このタスクを実行すると、WebSphere Application Server が、
要求された Java 仮想マシン (JVM) プロパティーを使用し、HTTP 要求を適切にフィルタリングして、
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・アソシエーション・インターセプター (TAI) を
操作できるよう構成されていることを、Web 管理者として保証できるようになります。
始める前に
WebSphere Application Server 管理コンソールを使用してセキュリティー構成を管理する方法を知り、アプリケーション・サーバーのセキュリティー構成を変更するための適切な権限を持っている必要があります。
このタスクについて
SPNEGO TAI の構成を検証します。単一のアプリケーションが実行している WebSphere Application Server と、多数のアプリケーション・サーバーが存在し、多くのアプリケーションをホストしている大規模なマルチノード WebSphere Application Server Network Deployment (ND) セルとでは、SPNEGO TAI のデプロイメントは異なることがあります。すべての SPNEGO TAI は、セル・レベルでインストールされます。使用している特定の SPNEGO TAI 構成を認識しておく必要があります。
SPNEGO TAI のデフォルトの動作では、HTTP 要求はインターセプトされません。このデフォルトの動作により、SPNEGO TAI を既存のセルにインストールし、単一アプリケーション用に構成し、そしてセル内の他のアプリケーション・サーバーを変更しないようにすることができます。他の WebSphere Application Servers は、特定の構成内では、以前とまったく同じように実行することができます。
サンプルの SPN<id>.filterClass を使用するかどうかを決定し、
使用する正確なフィルター・プロパティーを決定します。
注: SPNEGO TAI のデフォルトの動作では、
com.ibm.ws.security.spnego.SPN<id>.filterClass が使用され、すべての要求が
インターセプトされます。
デフォルトの動作が不適切である場合は、カスタマー提供のクラスを使用するか、または必要に応じてサンプルのクラスを拡張または変更することができます。システム・プログラマー・インターフェース
com.ibm.ws.security.spnego.SpnegoFilter を使用すると、カスタム・フィルターをインプリメントして、
特定の HTTP 要求をインターセプトするかどうかを決定することができます。デフォルトのインプリメンテーションを使用すると、インターセプトする HTTP 要求を選択する際に、粗い基準および細かい基準のどちらに対してもフィルター・ルールを設定することができます。
以下のステップを実行して、
選択したフィルタリングで、JVM で必要なプロパティーを設定して SPNEGO TAI の操作を使用可能にします。
プロシージャー
- WebSphere Application Server 管理コンソールにログオンします。
- 「サーバー」>「アプリケーション・サーバー」をクリックします。
- 該当するサーバーを選択します。「サーバー・インフラストラクチャー」の下で、
「Java およびプロセス管理」>「プロセス定義」を展開します。
- 「Java 仮想マシン」をクリックします。「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
必要に応じ、「新規」をクリックしてカスタム・プロパティーを新規作成し、次に
「名前」フィールドに com.ibm.ws.security.spnego.isEnabled と入力し、
「値」フィールドに true と入力します。
- 「適用」>「OK」をクリックして、構成を保管します。
- いつ SPNEGO TAI が所定の要求をインターセプトするのかを示します。フィルター・プロパティーの
セットが提供されていますが、その中から適切なものを判別し、
それに応じて com.ibm.ws.security.spnego.SPN<id>.filterClass を変更します。
結果
アプリケーション・サーバーが構成され、Microsoft Active Directory ドメインで
正常に認証されたエンド・ユーザーにシングル・サインオン環境を提供するための
準備ができました。SPNEGO Web 認証用に構成された各アプリケーション・サーバーを再始動する必要があります。これで、
SPNEGO TAI が、その操作中に HTTP 要求をフィルタリングするよう設定されます。