Значения фильтра Web-идентификации SPNEGO

Значения фильтра Web-идентификации механизма Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) управляют различными аспектами работы SPNEGO. На этой странице для каждого сервера приложений можно указать разные значения фильтра.

Для просмотра страницы административной консоли выберите Защита > Глобальная защита. В разделе Идентификация разверните Web и SIP защиту и выберите Web-идентификация SPNEGO. В фильтрах SPNEGO выберите Создать или имеющийся фильтр и измените его.

Имя хоста

Указывает полное имя хоста в имени субъекта службы Kerberos (SPN), которое используется SPNEGO для установки защищенного контекста Kerberos.

Имя хоста - полная форма сетевого имени. Например, myHostname.austin.ibm.com.

SPN Kerberos - это строка следующего формата:HTTP/<полное имя хоста>@KERBEROS_REALM . Полный SPN применяется провайдером SPNEGO вместе с Java Generic Security Service (JGSS) с целью получения разрешений и контекста защиты для предоставления прав доступа.

Тип данных: Строка
Имя области Kerberos

Задает имя области Kerberos. В большинстве случаев область - это имя домена, состоящее из букв в верхнем регистре. Например, для системы с именем домена test.austin.ibm.com имя области Kerberos обычно выглядит как AUSTIN.IBM.COM.

Если пользователь не укажет имя области Kerberos, будет использован стандартная область, определенная в файле конфигурации Kerberos.

Критерии фильтрации

Критерий фильтрации для класса Java, который используется SPNEGO.

Класс реализации по умолчанию com.ibm.ws.security.spnego.HTTPHeaderFilter использует это свойство для определения набора правил выбора, описывающих условиями, с помощью которых проверяются заголовки запроса HTTP для определения необходимости применения идентификации SPNEGO.

Каждое условие определяется как пара ключ-значение. В качестве разделителя условий применяется точка с запятой. Условия проверяются в порядке слева направо. Если все условия выполнены, то запрос HTTP подлежит идентификации SPNEGO.

Ключ и значения разделяются операторами, указывающими на проверяемое условие. Ключ определяет извлекаемый заголовок запроса HTTP; полученное значение сравнивается со значением из условие с помощью указанного оператора. Если заданный заголовок отсутствует в запросе HTTP, то условие не выполняется.

В качестве ключей можно использовать любые стандартные заголовки запросов HTTP. Список допустимых заголовков можно просмотреть в спецификации протокола HTTP. Кроме того, доступны два ключа, предназначенные для извлечения информации из запроса, которые можно использовать в качестве критерия выбора (не поддерживаются в стандартных заголовках запросов HTTP). Ключ remote-address выполняет роль псевдозаголовка для извлечения удаленного адреса TCP/IP приложения-клиента, отправившего запрос HTTP. Ключ request-URL выполняет роль псевдозаголовка для извлечения URL, с помощью которого приложение-клиент отправило запрос. Перехватчик использует результат операции getRequestURL и интерфейсе javax.servlet.http.HttpServletRequest для составления адреса. Если строка запроса указана, то дополнительно применяется результат операции getQueryString из того же интерфейса. В этом случае полный URL составляется следующим образом:
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Табл. 1. Операторы и условия фильтрации.

В этой таблице описаны условия и операции критериев фильтрации.

Условие Оператор Пример
Точное совпадение = =

Проверяется равенство аргументов.

host=host.my.company.com
Частичное совпадение (включает) %=

Проверяется частичное совпадение аргументов.

user-agent%=IE 6
Частичное совпадение (включает один из нескольких) ^=

Проверяется частичное совпадение одного из нескольких аргументов.

request-url^=webApp1|webApp2|webApp3
Не равно !=

Проверяется неравенство аргументов.

request-url!=noSPNEGO
Больше >

Проверяется, является ли один аргумент больше другого.

remote-address>192.168.255.130
Меньше <

Проверяется, является ли один аргумент меньше другого.

remote-address<192.168.255.135
Прим.: В предыдущих версиях WebSphere Application Server фильтры заголовков HTTP SPNEGO неправильно обрабатывали пространства, IP-адреса и условие !=. В данном выпуске эти ошибки исправлены.
Тип данных: Строка
Класс фильтра

Указывает имя класса Java, применяемого SPNEGO для выбора запросов HTTP, подлежащих идентификации SPNEGO. Если этот параметр не указан, используется класс фильтра по умолчанию, com.ibm.ws.security.spnego.HTTPHeaderFilter.

