPNEGO szűrők részben kattintson az Új lehetőségre, vagy válasszon ki egy szűrőt szerkesztéshez.
Az SPNEGO által Kerberos biztonságos környezet létrehozásához használt teljes képzésű Kerberos szolgáltatásazonosító nevet (SPN) adja meg.
A hoszt neve a hosztnév teljes képzésű formátuma. Például: myHostname.austin.ibm.com.
A Kerberos SPN egy karaktersorozat a következő formátumban: HTTP/<teljes képzésű hosztnév>@KERBEROS_REALM . Az SPNEGO szolgáltató a teljes SPN-t a Java általános biztonsági szolgáltatással (JGSS) használja a hitelesítési folyamatban használt biztonsági hitelesítési adatok és biztonságos környezet lekérdezésére.
Adattípus: | Karaktersorozat |
A Kerberos tartomány nevét határozza meg. A legtöbb esetben a tartomány a tartománynév nagybetűs formátumban. Egy test.austin.ibm.com tartománynevű számítógép Kerberos tartományneve lehet például AUSTIN.IBM.COM.
Ha nem adja meg a Kerberos tartománynevet, akkor a Kerberos konfigurációs fájlban meghatározott alapértelmezett tartomány kerül felhasználásra.
A szűrési feltételeket az SPNEGO által használt Java osztály használja.
A com.ibm.ws.security.spnego.HTTPHeaderFilter alapértelmezett megvalósítási osztály ezt a tulajdonságot kijelölési szabályok listájának meghatározásához használja, amelyek olyan feltételeket képviselnek, amelyek a HTTP kérés fejlécével vannak egyeztetve, hogy meghatározzák, a HTTP kérés ki van-e jelölve az SPNEGO hitelesítéshez.
Minden egyes feltétel egy kulcs-érték párral van megadva, pontosvesszővel tagoltan. A feltételeket a rendszer balról jobbra értékeli ki, ahogy a megadott tulajdonságban megjelennek. Ha minden feltétel megfelel, akkor HTTP kérés ki lesz jelölve az SPNEGO hitelesítéshez.
A kulcs-érték párban kulcs és az érték egy olyan műveleti jellel van elválasztva, amely meghatározza az ellenőrzött feltételt. A kulcs a kérésből kibontandó HTTP kérés fejlécét azonosítja, és az értéke a kulcs-érték párban megadott értékkel kerül összehasonlításra a műveleti jel meghatározása alapján. Ha a kulcs által azonosított fejléc nincs benne a HTTP kérésben, akkor a feltételt a rendszer nem találja egyezőnek.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Feltétel | Operátor | Példa |
---|---|---|
Pontos egyezés | = = Az argumentumok összehasonlítása megegyezik. |
host=host.my.company.com |
Részleges egyezés (tartalmazás) | %= Az összehasonlított argumentumok részleges egyezéssel érvényesek. |
user-agent%=IE 6 |
Részleges egyezés (többöl egyet tartalmaz) | ^= Az összehasonlított argumentumok több megadott argumentum egyikével részleges egyezéssel érvényesek. |
request-url^=webApp1|webApp2|webApp3 |
Nincs egyezés | != Az összehasonlított argumentumok nem egyeznek meg. |
request-url!=noSPNEGO |
Nagyobb, mint | > A lexografikusan összehasonlított argumentumok nagyobbak. |
remote-address>192.168.255.130 |
Kisebb, mint | < A lexografikusan összehasonlított argumentumok kisebbek. |
remote-address<192.168.255.135 |
Adattípus: | Karaktersorozat |
A HTTP kérések kiválasztásához az SPNEGO hitelesítés tárgyaként használt Java osztály nevét adja meg. Ha nem adja meg ezt a paramétert, akkor az alapértelmezett szűrőosztály a com.ibm.ws.security.spnego.HTTPHeaderFilter, kerül felhasználásra.
