Wartości filtru uwierzytelniania WWW SPNEGO

Wartości filtru uwierzytelniania WWW SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) sterują różnymi aspektami mechanizmu SPNEGO. Ta strona umożliwia określenie różnych wartości filtru dla poszczególnych serwerów aplikacji.

Aby wyświetlić tę stronę Konsoli administracyjnej, należy kliknąć opcję Zabezpieczenia > Zabezpieczenia globalne. W obszarze Uwierzytelnianie rozwiń pozycję Bezpieczeństwo WWW i SIP, a następnie kliknij opcję Uwierzytelnianie WWW SPNEGO. W obszarze Filtry mechanizmu SPNEGO kliknij opcję Nowy lub wybierz filtr do edycji.

Nazwa hosta

Określa pełną nazwę hosta w nazwie użytkownika usługi Kerberos (Service Principal Name - SPN), która jest używana przez mechanizm SPNEGO do ustanowienia zabezpieczonego kontekstu protokołu Kerberos.

Nazwa hosta musi mieć format pełnej nazwy hosta. Na przykład moja_nazwa_hosta.austin.ibm.com.

Nazwa użytkownika usługi Kerberos (Service Principal Name - SPN) jest łańcuchem w formacie HTTP/<pełna_nazwa_hosta>@DZIEDZINA_PROTOKOŁU_KERBEROS. Pełna nazwa SPN jest używana w połączeniu z usługą JGSS (Java Generic Security Service) przez dostawcę mechanizmu SPNEGO w celu uzyskania referencji zabezpieczeń i kontekstu zabezpieczeń używanych w procesie uwierzytelniania.

Typ danych: String
Nazwa dziedziny protokołu Kerberos

Określa nazwę dziedziny protokołu Kerberos. Zazwyczaj jest to nazwa domeny pisana wielkimi literami. Na przykład komputer, którego nazwa domeny ma postać test.austin.ibm.com, zazwyczaj będzie miał następującą nazwę dziedziny protokołu Kerberos: AUSTIN.IBM.COM.

Jeśli nie określono nazwy dziedziny protokołu Kerberos, zostanie użyta domyślna dziedzina zdefiniowana w pliku konfiguracyjnym protokołu Kerberos.

Kryteria filtru

Kryteria filtrowania używane w klasie Java na potrzeby mechanizmu SPNEGO.

Właściwość ta jest używana w domyślnej klasie implementacji com.ibm.ws.security.spnego.HTTPHeaderFilter do definiowania listy reguł wyboru reprezentujących warunki, których dopasowanie do nagłówków żądań HTTP pozwala określić, czy żądania te mają być objęte uwierzytelnianiem SPNEGO.

Poszczególne warunki są definiowane za pomocą par klucz-wartość rozdzielanych średnikami. Warunki są wartościowane od lewej do prawej strony, zgodnie ze sposobem ich wyświetlania w ramach określonej właściwości. W przypadku spełnienia wszystkich warunków żądanie HTTP zostaje objęte uwierzytelnianiem SPNEGO.

Klucz i wartość w każdej parze są rozdzielone operatorem definiującym warunek, który ma zostać sprawdzony. Klucz identyfikuje nagłówek żądania HTTP, który ma zostać wyodrębniony z żądania i którego wartość będzie porównywana z wartością określoną w parze klucz-wartość zgodnie ze specyfikacją operatora. Jeśli żądanie HTTP nie zawiera nagłówka identyfikowanego przez klucz, warunek jest traktowany jako niespełniony.

