Angepasste JVM-Eigenschaften konfigurieren, HTTP-Anforderungen filtern und SPNEGO-TAI in WebSphere Application Server aktivieren (nicht mehr unterstützt)

Mit dieser Task können Sie als Webadministrator sicherstellen, dass der Betrieb des SPNEGO-TAI (Simple and Protected GSS-API Negotiation, Trust-Association-Interceptor) mit der erforderlichen JVM-Eigenschaft und der entsprechenden Filterung von HTTP-Anforderungen in WebSphere Application Server konfiguriert ist.

Vorbereitende Schritte

Für die Verwaltung der Sicherheitskonfiguration des Anwendungsservers müssen Sie sich mit der Verwendung der Administrationskonsole von WebSphere Application Server auskennen und berechtigt sein, die Sicherheitskonfiguration zu modifizieren.
Veraltetes Feature Veraltetes Feature:

In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. In WebSphere Application Server 7.0 ist diese Funktion jetzt veraltet. Die SPNEGO-Webauthentifizierung wird jetzt genutzt, um SPNEGO-Filter dynamisch neu zu laden und den Rückgriff auf die Methode der Anwendungsanmeldung zu ermöglichen.

depfeat

Informationen zu diesem Vorgang

Überprüfen Sie die Konfiguration des SPNEGO-TAI. Die Implementierung des SPNEGO-TAI auf einem Einzelsystem mit WebSphere Application Server, auf dem nur eine Anwendung ausgeführt wird, kann sich von der Implementierung in einer großen Zelle von WebSphere Application Server Network Deployment mit mehreren Knoten, Dutzenden Anwendungsservern und vielen Anwendungen unterscheiden. Jeder SPNEGO-TAI wird auf Zellenebene installiert. Sie müssen die Konfiguration Ihres spezifischen SPNEGO-TAI kennen.

Standardmäßig fängt der SPNEGO-TAI keine HTTP-Anforderungen ab. Durch dieses Standardverhalten wird sichergestellt, dass der SPNEGO-TAI in einer vorhandenen Zelle installiert und für einen Anwendungsserver konfiguriert werden kann, ohne die übrigen Anwendungsserver in der Zelle zu ändern. Die anderen WebSphere Application Server können innerhalb einer gegebenen Konfiguration genau wie zuvor ausgeführt werden.

Legen Sie fest, ob die Beispielklasse "SPN<ID>.filterClass" verwendet werden soll, und bestimmen Sie die exakt zu verwendenden Filtereigenschaften.
Anmerkung: Standardmäßig verwendet der SPNEGO-TAI com.ibm.ws.security.spnego.SPN<ID>.filterClass und fängt alle Anforderungen ab.
Falls das Standardverhalten nicht angemessen ist, können Sie eine eigene Klasse verwenden oder bei Bedarf die Beispielklasse erweitern bzw. modifizieren. Über die Systemprogrammiererschnittstelle com.ibm.ws.security.spnego.SpnegoFilter können Sie einen angepassten Filter implementieren, um festzulegen, ob eine bestimmte HTTP-Anforderung abgefangen werden soll. In der Standardimplementierung können Sie Filterregeln mit groben und detaillierten Kriterien für die Auswahl der abzufangenden HTTP-Anforderungen festlegen.
Anmerkung: Als Alternative zu den folgenden Schritten für die Aktivierung des SPNEGO-TAI können Sie Scripting verwenden. Einzelheiten hierzu finden Sie im Artikel SPNEGO TAI als angepasste JVM-Eigenschaft über Scripting aktivieren (nicht mehr unterstützt).
Führen Sie die folgenden Schritte aus, um den Betrieb des SPNEGO-TAI mit den ausgewählten Filtern und der erforderlichen JVM-Eigenschaft zu aktivieren.

Vorgehensweise

  1. Melden Sie sich an der Administrationskonsole von WebSphere Application Server an.
  2. Klicken Sie auf Server > Anwendungsserver.
  3. [IBM i][AIX Solaris HP-UX Linux Windows]Wählen Sie den entsprechenden Server aus. Klicken Sie unter "Serverinfrastruktur" auf Java- und Prozessverwaltung > Prozessdefinition.
  4. [z/OS]Wählen Sie den entsprechenden Server aus. Klicken Sie unter "Serverinfrastruktur" auf Java- und Prozessverwaltung > Prozessdefinition. Wählen Sie Servant aus.
  5. Klicken Sie auf Java™ Virtual Machine. Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften. Erstellen Sie bei Bedarf eine neue angepasste Eigenschaft, indem Sie auf Neu klicken und anschließend com.ibm.ws.security.spnego.isEnabled im Feld "Name" und true im Feld "Wert" angeben.
  6. Klicken Sie auf Anwenden > OK, um die Konfiguration zu speichern.
  7. [z/OS]Wiederholen Sie Schritt 3, aber wählen Sie Steuerung aus. Wiederholen Sie anschließend die Schritte 4 und 5.
  8. Stellen Sie fest, wann der SPNEGO-TAI eine gegebene Anforderung abfängt. Es wird ein Satz mit Filtereigenschaften bereitgestellt, doch Sie müssen die richtigen Filtereigenschaften bestimmen und com.ibm.ws.security.spnego.SPN<id>.filterClass gegebenenfalls entsprechend ändern.

Ergebnisse

Der Anwendungsserver ist konfiguriert und bereit, Endbenutzern, die sich in einer Microsoft Active Directory-Domäne authentifiziert haben, eine SSO-Umgebung bereitzustellen. Jeder Anwendungsserver, der für die SPNEGO-Webauthentifizierung konfiguriert wurde, muss neu gestartet werden. Wenn der SPNEGO-TAI jetzt ausgeführt wird, werden HTTP-Anforderungen gefiltert.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_config_jvm
Dateiname:tsec_SPNEGO_config_jvm.html