Значения фильтра Web-идентификации механизма Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) управляют различными аспектами работы SPNEGO. На этой странице для каждого сервера приложений можно указать разные значения фильтра.
Для просмотра страницы административной консоли выберите Защита > Глобальная защита. В разделе Идентификация разверните Web и SIP защиту и выберите Web-идентификация SPNEGO. В фильтрах SPNEGO выберите Создать или имеющийся фильтр и измените его.
Указывает полное имя хоста в имени субъекта службы Kerberos (SPN), которое используется SPNEGO для установки защищенного контекста Kerberos.
Имя хоста - полная форма сетевого имени. Например, myHostname.austin.ibm.com.
SPN Kerberos - это строка следующего формата:HTTP/<полное имя хоста>@KERBEROS_REALM . Полный SPN применяется провайдером SPNEGO вместе с Java Generic Security Service (JGSS) с целью получения разрешений и контекста защиты для предоставления прав доступа.
Тип данных: | Строка |
Задает имя области Kerberos. В большинстве случаев область - это имя домена, состоящее из букв в верхнем регистре. Например, для системы с именем домена test.austin.ibm.com имя области Kerberos обычно выглядит как AUSTIN.IBM.COM.
Если пользователь не укажет имя области Kerberos, будет использован стандартная область, определенная в файле конфигурации Kerberos.
Критерий фильтрации для класса Java, который используется SPNEGO.
Класс реализации по умолчанию com.ibm.ws.security.spnego.HTTPHeaderFilter использует это свойство для определения набора правил выбора, описывающих условиями, с помощью которых проверяются заголовки запроса HTTP для определения необходимости применения идентификации SPNEGO.
Каждое условие определяется как пара ключ-значение. В качестве разделителя условий применяется точка с запятой. Условия проверяются в порядке слева направо. Если все условия выполнены, то запрос HTTP подлежит идентификации SPNEGO.
Ключ и значения разделяются операторами, указывающими на проверяемое условие. Ключ определяет извлекаемый заголовок запроса HTTP; полученное значение сравнивается со значением из условие с помощью указанного оператора. Если заданный заголовок отсутствует в запросе HTTP, то условие не выполняется.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Условие | Оператор | Пример |
---|---|---|
Точное совпадение | = = Проверяется равенство аргументов. |
host=host.my.company.com |
Частичное совпадение (включает) | %= Проверяется частичное совпадение аргументов. |
user-agent%=IE 6 |
Частичное совпадение (включает один из нескольких) | ^= Проверяется частичное совпадение одного из нескольких аргументов. |
request-url^=webApp1|webApp2|webApp3 |
Не равно | != Проверяется неравенство аргументов. |
request-url!=noSPNEGO |
Больше | > Проверяется, является ли один аргумент больше другого. |
remote-address>192.168.255.130 |
Меньше | < Проверяется, является ли один аргумент меньше другого. |
remote-address<192.168.255.135 |
Тип данных: | Строка |
Указывает имя класса Java, применяемого SPNEGO для выбора запросов HTTP, подлежащих идентификации SPNEGO. Если этот параметр не указан, используется класс фильтра по умолчанию, com.ibm.ws.security.spnego.HTTPHeaderFilter.
Тип данных: | Строка |
Это необязательное поле. В нем указывается URL ресурса, содержащего данные, добавляемые SPNEGO в ответ HTTP, отображаемый клиентским приложением браузера, если это приложение не поддерживает идентификацию SPNEGO.
В свойстве можно указать как веб-ресурс (http://), так и файл (file://).
<html><head><title>Идентификация SPNEGO не поддерживается</title></head> <body>Для этого клиента не поддерживается идентификация SPNEGO</body></html>;
Тип данных: | Строка |
Это обязательное свойство. Указывается URL ресурса, содержащего данные, добавляемые SPNEGO в ответ HTTP, отображаемый в клиентском приложении браузера.
Клиентское приложение браузера отображает этот ответ HTTP, когда клиент браузера отправляет маркер NT LAN manager (NTLM) вместо ожидаемого маркера SPNEGO в ходе согласования вызов-ответ.
<html><head><title>An NTLM Token was received.</title></head> <body>Your browser configuration is correct, but you have not logged into a supported Microsoft(R) Windows(R) Domain. <p>Please login to the application using the normal login page.</html>
В свойстве можно указать как веб-ресурс (http://), так и файл (file://).
Тип данных: | Строка |
Указывает, должны ли делегированные идентификационные данные Kerberos сохраняться SPNEGO. Это свойство также позволяет приложению извлечь сохраненные идентификационные данные и разослать их другим приложениям для дополнительной идентификации SPNEGO.
Этот параметр требует использования функции дополнительного делегирования одноразового разрешения Kerberos и разработки пользовательской логики разработчика приложений. Разработчик должен взаимодействовать непосредственно со службой KDC Kerberos TGS для получения службы выдачи ключей (TGS) с помощью разрешений Kerberos, переданных от имени пользователя, отправившего запрос. Кроме того, разработчик должен создать паспорт SPNEGO Kerberos и добавить его в запрос HTTP для продолжения идентификации SPNEGO по течению, включая дополнительное согласование Вызов-Ответ SPNEGO.
Для передачи KRBAuthnToken нижестоящему серверу TGT клиента должен содержать опции addressless и forwardable. Если TGT содержит адрес, то нижестоящий сервер не получит разрешение делегирования GSS клиента.
Разрешение делегирования GSS клиента можно извлечь из KRBAuthnToken с помощью метода KRBAuthnToken.getGSSCredential().
По умолчанию: | Выключено |
Это необязательное поле. Указывает, следует ли SPNEGO удалять суффикс имени субъекта, начинающийся с символа @ и содержащий имя области Kerberos. Если атрибут установлен в true, то суффикс имени пользователя субъекта удаляется. Если же атрибут установлен в false, суффикс имени субъекта остается целиком. Значение по умолчанию - true.
По умолчанию: | Выключено |
Ссылки, помеченные как (в сети), требуют подключения к Internet.