SPNEGO 웹 인증 필터 값

SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) 웹 인증 필터 값은 SPNEGO의 다양한 측면을 제어합니다. 이 페이지에서 각 Application Server에서 서로 다른 필터 값을 지정할 수 있습니다.

이 관리 콘솔 페이지를 보려면 보안>글로벌 보안을 클릭하십시오. 인증에서 웹 및 SIP 보안을 펼친 후 SPNEGO 웹 인증을 클릭하십시오. SPNEGO 필터 아래에서 새로 작성을 클릭하거나 편집할 필터를 선택하십시오.

호스트 이름

SPNEGO에서 Kerberos 보안 컨텍스트를 설정하기 위해 사용되는 Kerberos 서비스 프린시펄 이름(SPN)의 완전한 호스트 이름을 지정합니다.

호스트 이름은 호스트 이름의 완전한 양식입니다(예: myHostname.austin.ibm.com).

Kerberos SPN은 HTTP/<fully qualified hostname>@KERBEROS_REALM 양식의 문자열입니다. SPNEGO 프로바이더는 인증 프로세스에서 사용하는 보안 신임 및 보안 컨텍스트를 확보하기 위해 JGSS(Java™ Generic Security Service)에서 전체 SPN을 사용합니다.

데이터 유형: 문자열
Kerberos 범주 이름

Kerberos 범주의 이름을 지정합니다. 대부분의 경우, 해당 범주는 대문자의 도메인 이름입니다. 예를 들어, 도메인 이름이 test.austin.ibm.com인 시스템의 Kerberos 범주 이름은 일반적으로 AUSTIN.IBM.COM일 수 있습니다.

Kerberos 범주 이름을 지정하지 않으면 Kerberos 구성 파일에 정의된 기본 범주가 사용됩니다.

필터 기준

SPNEGO가 사용하는 Java 클래스에서 사용되는 필터링 기준입니다.

com.ibm.ws.security.spnego.HTTPHeaderFilter 기본 구현 클래스는 이 특성을 통해 선택사항 규칙 목록을 정의합니다. 이때 규칙 목록은 SPENGO 인증에서 HTTP 요청의 선택 여부를 판별하는 HTTP 요청 헤더와 일치하는 조건을 표시합니다.

각 조건은 키-값 쌍으로 지정되며 각각은 세미콜론(;)으로 구분됩니다. 조건은 지정된 특성에 표시된 대로 왼쪽에서 오른쪽으로 평가됩니다. 모든 조건에 만족하면 SPNEGO 인증 시 HTTP 요청이 선택됩니다.

키-값 쌍으로 구성된 키 및 값은 확인되는 조건을 정의하는 조작자로 구분됩니다. 키는 요청에서 추출할 HTTP 요청 헤더를 식별하고 해당 값은 조작자 스펙에 따라 키-값 쌍에 지정된 값과 비교됩니다. 키에서 식별된 헤더가 HTTP 요청에 없는 경우 조건은 만족하지 않은 것으로 처리됩니다.

표준 HTTP 요청 헤더는 키-값 쌍에서 키로 사용할 수 있습니다. 올바른 헤더 목록은 HTTP 스펙을 참조하십시오. 또한 요청에서 정보를 추출할 2개의 키를 정의합니다. 이 키는 표준 HTTP 요청 헤더를 통해 사용할 수 없는 선택사항 기준으로도 유용합니다. remote-address 키는 HTTP 요청을 전송하는 클라이언트 응용프로그램의 원격 TCP/IP 주소를 검색하는 경우 의사 헤더로 사용됩니다. request-URL 키는 클라이언트 응용프로그램에서 요청을 작성할 때 사용하는 URL을 검색하는 경우 의사 헤더로 사용됩니다. 인터셉터는 javax.servlet.http.HttpServletRequest 인터페이스의 getRequestURL 조작 결과를 사용하여 웹 주소를 구성합니다. 조회 문자열이 있는 경우 동일한 인터페이스의 getQueryString 조작 결과도 사용합니다. 이 경우 다음과 같이 전체 URL이 구성됩니다.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
표 1. 필터 조건 및 조작 .

이 표는 필터 기준 조건 및 조작을 설명합니다.

조건 조작자
정확히 일치 = =

인수 비교 결과, 서로 같습니다.

host=host.my.company.com
부분 일치(포함) %=

인수 비교 결과, 부분적으로 일치합니다.

user-agent%=IE 6
부분 일치(다수 중 하나 포함) ^=

인수 비교 결과, 지정된 여러 인수 중 하나만 부분적으로 일치합니다.

request-url^=webApp1|webApp2|webApp3
불일치 !=

인수 비교 결과, 서로 같지 않습니다.

request-url!=noSPNEGO
초과 >

인수 비교 결과, 사전적 측면에서 보다 큽니다.

remote-address>192.168.255.130
미만 <

인수 비교 결과, 사전적 측면에서 보다 작습니다.

remote-address<192.168.255.135
주: 이전 버전의 WebSphere Application Server에서는 SPNEGO HTTP 헤더 필터가 공백, IP 주소 및 != 조건을 제대로 처리하지 않았는데, 이 릴리스에서는 이러한 문제가 수정되었습니다.
데이터 유형: 문자열
필터 클래스

SPNEGO가 SPNEGO 인증에 종속된 HTTP 요청을 선택할 때 사용하는 Java 클래스 이름을 지정합니다. 이 매개변수를 지정하지 않으면 기본 필터 클래스인 com.ibm.ws.security.spnego.HTTPHeaderFilter가 사용됩니다.

