「簡單且受保護的 GSS-API 協議」(SPNEGO) 機制的 Web 鑑別過濾器值,用來控制 SPNEGO 的不同層面。 請利用這個頁面來指定每部應用程式伺服器的不同過濾器值。
如果要檢視這個管理主控台頁面,請按一下安全 > 廣域安全。 從「鑑別」中,展開「Web 和 SIP 安全」,再按一下 SPNEGO Web 鑑別。 在「SPNEGO 過濾器」下,按一下新建,或選取要編輯的過濾器。
指定 Kerberos 服務主體名稱 (SPN) 中,SPNEGO 用來建立 Kerberos 安全環境定義的完整主機名稱。
這個主機名稱是完整格式的主機名稱。 例如,myHostname.austin.ibm.com。
Kerberos SPN 是 HTTP/<fully qualified hostname>@KERBEROS_REALM 格式的字串。完整的 SPN 供 SPNEGO 提供者用來搭配 Java™ 一般安全性服務 (JGSS),以取得鑑別程序所用的安全憑證和安全環境定義。
資料類型: | 字串 |
指定您的 Kerberos 網域範圍名稱。在大部分情況下,您的網域範圍就是您大寫字母的網域名稱。 比方說,網域名稱為 test.austin.ibm.com 的機器,其 Kerberos 網域範圍名稱通常便是 AUSTIN.IBM.COM。
如果並未指定 Kerberos 網域範圍名稱,則會使用 Kerberos 配置檔中所定義的預設網域範圍。
SPNEGO 使用的 Java 類別所用的過濾準則。
com.ibm.ws.security.spnego.HTTPHeaderFilter 預設實作類別利用這個內容來定義一份選擇規則清單,這些規則代表用來比對 HTTP 要求標頭的條件,以便判斷是否選取 HTTP 要求來進行 SPNEGO 鑑別。
每個條件都是以鍵值組來指定,用分號來分開每個鍵值組。 各條件是依照它們在指定內容中所顯示,由左至右進行評估。 如果所有條件都符合,便會選取 HTTP 要求來進行 SPNEGO 鑑別。
鍵值組的索引鍵和值是以運算子分隔,其定義要檢查的條件。 索引鍵會識別將從要求中擷取的 HTTP 要求標頭,並根據所指定的運算子,比較它的值與鍵值組所指定的值。 如果索引鍵所識別的標頭不在 HTTP 要求中,便會將條件當作不符合來處理。
String url = request.getRequestURL() + ‘?' + request.getQueryString();
條件 | 操作員 | 範例 |
---|---|---|
完全相符 | = = 引數比較為相等。 |
host=host.my.company.com |
局部符合(包括) | %= 引數比較,局部符合有效。 |
user-agent%=IE 6 |
局部符合(包括許多之一) | ^= 引數比較,針對指定的許多引數之一,局部符合有效。 |
request-url^=webApp1|webApp2|webApp3 |
不符合 | != 引數比較為不相等。 |
request-url!=noSPNEGO |
大於 | > 引數逐項比較為大於。 |
remote-address>192.168.255.130 |
小於 | < 引數逐項比較為小於。 |
remote-address<192.168.255.135 |
資料類型: | 字串 |
指定一個 Java 類別名稱,供 SPNEGO 用來選取將進行 SPNEGO 鑑別的 HTTP 要求。 如果未指定這個參數,便會使用預設過濾器類別 com.ibm.ws.security.spnego.HTTPHeaderFilter。
資料類型: | 字串 |
這個選項是選用的。 它指定在瀏覽器用戶端應用程式不支援 SPNEGO 鑑別的情況下,含有 SPNEGO 將併到這個用戶端應用程式所顯示的 HTTP 回應中之內容的資源 URL。
這個內容可以指定 Web (http://) 或檔案 (file://) 資源。
<html><head><title>不支援 SPNEGO 鑑別</title></head> <body>這個用戶端不支援 SPNEGO 鑑別</body></html>;
資料類型: | 字串 |
這個內容是選用的。它指定含有 SPNEGO 將併到瀏覽器用戶端應用程式所顯示的 HTTP 回應中之內容的資源 URL。
當瀏覽器用戶端在盤查-回應信號交換期間傳送 NT LAN 管理程式 (NTLM) 記號,而不是預期的 SPNEGO 記號時,瀏覽器用戶端應用程式會顯示這個 HTTP 回應。
<html><head><title>收到 NTLM 記號。</title></head> <body>您的瀏覽器配置正確,但您尚未登入支援的 Microsoft(R) Windows(R) 網域。 <p>請利用一般登入頁面來登入應用程式。</html>
這個內容可以指定 Web (http://) 或檔案 (file://) 資源。
資料類型: | 字串 |
指定 SPNEGO 是否應該儲存 Kerberos 委派認證。 另外,它也讓應用程式擷取儲存的認證,以及將這些認證傳播到其他下游應用程式,以便進行其他 SPNEGO 鑑別。
這個選項需要使用進階 Kerberos 認證委派特性,也需要應用程式開發人員開發自訂邏輯。 開發人員必須與 Kerberos KDC 直接互動,以便利用委派的 Kerberos 認證,代表發出要求的使用者來取得 Kerberos 通行證授與服務 (TGS)。 另外,開發人員也必須建構適當的 Kerberos SPNEGO 記號,將它併入 HTTP 要求,才能繼續進行下游的 SPNEGO 鑑別程序,必要的話,也包括處理其他 SPNEGO 盤查-回應交換。
如果要將 KRBAuthnToken 傳送至下游伺服器,則用戶端「授與通行證的通行證 (TGT)」必須包含無位址和可轉遞選項。 如果用戶端 TGT 已定址,則在傳送用戶端 GSS 委派認證後,下游伺服器就不再擁有該認證。
您可以利用 KRBAuthnToken.getGSSCredential() 方法,從 KRBAuthnToken 擷取用戶端委派 GSSCredential。
預設值: | 停用 |
這個選項是選用的。 它指定 SPNEGO 是否從 Kerberos 網域範圍名稱前面的 @ 開始,移除主體使用者名稱的字尾。 如果這個屬性設為 true,便會移除主體使用者名稱的字尾。 如果這個屬性設為 false,便會保留主體名稱的字尾。 所用的預設值是 true。
預設值: | 停用 |
標示(線上)的鏈結表示需要存取網際網路。