Argumentem w parze argument-wartość może być dowolny standardowy nagłówek żądania HTTP. Lista poprawnych nagłówków jest określona w ramach specyfikacji protokołu HTTP. Dodatkowo zdefiniowano dwa argumenty niedostępne w standardowych nagłówkach żądań HTTP. Umożliwiają one wyodrębnianie informacji z żądania i są przydatne jako kryteria wyboru. Argument remote-address (adres zdalny) jest stosowany jako pseudonagłówek służący do uzyskiwania zdalnego adresu TCP/IP aplikacji klienckiej, która wysłała żądanie HTTP. Argument request-URL (adres URL żądania) jest stosowany jako pseudonagłówek służący do pobierania adresu URL używanego przez aplikację kliencką do wygenerowania żądania. Wynik wykonania operacji getRequestURL w interfejsie javax.servlet.http.HttpServletRequest jest używany w ramach przechwytywacza do zbudowania adresu WWW. Jeśli łańcuch zapytania jest obecny, używany jest również wynik wykonania operacji getQueryString w tym samym interfejsie. W takim przypadku pełny adres URL jest budowany w następujący sposób:
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Tabela 1. Warunki i operacje filtru.

Ta tabela zawiera opisy warunków i operacji kryteriów filtru.

Warunek Operator Przykład
Zgodne całkowicie = =

Argumenty są porównywane jako równe.

host=host.moja.firma.com
Zgodne częściowo (zawiera) %=

Argumenty są porównywane z dopuszczeniem częściowej zgodności.

user-agent%=IE 6
Zgodne częściowo (zawiera jeden z wielu) ^=

Argumenty są porównywane z dopuszczeniem częściowej zgodności dla jednego z wielu określonych argumentów.

request-url^=webApp1|webApp2|webApp3
Niezgodne !=

Argumenty są porównywane jako nierówne.

request-url!=noSPNEGO
Większe >

Argumenty są porównywane leksykograficznie jako większe.

remote-address>192.168.255.130
Mniejsze <

Argumenty są porównywane leksykograficznie jako mniejsze.

remote-address<192.168.255.135
Uwaga: We wcześniejszych wersjach serwera WebSphere Application Server filtry nagłówków HTTP w mechanizmie SPNEGO nie obsługiwały poprawnie spacji, warunku != i adresów IP, ale w obecnej wersji problemy te zostały rozwiązane.
Typ danych: String
Klasa filtru

Nazwa klasy Java używanej w mechanizmie SPNEGO do wybrania tych żądań HTTP, które podlegają uwierzytelnianiu przy użyciu mechanizmu SPNEGO. Jeśli ten parametr nie zostanie określony, zostanie użyta domyślna klasa filtru com.ibm.ws.security.spnego.HTTPHeaderFilter.

Typ danych: String
Adres URL strony błędu w przypadku braku obsługi mechanizmu SPNEGO

Jest to ustawienie opcjonalne. Określa ono adres URL zasobu zawierającego treść dołączaną przez mechanizm SPNEGO do odpowiedzi HTTP wyświetlanej w aplikacji klienckiej przeglądarki, jeśli uwierzytelnianie przy użyciu mechanizmu SPNEGO nie jest obsługiwane.

Ta właściwość może określać zasób WWW (http://) lub zasób plikowy (file://).

Jeśli nie określono tej właściwości lub jeśli przechwytywacz nie może znaleźć określonego zasobu, zostanie użyta następująca treść:
<html><head><title>Uwierzytelnianie mechanizmu SPNEGO nie
jest obsługiwane</title></head>
<body>Uwierzytelnianie mechanizmu SPNEGO nie jest obsługiwane na tym
kliencie</body></html>;
Typ danych: String
Adres URL strony błędu w przypadku odebrania znacznika NTLM

Ta właściwość jest opcjonalna. Określa ona adres URL zasobu zawierającego treść dołączaną przez mechanizm SPNEGO do odpowiedzi HTTP wyświetlanej w aplikacji klienckiej przeglądarki.

Ta odpowiedź HTTP jest wyświetlana w aplikacji klienckiej przeglądarki, gdy podczas uzgadniania pytanie-odpowiedź zamiast oczekiwanego znacznika SPNEGO klient przeglądarki wyśle znacznik NT LAN manager (NTLM).