데이터 유형: 문자열
SPNEGO가 지원되지 않는 오류 페이지 URL

이 선택사항은 선택적입니다. SPNEGO가 SPNEGO 인증을 지원하지 않는 경우 브라우저 클라이언트 응용프로그램에 의해 표시된 HTTP 응답에 포함시킬 컨텐츠를 포함하는 자원의 URL을 지정합니다.

이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.

이 특성을 지정하지 않거나 인터셉터가 지정된 자원을 찾을 수 없는 경우, 다음 컨텐츠가 사용됩니다.
<html><head><title>SPNEGO authentication is not supported</title></head>
<body>SPNEGO authentication is not supported on this client</body></html>;
데이터 유형: 문자열
NTLM 토큰 수신 오류 페이지 URL

이 특성은 선택적입니다. SPNEGO가 브라우저 클라이언트 응용프로그램에 의해 표시된 HTTP 응답에 포함시킬 컨텐츠를 포함하는 자원의 URL을 지정합니다.

브라우저 클라이언트 응용프로그램은 브라우저 클라이언트가 인증 확인-응답 핸드쉐이크 중에 예상된 SPNEGO 토큰 대신 NTLM((NT LAN Manager) 토큰을 전송할 때 이 HTTP 응답을 표시합니다.

이 특성을 지정하지 않거나 인터셉터가 지정된 자원을 찾을 수 없는 경우, 다음 컨텐츠가 사용됩니다.
<html><head><title>An NTLM Token was received.</title></head>
<body>Your browser configuration is correct, but you have not logged into a supported
Microsoft(R) Windows(R) Domain.
<p>Please login to the application using the normal login page.</html>

이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.

데이터 유형: 문자열
Kerberos 신임 위임 사용 가능

SPNEGO에서 Kerberos의 위임 신임을 저장해야 하는지 여부를 지정합니다. 응용프로그램에서 저장된 신임을 검색한 후 추가 SPNEGO 인증 시 다른 응용프로그램 다운스트림에 해당 신임을 전파할 수 있게 합니다.

이 옵션을 사용하려면 고급 Kerberos 신임 위임 기능을 사용해야 하며 응용프로그램 개발자가 사용자 정의 로직을 개발해야 합니다. 개발자는 처음에 요청을 한 사용자 대신 위임된 Kerberos 신임을 사용하여 TGS(Kerberos Ticket Granting Service)를 확보하려면 Kerberos KDC와 직접 상호작용해야 합니다. 또한 개발자는 필요에 따라 추가 SPNEGO 인증 확인-응답 교환 처리를 비롯하여 다운스트림 SPNEGO 인증 프로세스를 계속하려면 적절한 Kerberos SPNEGO 토큰을 구성한 후 HTTP 요청에 포함시켜야 합니다.

주: 이 옵션이 사용 가능하면(기본값), GSSCredential은 직렬화 가능하지 않으며 다운스트림 서버로 전파될 수 없습니다. 클라이언트 Kerberos 위임 신임이 추출되고 KRBAuthnToken 기반이 작성됩니다. KRBAuthnToken에는 클라이언트 Kerberos 위임이 포함되며 다운스트림 서버로 전파될 수 있습니다.

KRBAuthnToken을 다운스트림 서버로 전파하려면, 클라이언트 TGT(Ticket Granting Ticket)에 addressless 및 forwardable 옵션이 포함되어야 합니다. 클라이언트 TGT가 주소 지정되면, 전파된 이후 다운스트림 서버가 클라이언트 GSS 위임 신임을 갖지 않습니다.

KRBAuthnToken.getGSSCredential() 메소드를 사용하여 KRBAuthnToken에서 클라이언트 위임 GSSCredential을 추출할 수 있습니다.

기본값: 사용 불가능
프린시펄 이름에서 Kerberos 범주 제거

이 선택사항은 선택적입니다. SPNEGO가 Kerberos 범주 이름 앞에 오는 @로 시작하는 프린시펄 사용자 이름의 접미부를 제거할 것인지 여부를 지정합니다. 이 속성이 true로 설정되면, 프린시펄 사용자 이름의 접미부가 제거됩니다. 이 속성을 false로 설정하면 프린시펄 사용자 이름의 접미부가 유지됩니다. 사용된 기본값은 true입니다

주: z/OS의 로컬 운영 체제 레지스트리 및 내장 맵핑 모듈을 둘 다 사용하여 Kerberos 프린시펄을 SAF ID에 맵핑할 경우 이 필드를 true로 설정해야 합니다.
기본값: 사용 불가능



표시된(온라인) 링크는 인터넷에 액세스해야 합니다.

관련 참조
SPNEGO 웹 인증 사용
Kerberos 인증


파일 이름: usec_kerb_SPNEGO_edit.html