Les valeurs du filtre d'authentification Web SPNEGO (Simple and Protected GSS-API Negotiation) contrôlent différents aspects du mécanisme SPNEGO. Cette page permet d'indiquer différentes valeurs de filtre pour chaque serveur d'applications.
Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Sécurité globale. Dans Authentification, développez Web et sécurité SIP, puis cliquez sur Authentification Web SPNEGO. Sous Filtres SPNEGO, cliquez sur Nouveau ou sélectionnez un filtre à éditer.
Indique le nom d'hôte qualifié complet dans le nom principal de service Kerberos (SPN) utilisé par SPNEGO pour établir un contexte Kerberos sécurisé.
Le nom d'hôte correspond à la forme qualifiée complète du nom d'hôte. Par exemple, myHostname.austin.ibm.com.
Le SPN Kerberos est une chaîne de format HTTP/<nom d'hôte qualifié complet>@KERBEROS_REALM . Le SPN complet est utilisé avec Java Generic Security Service (JGSS) par le fournisseur SPNEGO afin d'obtenir les justificatif de sécurité et contexte de sécurité utilisés au cours du processus d'identification.
Type de données : | Chaîne |
Indique le nom de votre domaine Kerberos. Dans la plupart des cas, votre domaine Kerberos correspond au nom de domaine en majuscules. Par exemple, une machine ayant le nom de domaine test.austin.ibm.com possède généralement le nom de domaine Kerberos AUSTIN.IBM.COM.
Si vous ne spécifiez pas le nom du domaine Kerberos, le domaine par défaut défini dans le fichier de configuration Kerberos est utilisé.
Critères de filtrage utilisés par la classe Java elle-même utilisée par SPNEGO.
La classe d'implémentation par défaut com.ibm.ws.security.spnego.HTTPHeaderFilter utilise cette propriété pour définir une liste de règles de sélection. Ces règles constituent les conditions qui sont comparées aux en-têtes de requête HTTP afin de déterminer si la requête HTTP est retenue ou non pour l'authentification SPNEGO.
Chaque condition est spécifiée avec une paire clé-valeur, séparées les unes des autres par un point-virgule. Les conditions sont évaluées de gauche à droite, comme elles apparaissent dans la propriété spécifiée. Si toutes les conditions sont remplies, la requête HTTP est sélectionnée pour l'authentification SPNEGO.
La clé et la valeur qui constituent la paire clé-valeur sont séparées par un opérateur qui détermine la condition à vérifier. La clé identifie un en-tête de requête HTTP à extraire de la requête, sa valeur est ensuite comparée à la valeur spécifiée dans la paire clé-valeur selon la spécification de l'opérateur. Si l'en-tête qui est identifié par la clé n'est pas présent dans la requête HTTP, la condition est considérée comme non remplie.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Condition | Opérateur | Exemple |
---|---|---|
Correspondance exacte | = = Les arguments sont comparés comme étant égaux. |
host=host.my.company.com |
Correspondance partielle (inclut) | %= Les arguments sont comparés avec une correspondance partielle valide. |
user-agent%=IE 6 |
Correspondance partielle (en inclut un sur un grand nombre) | ^= Les arguments sont comparés avec une correspondance partielle qui est valide pour un des nombreux arguments spécifiés. |
request-url^=webApp1|webApp2|webApp3 |
Pas de correspondance | != Les arguments sont comparés comme étant inégaux. |
request-url!=noSPNEGO |
Supérieur à | > Les arguments sont comparés de manière lexicographique comme étant supérieurs à. |
remote-address>192.168.255.130 |
Inférieur à | < Les arguments sont comparés de manière lexicographique comme étant inférieurs à. |
remote-address<192.168.255.135 |
Type de données : | Chaîne |
Indique le nom de la classe Java utilisée par SPNEGO pour sélectionner les requêtes HTTP sujettes à l'authentification SPNEGO. Si vous n'indiquez pas ce paramètre, la classe de filtre par défaut com.ibm.ws.security.spnego.HTTPHeaderFilter est utilisée.
Type de données : | Chaîne |
Cette option est facultative. Elle indique l'adresse URL d'une ressource contenant les éléments que SPNEGO inclut dans la réponse HTTP affichée par l'application du client de navigation si elle ne prend pas en charge l'authentification SPNEGO.
Cette propriété peut définir une ressource Web (http://) ou de fichier (file://).
<html><head><title>SPNEGO authentication is not supported</title></head> <body>SPNEGO authentication is not supported on this client</body></html>;
Type de données : | Chaîne |
Cette propriété est facultative. Cette option permet d'indiquer l'URL d'une ressource contenant les éléments que SPNEGO inclut dans la réponse HTTP à afficher par l'application client de navigation.
L'application du client de navigation affiche la réponse HTTP lorsque le client de navigation envoie un jeton NTLM (NT LAN manager) au lieu du jeton SPNEGO prévu lors de l'établissement de la liaison stimulation-réponse.
<html><head><title>Un jeton NTLM a été reçu.</title></head> <body>La configuration de votre navigateur est correcte mais vous ne vous êtes pas connecté à un domaine Microsoft(R) Windows(R) pris en charge. <p>Veuillez vous connecter à l'application au moyen de la page de connexion normale.</html>
Cette propriété peut définir une ressource Web (http://) ou de fichier (file://).
Type de données : | Chaîne |
Indique si les justificatifs délégués Kerberos doivent être stockés par SPNEGO. Cette option active également une application pour extraire les justificatifs stockés et pour les propager vers d'autres applications pour une authentification SPNEGO supplémentaire.
Cette option requiert l'utilisation de la fonction de délégation de justificatif Kerberos avancée et le développement de la logique personnalisée par le développeur d'application. Ce dernier doit directement interagir avec le KDC Kerberos afin d'obtenir un service TGS (Kerberos Ticket Granting Service) au moyen des données d'identification Kerberos déléguées pour le compte de l'utilisateur à l'origine de la requête. Le développeur doit aussi construire le jeton SPNEGO Kerberos approprié et l'intégrer dans la requête HTTP afin de poursuivre le processus d'authentification SPNEGO en aval et notamment gérer des échanges stimulation-réponse SPNEGO supplémentaires.
Si vous voulez propager le jeton KRBAuthnToken à un serveur en aval, le ticket TGT (Ticket Granting Ticket) doit contenir des options sans adresse et transmissible. Si un ticket TGT d'un client a une adresse, le serveur en aval n'a pas de données d'identification GSS déléguées par le client après sa propagation.
Vous pouvez extraire l'identification GSSCredential déléguée par le client à partir du jeton KRBAuthnToken au moyen de la méthode KRBAuthnToken.getGSSCredential().
Valeur par défaut | Désactivé |
Cette option est facultative. Elle indique si SPNEGO supprime le suffixe du nom d'utilisateur principal, à partir du caractère @ précédant le nom de domaine Kerberos. Si la valeur true est attribuée à cet attribut, le suffixe du nom d'utilisateur principal est supprimé. Si cet attribut est défini sur false, le suffixe du nom de principal est conservé. La valeur utilisée par défaut est true.
Valeur par défaut | Désactivé |
Les liens marqués (en ligne) requièrent un accès à Internet.