Jeśli nie określono tej właściwości lub jeśli przechwytywacz nie może znaleźć określonego zasobu, zostanie użyta następująca treść:
<html><head><title>Odebrano
znacznik NTLM.</title></head>
<body>Konfiguracja
przeglądarki jest poprawna, ale użytkownik nie jest zalogowany w obsługiwanej
domenie Microsoft(R) Windows(R).
<p>Zaloguj się do aplikacji za pomocą zwykłej strony logowania.</html>

Ta właściwość może określać zasób WWW (http://) lub zasób plikowy (file://).

Typ danych: String
Włącz delegowanie referencji protokołu Kerberos

Określa, czy delegowane referencje protokołu Kerberos mają być składowane przez mechanizm SPNEGO. Umożliwia też wydobywanie przez aplikację przechowywanych referencji oraz zstępujące propagowanie ich do innych aplikacji na potrzeby dodatkowego uwierzytelniania przy użyciu mechanizmu SPNEGO.

Ta opcja wymaga używania zaawansowanej funkcji delegowania referencji protokołu Kerberos oraz zaprojektowania niestandardowej logiki przez twórcę aplikacji. Programista musi bezpośrednio współdziałać z usługą KDC protokołu Kerberos w celu uzyskania dostępu do usługi nadania biletu (Ticket Granting Service - TGS) protokołu Kerberos przy użyciu delegowanych referencji protokołu Kerberos w imieniu użytkownika, który wysłał żądanie. Programista musi również utworzyć odpowiedni znacznik SPNEGO protokołu Kerberos i włączyć go do żądania HTTP w celu kontynuowania zstępującego procesu uwierzytelniania przy użyciu mechanizmu SPNEGO, w tym (jeśli jest to konieczne) obsługi dodatkowej wymiany pytanie-odpowiedź mechanizmu SPNEGO.

Uwaga: Jeśli ta opcja jest włączona (jest ona włączona domyślnie), elementu GSSCredential nie można przekształcać do postaci szeregowej i nie może on być propagowany do serwera znajdującego się za danym serwerem. W takim przypadku wyodrębniana jest referencja delegowania protokołu Kerberos klienta i tworzona jest baza KRBAuthnToken. Baza KRBAuthnToken zawiera delegację protokołu Kerberos klienta i może być propagowana do serwera znajdującego się za danym serwerem.

Jeśli baza KRBAuthnToken ma być propagowana do serwera znajdującego się za danym serwerem, to usługa Bilet nadania biletu musi zawierać bezadresowe i przekazywalne opcje. Jeśli klient TGT jest adresowany, serwer znajdujący się za danym serwerem nie ma referencji delegowania GSS klienta po jego propagacji.

Istnieje możliwość wyodrębnienia referencji GSSCredential delegowania klienta z bazy KRBAuthnToken, używając metody KRBAuthnToken.getGSSCredential().

Wartość domyślna: Wyłączone
Obcinanie dziedziny protokołu Kerberos z nazwy użytkownika

Jest to ustawienie opcjonalne. Określa ono, czy mechanizm SPNEGO ma usuwać przyrostek nazwy użytkownika, zaczynając od znaku @ poprzedzającego nazwę dziedziny protokołu Kerberos. Jeśli ten atrybut ma wartość true, przyrostek nazwy użytkownika jest usuwany. Jeśli ten atrybut ma wartość false, przyrostek nazwy użytkownika jest zachowywany. Wartością domyślną jest wartość true.

Uwaga: Wartość tego pola należy ustawić na true (prawda), jeśli używany jest rejestr lokalnego systemu operacyjnego w systemie z/OS oraz wbudowany moduł odwzorowywania w celu odwzorowania nazw użytkowników Kerberos na tożsamości SAF.
Wartość domyślna: Wyłączone



Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Odsyłacze pokrewne
Włączanie uwierzytelniania WWW SPNEGO
Uwierzytelnianie przy użyciu protokołu Kerberos


Nazwa pliku: usec_kerb_SPNEGO_edit.html