Valorile filtrului de autentificare web SPNEGO

Valorile filtrului de Autentificare web SPENGO (Simple and Protected GSS-API Negotiation Mechanism) controlează diferite aspecte ale SPNEGO. Utilizaţi această pagină pentru a specifica diferite valori de filtru pentru fiecare server de aplicaţii.

Pentru a vizualiza această pagină de consolă administrativă, apăsaţi pe Securitate > Securitate globală. Din Autentificare, expandaţi Securitatea Web şi SIP şi apoi apăsaţi pe Autentificare web SPNEGO. Sub Filtre SPNEGO, apăsaţi pe Nou sau selectaţi un filtru de editat.

Nume gazdă

Specifică numele gazdă complet calificat din SPN-ul (nume principal service) Kerberos care este utilizat de SPNEGO pentru a stabili un context sigur Kerberos.

Numele gazdă este forma complet calificată a numelui gazdă. De exemplu, myHostname.austin.ibm.com.

SPN-ul Kerberos este un şir de forma HTTP/<nume gazdă complet calificat>@KERBEROS_REALM . SPN-ul complet este utilizat cu Java Generic Security Service (JGSS) de furnizorul SPNEGO pentru a obţine acreditarea de securitate şi contextul de securitate care sunt utilizate în procesul de autentificare.

Tip date: Şir
Numele regiunii Kerberos

Specifică numele regiunii dumneavoastră Kerberos. În majoritatea cazurilor, regiunea dumneavoastră este numele dumneavoastră de domeniu cu litere mari. De exemplu, o maşină cu numele de domeniu test.austin.ibm.com ar avea de obicei un nume de regiune Kerberos AUSTIN.IBM.COM.

Dacă nu specificaţi numele regiunii Kerberos, atunci se utilizează regiunea implicită care este definită în fişierul de configurare Kerberos.

Criterii de filtrare

Criteriul de filtrare utilizat de clasa Java care este utilizat de SPNEGO.

Clasa de implementare implicită com.ibm.ws.security.spnego.HTTPHeaderFilter utilizează această proprietate pentru a defini o listă de reguli de selecţie care reprezintă condiţii ce sunt potrivite faţă de anteturi de cereri HTTP pentru a determina dacă cererea HTTP este sau nu selectată pentru autentificarea SPNEGO.

Fiecare condiţie este specificată cu o pereche cheie-valoare, separate una de cealaltă prin punct şi virgulă. Condiţiile sunt evaluate de la stânga la dreapta, aşa cum se afiează în proprietatea specificată. Dacă sunt îndeplinite toate condiţiile, cererea HTTP este selectată pentru autentificare SPNEGO.

Cheia şi valoarea dintr-o pereche cheie-valoare sunt separate printr-un operator care defineşte ce condiţie este verificată. Cheia identifică un antet de cerere HTTP de extras din cerere şi valoarea sa este comparată cu valoarea care este specificată în perechea cheie-valoare conform specificaţiei operatorului. Dacă antetul care este identificat de cheie nu este prezent în cererea HTTP, condiţia este tratată ca şi cum n-ar fi îndeplinită.

Oricare dintre anteturile de cereri HTTP poate fi utilizat drept cheie în perechile cheie-valoare. Consultaţi specificaţia HTTP pentru lista de anteturi valide. În plus, două chei sunt definite pentru a extrage informaţii din cerere, utile şi ca criteriu de selecţie, ceea ce nu este disponibil prin anteturi de cereri HTTP standard. Cheia de adresă la distanţă este utilizată ca pseudo-antet pentru a extrage adresa TCP/IP la distanţă a aplicaţiei de client care a trimis cererea HTTP. Cheia URL-cerere este utilizată ca pseudo-antet pentru a extrage URL-ul care este utilizat de aplicaţia de client pentru a face cererea. Interceptorul utilizează rezultatul operaţiei getRequestURL din interfaţa javax.servlet.http.HttpServletRequest pentru a construi adresa web. Dacă este prezent un şir de interogare, rezultatul operaţiei getQueryString din aceeaşi interfaţă este şi el utilizat. În acest caz, URL-ul complet este construit după cum urmează:
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Table 1. Condiţii de filtru şi operaţii.

Această tabelă descrie condiţiile şi operaţiile criteriilor de filtrare.

Condiţie Operator Exemplu
Potrivire exactă = =

Argumentele sunt comparate ca egale.

host=host.my.company.com
Potrivire parţială (include) %=

Argumentele sunt comparate cu o potrivire parţială care e validă.

user-agent%=IE 6
Potrivire parţială (include unul din mai multe) ^=

Argumentele sunt comparate cu o potrivire parţială care este validă penrtu unul dintre mai multe argumente specificate.

request-url^=webApp1|webApp2|webApp3
Nu se potriveşte !=

Argumentele sunt comparate ca inegale.

request-url!=noSPNEGO
Mai mare decât >

Argumentele sunt comparate lexografic ca mai mare decât.

remote-address>192.168.255.130
Mai mic decât <

Argumentele sunt comparate lexografic ca mai mic decât.

remote-address<192.168.255.135
Note: În versiunile anterioare ale WebSphere Application Server, filtrele de antet HTTP SPNEGO nu tratau cum trebuie spaţii, adrese IP şi condiţia !=, dar acele probleme au fost rezolvate în această ediţie.
Tip date: Şir
Clasă filtru

Specifică numele clasei Java care este utilizată de SPNEGO pentru a selecta ce cereri HTTP sunt supuse autentificării SPNEGO. Dacă nu specificaţi acest parametru, se utilizează clasa de filtru implicită, com.ibm.ws.security.spnego.HTTPHeaderFilter.

