WebSphere Application Server 用 Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・アソシエーション・インターセプター (TAI) の構成内のプロパティーを変更するには、wsadmin ユーティリティーを使用します。
このタスクについて
エンド・ユーザーのデスクトップ・ブラウザーが SPNEGO 認証をサポートしていること、SPNEGO TAI が使用可能になっていること、Java 仮想マシン (JVM) プロパティーが設定されていること、および SPNEGO TAI の操作を使用できるよう WebSphere Application Server が構成されていることを確認してください。
WebSphere Application Server 用に SPNEGO TAI を構成するには、以下のように wsadmin ユーティリティーを使用します。
プロシージャー
- WebSphere Application Server を始動します。
- Qshell コマンド行から
app_server_root/bin ディレクトリーにある wsadmin コマンドを実行して、コマンド行ユーティリティーを開始します。
- wsadmin プロンプトで、次のコマンドを入力します。
$AdminTask modifySpnegoTAIProperties
このコマンドでは、以下のパラメーターを使用できます。
オプション |
説明 |
<spnId> |
このパラメーターは必須です。これは、このコマンドで定義される
カスタム・プロパティーのグループの SPN ID です。 |
<host> |
このパラメーターはオプションです。このパラメーターは、Kerberos セキュア・コンテキストを確立するために SPNEGO TAI が使用する SPN のホスト名部分を指定します。 |
<filter> |
このパラメーターはオプションです。このパラメーターは、上記の属性を使用して指定されるクラスによって使用されるフィルター基準を定義します。 |
<filterClass> |
このパラメーターはオプションです。このパラメーターは、SPNEGO 認証を受ける必要のある HTTP 要求を選択するために SPNEGO TAI が使用する Java クラスの名前を指定します。クラスが指定されていない場合は、すべての HTTP 要求が SPNEGO 認証を受ける必要があります。 |
<noSpnegoPage> |
このパラメーターはオプションです。このパラメーターは、SPNEGO TAI が HTTP 応答に組み込む内容を含むリソースの URL を指定します。この内容は、(ブラウザー) クライアント・アプリケーションが SPNEGO 認証をサポートしていない場合に、そのアプリケーションによって表示されます。noSpnegoPage 属性を指定しなかった場合は、以下のデフォルトが使用されます。 "<html><head><title>SPNEGO
authentication is not supported.
</title></head>" +
"<body>SPNEGO authentication is not supported on this client.</body></html>";
|
<ntlmTokenPage> |
このパラメーターはオプションです。ntlmTokenPage パラメーターでは、
SPNEGO TAI が HTTP 応答に組み込む内容を含むリソースの URL を指定します。
この内容は、(ブラウザー) クライアント・アプリケーションによって表示されます。
(ブラウザー) クライアント・アプリケーションに、この HTTP 応答が表示されるのは、
ユーザー確認のための質問への応答ハンドシェーク時に、ブラウザー・クライアントが予想された SPNEGO トークンの代わりに NT LAN manager (NTLM) トークンを送信する場合です。ntlmTokenPage 属性を指定しなかった場合は、以下のデフォルトが使用されます。 "<html><head><title>An NTLM Token was received.</title></head>"
+ "<body>Your browser configuration is correct, but you have not
logged into a supported Windows Domain."
+ "<p>Please login to the application using the normal login page.</html>";
|
<trimUserName> |
このパラメーターはオプションです。このパラメーターは、SPNEGO TAI が、Kerberos レルム名の前の "@" で始まる、プリンシパル・ユーザー名のサフィックスを除去するか (true)、または除去しない (false) かを指定します。この属性が true に設定されている場合、プリンシパル・ユーザー名のサフィックスは除去されます。
この属性が false に設定されている場合、プリンシパル名のサフィックスは保持されます。
使用されるデフォルト値は true です。 |
結果
この WebSphere Application Server 用の SPNEGO TAI プロパティーが変更されます。
例
- 例 1
- 以下の例では、ユーザー・エージェント要求ヘッダーに IE 6 を含む HTTP 要求をインターセプトするよう SPNEGO TAI が構成されます。
SPNEGO TAI は、HTTP/myhost.ibm.com@<default_realm> の SPN を使用して、要求の発信元を認証します。次に、この例では、定義されたフィルターのカスタム・プロパティーの値が、user-agent%=IE 6 から host==myhost.company.com に変更されます。
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6
$AdminTask modifySpnegoTAIProperties -spnId 1 -filter host==myhost.company.com
- 例 2
- この例では、ホスト central01.austin.ibm.com に対するフィルターを追加するよう、SPN1 の SPNEGO TAI プロパティーが変更されます。
wsadmin>$AdminTask modifySpnegoTAIProperties -interactive
Modify SPNEGO TAI properties
Modify SPNEGO TAI configuration properties
*Service Principal Name identifier (spnId): 1
Host name in Service Principal Name (host): central01.austin.ibm.com
HTTP header filter rule (filter): request-url!=noSPNEGO;request-url%=snoop
Name of class used to filter HTTP requests (filterClass):
SPNEGO not supported browser response (noSpnegoPage):
NTLM Token received browser response (ntlmTokenPage):
Trim User Name browser response (trimUserName):
Modify SPNEGO TAI properties
F (Finish)
C (Cancel)
Select [F, C]: [F] f
WASX7278I: Generated command line: $AdminTask modifySpnegoTAIProperties {-spnId
1 -host w2003secdev.austin.ibm.com -filter request-url!=noSPNEGO;request-url%=sn
oop}
com.ibm.ws.security.spnego.SPN1.filter=request-url!=noSPNEGO;request-url%=snoop
com.ibm.ws.security.spnego.SPN1.hostName=central01.austin.ibm.com
wsadmin>