Adattípus: | Karaktersorozat |
Ez a menüpont elhagyható. Megadja azon erőforrás URL címét, amely tartalmazza azt a tartalmat, amit az SPNEGO a böngésző ügyfélalkalmazás HTTP válaszában megjelenít, ha az nem támogatja az SPNEGO hitelesítést.
Ez a tulajdonság egy webes (http://) vagy egy fájl (fájl://) erőforrást határozhat meg.
<html><head><title>SPNEGO hitelesítés nem támogatott</title></head> <body>SPNEGO hitelesítés nem támogatott ezen az ügyfélen</body></html>;
Adattípus: | Karaktersorozat |
Ez a tulajdonság elhagyható. Megadja azon erőforrás URL címét, amely tartalmazza azt a tartalmat, amit az SPNEGO a böngésző ügyfélalkalmazás HTTP válaszában megjelenít.
A böngésző ügyfélalkalmazás ezt a HTTP választ akkor jeleníti meg, ha a böngésző ügyfél egy NT LAN kezelő (NTLM) jelsort küld a várt SPNEGO jelsor helyett a hívás-válasz egyeztetés során.
<html><head><title>NTLM jelsor érkezett.</title></head> <body>A böngésző beállítása helyes, de nem jelentkezett be a támogatott Microsoft(R) Windows(R) tartományba. <p>Jelentkezzen be az alkalmazásba a szokásos bejelentkezési oldalon.</html>
Ez a tulajdonság egy webes (http://) vagy egy fájl (fájl://) erőforrást határozhat meg.
Adattípus: | Karaktersorozat |
Megadja, hogy a Kerberos delegált hitelesítési adatait az SPNEGO tárolhatja-e. Lehetővé teszi egy alkalmazás számára a tárolt hitelesítési adatok lekérését, majd továbbítását egyéb alkalmazásfolyamokhoz, további SPNEGO hitelesítéshez.
Ez a beállítás megköveteli a speciális Kerberos hitelesítési adatok delegálási szolgáltatásának használatát, valamint az alkalmazásfejlesztőtől egy egyéni funkció fejlesztését. A fejlesztőnek közvetlenül a Kerberos kulcselosztó központtal együttműködve meg kell szereznie a Jegy adományozási szolgáltatást (TGS), a delegált Kerberos hitelesítő adatok használatával, annak a felhasználónak a nevében, akitől a kérés ered. A fejlesztőnek össze kell állítania a megfelelő Kerberos SPNEGO jelsort, majd bele kell foglalnia a HTTP kérésbe az SPNEGO hitelesítési folyamat folytatásához, beleértve a további SPNEGO hívás-válasz cserét, ha szükséges.
Ha továbbítani szeretné a KRBAuthnToken jelsort egy alsóbb szintű kiszolgálónak, akkor a Jegyadományozási jegynek (TGT) cím nélküli és továbbítható beállításokat kell tartalmaznia. Ha az ügyfél TGT címzett, akkor az alsóbb szintű kiszolgáló nem rendelkezik ügyfél GSS meghatalmazási hitelesítő adatokkal a továbbítás után.
Az ügyfél meghatalmazási GSSCredential a KRBAuthnToken.getGSSCredential() metódussal bontható ki a KRBAuthnToken jelsorból.
Alapértelmezett: | Tiltott |
Ez a menüpont elhagyható. Megadja, hogy az SPNEGO eltávolítja-e az azonosító felhasználónév utótagját, a @ karaktertől kezdve, amely megelőzi a Kerberos tartománynevet. Ha ez az attribútum igaz értékre van beállítva, akkor az azonosító felhasználónév utótagja eltávolításra kerül. Ha ez az attribútum hamis értékre van beállítva, akkor az azonosítónév megmarad. A használt alapértelmezett érték az igaz.
Alapértelmezett: | Tiltott |
A jelzett hivatkozások (online) Internet-hozzáférést igényelnek.