Тип данных: Строка
URL ошибочной страницы, неподдерживаемой SPNEGO

Это необязательное поле. В нем указывается URL ресурса, содержащего данные, добавляемые SPNEGO в ответ HTTP, отображаемый клиентским приложением браузера, если это приложение не поддерживает идентификацию SPNEGO.

В свойстве можно указать как веб-ресурс (http://), так и файл (file://).

Если свойство не указано или перехватчик не смог найти указанный ресурс, используется следующее содержимое:
<html><head><title>Идентификация
SPNEGO не поддерживается</title></head>
<body>Для этого клиента не поддерживается идентификация SPNEGO</body></html>;
Тип данных: Строка
URL ошибочной полученной страницы маркера NTLM

Это обязательное свойство. Указывается URL ресурса, содержащего данные, добавляемые SPNEGO в ответ HTTP, отображаемый в клиентском приложении браузера.

Клиентское приложение браузера отображает этот ответ HTTP, когда клиент браузера отправляет маркер NT LAN manager (NTLM) вместо ожидаемого маркера SPNEGO в ходе согласования вызов-ответ.

Если это свойство не задано или перехватчик не сможет найти указанный ресурс, то применяется следующее содержимое:
<html><head><title>An NTLM Token was received.</title></head>
<body>Your browser configuration is correct, but you have not logged into a supported
Microsoft(R) Windows(R) Domain.
<p>Please login to the application using the normal login page.</html>

В свойстве можно указать как веб-ресурс (http://), так и файл (file://).

Тип данных: Строка
Включить делегирование идентификационных данных Kerberos

Указывает, должны ли делегированные идентификационные данные Kerberos сохраняться SPNEGO. Это свойство также позволяет приложению извлечь сохраненные идентификационные данные и разослать их другим приложениям для дополнительной идентификации SPNEGO.

Этот параметр требует использования функции дополнительного делегирования одноразового разрешения Kerberos и разработки пользовательской логики разработчика приложений. Разработчик должен взаимодействовать непосредственно со службой KDC Kerberos TGS для получения службы выдачи ключей (TGS) с помощью разрешений Kerberos, переданных от имени пользователя, отправившего запрос. Кроме того, разработчик должен создать паспорт SPNEGO Kerberos и добавить его в запрос HTTP для продолжения идентификации SPNEGO по течению, включая дополнительное согласование Вызов-Ответ SPNEGO.

Прим.: Если эта опция не выбрана (по умолчанию), то GSSCredential не допускает сериализацию и передачу нижестоящему серверу. Извлекается разрешение делегирования Kerberos и создается KRBAuthnToken. KRBAuthnToken содержит разрешение делегирования Kerberos клиента, которое можно передать нижестоящему серверу.

Для передачи KRBAuthnToken нижестоящему серверу TGT клиента должен содержать опции addressless и forwardable. Если TGT содержит адрес, то нижестоящий сервер не получит разрешение делегирования GSS клиента.

Разрешение делегирования GSS клиента можно извлечь из KRBAuthnToken с помощью метода KRBAuthnToken.getGSSCredential().

По умолчанию: Выключено
Извлечение области Kerberos из имени субъекта

Это необязательное поле. Указывает, следует ли SPNEGO удалять суффикс имени субъекта, начинающийся с символа @ и содержащий имя области Kerberos. Если атрибут установлен в true, то суффикс имени пользователя субъекта удаляется. Если же атрибут установлен в false, суффикс имени субъекта остается целиком. Значение по умолчанию - true.

Прим.: Укажите в этом поле значение true в случае применения локального реестра операционной системы z/OS и встроенного модуля преобразования субъектов Kerberos в идентификаторы SAF.
По умолчанию: Выключено



Ссылки, помеченные как (в сети), требуют подключения к Internet.

Ссылки, связанные с данной
Включение Web-идентификации SPNEGO
Идентификация Kerberos


Имя файла: usec_kerb_SPNEGO_edit.html