Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) の Web 認証フィルター値は、SPNEGO のさまざまな性質を制御します。このページを使用して、 アプリケーション・サーバーごとに異なるフィルターの値を指定します。
この管理コンソール・ページを表示するには、 「セキュリティー」>「グローバル・ セキュリティー」とクリックします。「認証」において、 「Web および SIP セキュリティー (Web and SIP Security)」を展開してから、「SPNEGO Web 認証」をクリックします。SPNEGO のフィルター で、「新規」をクリックするか、編集するフィルターを選択します。
Kerberos セキュア・コンテキストを確立するために SPNEGO によって使用される Kerberos サービス・プリンシパル名 (SPN) の完全修飾ホスト名を指定します。
このホスト名は、完全修飾形式のホスト名です。例えば、myHostname.austin.ibm.com のようになります。
Kerberos SPN は、HTTP/<fully qualified hostname>@KERBEROS_REALM という形式のストリングです。 認証プロセスで使用されるセキュリティー・クレデンシャルおよびセキュリティー・コンテキストを取得するために、SPNEGO プロバイダーでは Java™ Generic Security Service (JGSS) とともに完全な SPN が使用されます。
データ型: | ストリング |
Kerberos レルムの名前を指定します。ほとんどの場合、レルムはドメイン・ネームを大文字にしたものです。例えば、ドメイン・ネームが test.austin.ibm.com のマシンの Kerberos レルム名は、通常は AUSTIN.IBM.COM です。
Kerberos レルムの名前を指定していない場合は、Kerberos 構成ファイルに定義されているデフォルトのレルムが使用されます。
SPNEGO が使用する Java クラスによって使用されるフィルタリング条件。
com.ibm.ws.security.spnego.HTTPHeaderFilter デフォルト実装クラスはこのプロパティーを使用して、HTTP リクエストが SPNEGO 認証に対して選択されているかどうかを判別するために、HTTP リクエスト・ ヘッダーに対して突き合わせる条件を表す選択ルールのリストを定義します。
各条件は、セミコロンで区切られたキーと値のペアで指定されます。 これらの条件は、指定プロパティーでの表示順に左から右へ向かって評価されます。 すべての条件に適合する場合、その HTTP リクエストが SPNEGO 認証用に選択されます。
キーと値のペアのキーと値は、どの条件を検査するかを定義する演算子によって区切られます。 このキーは、要求から抽出する HTTP リクエスト・ヘッダーを識別し、この値が演算子の指定に従ってキー値に指定されている値と比較されます。 このキーによって識別されたヘッダーが HTTP リクエストに存在しない場合、条件は不適合と見なされます。
String url = request.getRequestURL() + ‘?' + request.getQueryString();
条件 | オペレーター | 例 |
---|---|---|
正確に一致 | = = 引数が等しいかどうかが比較されます。 |
host=host.my.company.com |
部分的に一致 (含む) | %= 部分的な一致を有効なものとして引数を比較します。 |
user-agent%=IE 6 |
部分的に一致 (複数の中の 1 つ) | ^= 指定された多くの引数の中の 1 つと一致する部分一致を有効なものとして比較します。 |
request-url^=webApp1|webApp2|webApp3 |
一致しない | != 引数が等しくないかどうかが比較されます。 |
request-url!=noSPNEGO |
より大きい | > 引数が辞書的により大きいかどうかが比較されます。 |
remote-address>192.168.255.130 |
より小さい | < 引数が辞書的により小さいかどうかが比較されます。 |
remote-address<192.168.255.135 |
データ型: | ストリング |
SPNEGO が SPNEGO 認証の対象となる HTTP 要求を選択するために使用する Java クラスの名前を指定します。 このパラメーターを指定しない場合、デフォルトのフィルター・クラス com.ibm.ws.security.spnego.HTTPHeaderFilter が使用されます。
データ型: | ストリング |
この選択はオプションです。これは、 SPNEGO が HTTP 応答に組み込む内容を含むリソースの URL を指定します。 この内容は、ブラウザーのクライアント・アプリケーションが SPNEGO 認証をサポートしていない場合に、そのアプリケーションによって表示されます。
このプロパティーは Web (http://) またはファイル (file://) のリソースを指定できます。
<html><head><title>SPNEGO authentication is not supported</title></head> <body>SPNEGO authentication is not supported on this client</body></html>;
データ型: | ストリング |
このプロパティーはオプションです。これは、 SPNEGO が HTTP 応答に組み込む内容を含むリソースの URL を指定します。 この内容はブラウザーのクライアント・アプリケーションによって表示されます。
この HTTP 応答は、ブラウザーのクライアント・アプリケーションが ユーザー確認のための質問への応答のハンドシェーク時に、 予期される SPNEGO トークンではなく NT LAN マネージャー (NTLM) トークンを送信した場合に、 ブラウザーのクライアント・アプリケーションに表示されます。
<html><head><title>An NTLM Token was received.</title></head> <body>Your browser configuration is correct, but you have not logged into a supported Microsoft(R) Windows(R) Domain. <p>Please login to the application using the normal login page.</html>
このプロパティーは Web (http://) またはファイル (file://) のリソースを指定できます。
データ型: | ストリング |
Kerberos の代行クレデンシャルを SPNEGO が保管するかどうかを指定します。また、アプリケーションは保管されたクレデンシャルを取得し、 それらを追加の SPNEGO 認証用に他のダウンストリームのアプリケーションに伝搬させることができます。
このオプションでは、拡張 Kerberos クレデンシャル代行機能の使用および アプリケーション開発者によるカスタム・ロジックの作成が必要です。 開発者は、要求の発信元ユーザーに代わって、Kerberos KDC と直接対話し、 代行 Kerberos クレデンシャルを使用して Kerberos Ticket Granting Service (TGS) を取得する必要があります。 また、開発者は、適切な Kerberos SPNEGO トークンを構成して、それを HTTP リクエストに含めることで、ダウンストリームの SPNEGO 認証プロセスを継続する必要があります。これには、必要に応じて、追加の SPNEGO ユーザー確認のための質問への応答交換の処理が含まれます。
KRBAuthnToken をダウンストリーム・サーバーに伝搬する場合は、クライアントのチケット許可チケット (TGT) にアドレスなしオプションおよび転送可能オプションが含まれている必要があります。 クライアント TGT にアドレスが指定されている場合は、伝搬後、ダウンストリーム・サーバーにクライアントの GSS 代行クレデンシャルは含まれません。
クライアント代行 GSSCredential は、KRBAuthnToken.getGSSCredential() メソッドを使用して KRBAuthnToken から抽出することができます。
デフォルト: | 使用不可 |
この選択はオプションです。SPNEGO が、Kerberos レルム名に先行する、 「@」で始まるプリンシパル・ユーザー名のサフィックスを除去するかどうかを指定します。 この属性が true に設定されている場合、プリンシパル・ユーザー名のサフィックスは除去されます。 この属性が false に設定されている場合、 プリンシパル名のサフィックスは保持されます。使用されるデフォルト値は true です。
デフォルト: | 使用不可 |
マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。