Os valores do filtro de Autenticação da Web SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlam os diferentes aspectos do SPNEGO. Utilize essa página para especificar diferentes valores de filtro para cada servidor de aplicativos.
Para exibir essa página do console administrativo, clique em Segurança > Segurança global. Em Autenticação, expanda Segurança da Web e do SIP e, em seguida, clique em Autenticação da Web SPNEGO. Em Filtros do SPNEGO, clique em Novo ou selecione um filtro para ser editado.
Especifica o nome completo do host no SPN (Service Principal Name) do Kerberos que é utilizado pelo SPNEGO para estabelecer um contexto seguro do Kerberos.
O nome do host é o formato completo do nome do host. Por exemplo, myHostname.austin.ibm.com.
O SPN Kerberos é uma cadeia no formato HTTP/<nome completo do host>@KERBEROS_REALM . O SPN completo é utilizado com o JGSS (Java Generic Security Service) pelo provedor SPNEGO para obter a credencial de segurança e o contexto de segurança que são utilizados no processo de autenticação.
Tipo de dados: | Cadeia |
Especifica o nome de sua região do Kerberos. Na maioria dos casos, a região é o nome do domínio em letras maiúsculas. Por exemplo, uma máquina com o nome de domínio de test.austin.ibm.com poderia ter geralmente um nome de região do Kerberos de AUSTIN.IBM.COM.
Se você não especificar o nome da região do Kerberos, a região padrão que está definida no arquivo de configuração do Kerberos será utilizada.
Os critérios de filtragem utilizados pela classe Java utilizado pelo SPNEGO.
A classe de implementação padrão com.ibm.ws.security.spnego.HTTPHeaderFilter utiliza essa propriedade para definir uma lista de regras de seleção que representam condições que são correspondidas com os cabeçalhos de um pedido de HTTP para determinar se ele está selecionado, ou não, para autenticação SPNEGO.
Cada condição é especificada com um par chave-valor, separados um do outro por um ponto-e-vírgula. As condições são avaliadas da esquerda para a direita, à medida que são exibidas na propriedades especificada. Se todas as condições forem satisfeitas, o pedido HTTP será selecionado para a autenticação SPNEGO.
A chave e o valor no par chave-valor são separados por um operador que define qual condição será verificada. A chave identifica um cabeçalho de pedido HTTP a ser extraído do pedido e seu valor é comparado com o valor especificado no par chave-valor de acordo com a especificação do operador. Se o cabeçalho identificado pela chave não estiver presente no pedido HTTP, a condição será tratada como não sendo satisfeita.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Condição | Operador | Exemplo |
---|---|---|
Corresponder exatamente | = = Os argumentos são comparados como iguais. |
host=host.my.company.com |
Corresponder parcialmente (inclusões) | %= Os argumentos são comparados com uma correspondência parcial como válidos. |
user-agent%=IE 6 |
Corresponder parcialmente (inclui um de muitos) | ^= Os argumentos são comparados com uma correspondência parcial como válidos para um de muitos argumentos especificados. |
request-url^=webApp1|webApp2|webApp3 |
Não corresponder | != Os argumentos são comparados como não iguais. |
request-url!=noSPNEGO |
Maior que | > Os argumentos são comparados lexograficamente como maiores que. |
remote-address>192.168.255.130 |
Menor que | < Os argumentos são comparados lexograficamente como menores que. |
remote-address<192.168.255.135 |
Tipo de dados: | Cadeia |
Especifica o nome da classe Java que é utilizada pelo SPNEGO para selecionar quais pedidos de HTTP estão sujeitos à autenticação SPNEGO. Se você não especificar esse parâmetro, a classe de filtro padrão, com.ibm.ws.security.spnego.HTTPHeaderFilter, será utilizada.
Tipo de dados: | Cadeia |
Essa seleção é opcional. Especifica a URL de um recurso que possui o conteúdo que o SPNEGO incluirá na resposta de HTTP exibida pelo aplicativo cliente do navegador se ele não suportar autenticação SPNEGO.
Essa propriedade pode especificar um recurso da Web (http://) ou em arquivo (file://).
<html><head><title>A autenticação SPNEGO não é suportada</title></head> <body>A autenticação SPNEGO não é suportada nesse cliente</body></html>;
Tipo de dados: | Cadeia |
Esta propriedade é opcional. Especifica a URL de um recurso que possui o conteúdo que o SPNEGO incluirá na resposta de HTTP, que é exibida pelo aplicativo cliente do navegador.
O aplicativo cliente do navegador exibe essa resposta de HTTP quando o cliente do navegador envia um token NTLM (NT LAN Manage) em vez do token SPNEGO esperado durante o handshake de contestação/resposta.
<html><head><title>Um Token NTLM foi recebido. </title></head> <body>Sua configuração do navegador está correta, mas você não efetuou login num Microsoft(R) Windows(R) Domain suportado. <p>Efetue login no aplicativo utilizando a página de login normal. </html>
Essa propriedade pode especificar um recurso da Web (http://) ou em arquivo (file://).
Tipo de dados: | Cadeia |
Especifica se as credenciais delegadas pelo Kerberos devem ser armazenadas pelo SPNEGO. Permite também que um aplicativo recupere as credenciais armazenadas e propague-as para outros aplicativos de recebimento de dados para autenticação SPNEGO adicional.
Essa opção exige o uso do recurso de delegação de credencial avançada do Kerberos e o desenvolvimento de lógica customizada pelo desenvolvedor de aplicativos. O desenvolvedor deve interagir diretamente com o Kerberos KDC para obter um Ticket Granting Service (TGS) do Kerberos utilizando as credenciais do Kerberos delegadas em nome do usuário que originou o pedido. O desenvolvedor também deve construir o token Kerberos SPNEGO apropriado e incluí-lo no pedido HTTP para continuar o processo de autenticação SPNEGO de recebimento de dados, incluindo o manuseio da troca desafio-resposta adicional do SPNEGO, quando necessário.
Se quiser propagar o KRBAuthnToken para um servidor de recebimento de dados, o Ticket Granting Ticket (TGT) cliente deverá conter opções sem endereço e redirecionáveis. Se um TGT cliente estiver endereçado, o servidor de recebimento de dados não terá uma credencial de delegação do GSS cliente após ser propagado.
Você pode extrair a GSSCredential de delegação do cliente de um KRBAuthnToken utilizando o método KRBAuthnToken.getGSSCredential().
Padrão: | Desativado |
Essa seleção é opcional. Especifica se o SPNEGO removerá o sufixo do nome de usuário do proprietário, iniciando a partir do @ que precede o nome da região do Kerberos. Se esse atributo for configurado como true, o sufixo do nome do usuário do proprietário será removido. Se esse atributo estiver configurado como false, o sufixo do nome do proprietário será retido. O valor padrão utilizado é true.
Padrão: | Desativado |
Links marcados (on-line) requerem acesso à Internet.