SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) 웹 인증 필터 값은 SPNEGO의 다양한 측면을 제어합니다. 이 페이지에서 각 Application Server에서 서로 다른 필터 값을 지정할 수 있습니다.
이 관리 콘솔 페이지를 보려면 보안>글로벌 보안을 클릭하십시오. 인증에서 웹 및 SIP 보안을 펼친 후 SPNEGO 웹 인증을 클릭하십시오. SPNEGO 필터 아래에서 새로 작성을 클릭하거나 편집할 필터를 선택하십시오.
SPNEGO에서 Kerberos 보안 컨텍스트를 설정하기 위해 사용되는 Kerberos 서비스 프린시펄 이름(SPN)의 완전한 호스트 이름을 지정합니다.
호스트 이름은 호스트 이름의 완전한 양식입니다(예: myHostname.austin.ibm.com).
Kerberos SPN은 HTTP/<fully qualified hostname>@KERBEROS_REALM 양식의 문자열입니다. SPNEGO 프로바이더는 인증 프로세스에서 사용하는 보안 신임 및 보안 컨텍스트를 확보하기 위해 JGSS(Java™ Generic Security Service)에서 전체 SPN을 사용합니다.
데이터 유형: | 문자열 |
Kerberos 범주의 이름을 지정합니다. 대부분의 경우, 해당 범주는 대문자의 도메인 이름입니다. 예를 들어, 도메인 이름이 test.austin.ibm.com인 시스템의 Kerberos 범주 이름은 일반적으로 AUSTIN.IBM.COM일 수 있습니다.
Kerberos 범주 이름을 지정하지 않으면 Kerberos 구성 파일에 정의된 기본 범주가 사용됩니다.
SPNEGO가 사용하는 Java 클래스에서 사용되는 필터링 기준입니다.
com.ibm.ws.security.spnego.HTTPHeaderFilter 기본 구현 클래스는 이 특성을 통해 선택사항 규칙 목록을 정의합니다. 이때 규칙 목록은 SPENGO 인증에서 HTTP 요청의 선택 여부를 판별하는 HTTP 요청 헤더와 일치하는 조건을 표시합니다.
각 조건은 키-값 쌍으로 지정되며 각각은 세미콜론(;)으로 구분됩니다. 조건은 지정된 특성에 표시된 대로 왼쪽에서 오른쪽으로 평가됩니다. 모든 조건에 만족하면 SPNEGO 인증 시 HTTP 요청이 선택됩니다.
키-값 쌍으로 구성된 키 및 값은 확인되는 조건을 정의하는 조작자로 구분됩니다. 키는 요청에서 추출할 HTTP 요청 헤더를 식별하고 해당 값은 조작자 스펙에 따라 키-값 쌍에 지정된 값과 비교됩니다. 키에서 식별된 헤더가 HTTP 요청에 없는 경우 조건은 만족하지 않은 것으로 처리됩니다.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
조건 | 조작자 | 예 |
---|---|---|
정확히 일치 | = = 인수 비교 결과, 서로 같습니다. |
host=host.my.company.com |
부분 일치(포함) | %= 인수 비교 결과, 부분적으로 일치합니다. |
user-agent%=IE 6 |
부분 일치(다수 중 하나 포함) | ^= 인수 비교 결과, 지정된 여러 인수 중 하나만 부분적으로 일치합니다. |
request-url^=webApp1|webApp2|webApp3 |
불일치 | != 인수 비교 결과, 서로 같지 않습니다. |
request-url!=noSPNEGO |
초과 | > 인수 비교 결과, 사전적 측면에서 보다 큽니다. |
remote-address>192.168.255.130 |
미만 | < 인수 비교 결과, 사전적 측면에서 보다 작습니다. |
remote-address<192.168.255.135 |
데이터 유형: | 문자열 |
SPNEGO가 SPNEGO 인증에 종속된 HTTP 요청을 선택할 때 사용하는 Java 클래스 이름을 지정합니다. 이 매개변수를 지정하지 않으면 기본 필터 클래스인 com.ibm.ws.security.spnego.HTTPHeaderFilter가 사용됩니다.
데이터 유형: | 문자열 |
이 선택사항은 선택적입니다. SPNEGO가 SPNEGO 인증을 지원하지 않는 경우 브라우저 클라이언트 응용프로그램에 의해 표시된 HTTP 응답에 포함시킬 컨텐츠를 포함하는 자원의 URL을 지정합니다.
이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.
<html><head><title>SPNEGO authentication is not supported</title></head> <body>SPNEGO authentication is not supported on this client</body></html>;
데이터 유형: | 문자열 |
이 특성은 선택적입니다. SPNEGO가 브라우저 클라이언트 응용프로그램에 의해 표시된 HTTP 응답에 포함시킬 컨텐츠를 포함하는 자원의 URL을 지정합니다.
브라우저 클라이언트 응용프로그램은 브라우저 클라이언트가 인증 확인-응답 핸드쉐이크 중에 예상된 SPNEGO 토큰 대신 NTLM((NT LAN Manager) 토큰을 전송할 때 이 HTTP 응답을 표시합니다.
<html><head><title>An NTLM Token was received.</title></head> <body>Your browser configuration is correct, but you have not logged into a supported Microsoft(R) Windows(R) Domain. <p>Please login to the application using the normal login page.</html>
이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.
데이터 유형: | 문자열 |
SPNEGO에서 Kerberos의 위임 신임을 저장해야 하는지 여부를 지정합니다. 응용프로그램에서 저장된 신임을 검색한 후 추가 SPNEGO 인증 시 다른 응용프로그램 다운스트림에 해당 신임을 전파할 수 있게 합니다.
이 옵션을 사용하려면 고급 Kerberos 신임 위임 기능을 사용해야 하며 응용프로그램 개발자가 사용자 정의 로직을 개발해야 합니다. 개발자는 처음에 요청을 한 사용자 대신 위임된 Kerberos 신임을 사용하여 TGS(Kerberos Ticket Granting Service)를 확보하려면 Kerberos KDC와 직접 상호작용해야 합니다. 또한 개발자는 필요에 따라 추가 SPNEGO 인증 확인-응답 교환 처리를 비롯하여 다운스트림 SPNEGO 인증 프로세스를 계속하려면 적절한 Kerberos SPNEGO 토큰을 구성한 후 HTTP 요청에 포함시켜야 합니다.
KRBAuthnToken을 다운스트림 서버로 전파하려면, 클라이언트 TGT(Ticket Granting Ticket)에 addressless 및 forwardable 옵션이 포함되어야 합니다. 클라이언트 TGT가 주소 지정되면, 전파된 이후 다운스트림 서버가 클라이언트 GSS 위임 신임을 갖지 않습니다.
KRBAuthnToken.getGSSCredential() 메소드를 사용하여 KRBAuthnToken에서 클라이언트 위임 GSSCredential을 추출할 수 있습니다.
기본값: | 사용 불가능 |
이 선택사항은 선택적입니다. SPNEGO가 Kerberos 범주 이름 앞에 오는 @로 시작하는 프린시펄 사용자 이름의 접미부를 제거할 것인지 여부를 지정합니다. 이 속성이 true로 설정되면, 프린시펄 사용자 이름의 접미부가 제거됩니다. 이 속성을 false로 설정하면 프린시펄 사용자 이름의 접미부가 유지됩니다. 사용된 기본값은 true입니다
기본값: | 사용 불가능 |
표시된(온라인) 링크는 인터넷에 액세스해야 합니다.