Tip date: Şir
URL pagină de eroare SPNEGO nesuportat

Această alegere este opţională. Specifică URL-ul unei resurse care conţine ce include SPNEGO în răspunsul HTTP care este afişat de aplicaţia de client browser dacă nu suportă autentificare SPNEGO.

Această proprietate poate specifica o resursă web (http://) sau de fişier (file://).

Dacă nu se specifică această proprietate, sau dacă interceptorul nu poate găsi resursa specificată, se utilizează următorul conţinut:
<html><head><title>Autentificarea SPNEGO nu este suportată </title></head>
<body>Autentificarea SPNEGO nu este suportată pe acest client</body></html>;
Tip date: Şir
Tokenul NTLM a primit URL pagină de eroare

Această proprietate este opţională. Specifică URL-ul unei resurse care conţine ce include SPNEGO în răspunsul HTTP care este afişat de aplicaţia de client browser.

Aplicaţia client browser afişează acest răspuns HTTP când clientul browser trimite un token NTLM (Manager LAN NT) în locul token-ului SPNEGO aşteptat în timpul dialogului de confirmare cerere de identificare-răspuns.

Dacă nu se specifică această proprietate sau dacă interceptorul nu poate găsi resursa specificată, se utilizează următorul conţinut:
<html><head><title>S-a primit un token NTLM.</title></head>
<body>Configuraţia browser-ului dumneavoastră este corectă, dar nu v-aţi logat într-un Microsoft(R) Windows(R) Domain suportat.
<p>Vă rugăm logaţi-vă în aplicaţie utilizând pagina de logare normală.</html>

Această proprietate poate specifica o resursă web (http://) sau de fişier (file://).

Tip date: Şir
Permite delegaţia acreditărilor Kerberos

Specifică dacă acreditările delegate Kerberos ar trebui să fie stocate de SPNEGO. De asemenea, permite unei aplicaţii să extragă acreditările stocate şi să le propage la alte aplicaţii din aval pentru autentificare SPNEGO suplimentară.

Această opţiune necesită utilizarea caracteristicii de delegaţie a acreditărilor Kerberos şi dezvoltarea logicii personalizate de către dezvoltatorul aplicaţiei. Dezvoltatorul trebuie să interacţioneze cu Kerberos KDC pentru a obţine un Kerberos Ticket Granting Service (TGS) utilizând acreditările Kerberos delegate din partea utilizatorului care a originat cererea. Dezvoltatorul trebuie să construiască şi token-ul Kerberos SPNEGO corespunzător şi să-l includă în cererea HTTP pentru a continua procesul de autentificare SPNEGO în aval, inclusiv tratarea schimbului cerere de identificare-răspuns SPNEGO suplimentar, dacă este necesar.

Note: Dacă această opţiune este activată (cum este implicit), GSSCredential nu este serializabil şi nu poate fi propagat la serverul din aval. Acreditarea de delegaţie Kerberos client este extrasă şi se creează baza KRBAuthnToken. KRBAuthnToken conţine delegaţia Kerberos client şi poate fi propagat la un server în aval.

Dacă doriţi să propagaţi KRBAuthnToken la un server în aval, Ticket Granting Ticket (TGT) client trebuie să conţină opţiuni înaintabile şi fără adrese. Dacă se adresează un TGT client, serverul din aval nu are o acreditare de delgaţie GSS client după ce este propagată.

Puteţi extrage GSSCredential de delegaţie client din KRBAuthnToken utilizând metoda KRBAuthnToken.getGSSCredential().

Implicit: Dezactivat
Retezare regiune Kerberos din numele principal

Această alegere este opţională. Specifică dacă SPNEGO înlătură sufixul numelui de utilizator principal din @ care precedă numele de regiune Kerberos. Dacă acest atribut este setat la true, se înlătură sufixul numelui de utilizator principal. Dacă acest atribut este setat la false, se reţine sufixul numelui principal. Valoarea implicită utilizată este true.

Note: Trebuie să setaţi acest câmp la true dacă utilizaţi atât registrul Sistemului de operare local pe z/OS, cât şi modulul de mapare încorporat pentru a mapa principalul Kerberos la identităţi SAF.
Implicit: Dezactivat



Legăturile marcate (online) necesită acces la internet.

Related reference
Activarea autentificării web SPNEGO
Autentificare Kerberos


Nume fişier: usec_kerb_SPNEGO_edit.html