Single Sign-On für HTTP-Anforderungen über die SPNEGO-Webauthentifizierung erstellen

Das Erstellen von Single Sign-ons für HTTP-Anforderungen mit der SPNEGO-Webauthentifizierung (Simple and Protected GSS-API Negotiation Mechanism) für WebSphere Application Server erfordert ein Zusammenwirken mehrerer unterschiedlicher, aber zusammengehöriger Funktionen, deren Ausführung HTTP-Benutzer in die Lage versetzt, sich am Microsoft-Domänencontroller nur einmal anzumelden und zu authentifizieren und damit automatisch eine Authentifizierung von WebSphere Application Server zu erhalten.

Vorbereitende Schritte

Anmerkung:

In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. Diese Funktion wurde in WebSphere Application Server Version 7.0 als veraltet gekennzeichnet. Stattdessen wird jetzt die SPNEGO-Webauthentifizierung genutzt, die folgende Verbesserungen bietet:

  • Über die Administrationskonsole können Sie die SPNEGO-Webauthentifizierung und Filter in WebSphere Application Server konfigurieren und aktivieren.
  • Das dynamische Neuladen von SPNEGO erfordert nicht mehr, dass WebSphere Application Server gestoppt und neu gestartet werden muss.
  • Wenn die SPNEGO-Webauthentifizierung scheitert, kann auf eine Anwendungsanmeldemethode zurückgegriffen werden.

Sie können den SPNEGO TAI oder die SPNEGO-Webauthentifizierung aktivieren, jedoch nicht beide gleichzeitig.

Die Informationen im Artikel Single Sign-On für HTTP-Anforderungen mit SPNEGO-Webauthentifizierung werden Ihnen helfen, besser zu verstehen, was die SPNEGO-Webauthentifizierung ist und wie sie in dieser Version von WebSphere Application Server unterstützt wird.

Gehen Sie vor dem Starten dieser Task die folgende Prüfliste durch:

  • [Windows]Ein Microsoft Windows-Server, auf dem der Active Directory-Domänencontroller und das zugehörige Kerberos-Key-Distribution-Center (KDC) ausgeführt werden.
  • [Windows]Ein Microsoft Windows-Domänenmitglied (Client), z. B. ein Browser oder Microsoft-.NET-Client, das den in IETF RFC 2478 definierten SPNEGO-Authentifizierungsmechanismus unterstützt. Microsoft Internet Explorer Version 5.5 oder höher und Mozilla Firefox Version 1.0 erfüllen die Anforderungen für einen solchen Client.
    Wichtig: Es sind ein aktiver Domänencontroller und mindestens eine Clientmaschine in dieser Domäne erforderlich. Die direkte Verwendung von SPNEGO über den Domänencontroller wird nicht unterstützt.
  • Das Domänenmitglied hat Benutzer, die sich an der Domäne anmelden können. Insbesondere muss eine funktionsfähige Microsoft Windows Active Directory-Domäne vorhanden sein, die Folgendes enthält:
    • Domänencontroller
    • Client-Workstation
    • Benutzer, die sich an der Client-Workstation anmelden können
  • Eine Serverplattform, auf der WebSphere Application Server ausgeführt wird und die Anwendungssicherheit aktiviert ist.
  • Benutzer in Active Directory müssen über einen nativen Authentifizierungsmechanismus von WebSphere Application Server Zugriff auf geschützte Ressourcen von WebSphere Application Server haben.
  • Der Domänencontroller und der Host von WebSphere Application Server sollten dieselbe Ortszeit verwenden.
  • Stellen Sie sicher, dass die Uhren auf den Clients, Microsoft Active Directory und WebSphere Application Server mit einer Genauigkeit von fünf Minuten synchronisiert sind.
  • Beachten Sie, dass Client-Browser für SPNEGO aktiviert sein müssen. Dies wird auf der Clientanwendungsmaschine ausgeführt (eine ausführliche Beschreibung finden Sie in Prozedur 4, "Clientanwendung auf der Clientanwendungsmaschine konfigurieren").

Informationen zu diesem Vorgang

Das Ziel dieser Maschinenanordnung besteht darin, den Benutzern einen erfolgreichen Zugriff auf Ressourcen von WebSphere Application Server zu ermöglichen, ohne dass sie sich erneut authentifizieren müssen, so dass Sie die Single-Sign-on-Funktionalität auf der Arbeitsoberfläche von Microsoft Windows erhalten.

Damit das Single Sign-on (einmaliges Anmelden) unter Microsoft Windows festgelegt wird, müssen bei der Konfiguration der Mitglieder dieser Umgebung spezifische Aktivitäten auf drei getrennten Maschinen ausgeführt werden:
  • Ein Microsoft Windows-Server, auf dem der Active Directory-Domänencontroller und das zugehörige Kerberos-Key-Distribution-Center (KDC) ausgeführt werden.
  • Ein Microsoft Windows-Domänenmitglied (Clientanwendung), z. B. ein Browser oder ein Microsoft .NET-Client.
  • Eine Serverplattform, auf der WebSphere Application Server ausgeführt wird.

Führen Sie die folgenden Schritte aus, um Single Sign-On für HTTP-Anforderungen über die SPNEGO-Webauthentifizierung zu erstellen:

Vorgehensweise

  1. Erstellen Sie einen Kerberos-Service-Principal-Namen (SPN) und eine Chiffrierschlüsseldatei auf Ihrer Microsoft-Domänencontrollermaschine.
    1. Sie müssen Ihre Domänencontrollermaschine für das Erstellen von Single Sign-ons für HTTP-Anforderungen mit der Webauthentifizierung Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) für WebSphere® Application Server konfigurieren. Konfigurieren Sie den Microsoft Windows-Server, auf dem der Active Directory-Domänencontroller und das zugehörige Kerberos-Key-Distribution-Center (KDC) ausgeführt werden.
  2. Erstellen Sie eine Kerberos-Konfigurationsdatei.
    1. Die IBM® Implementierung von Java™ Generic Security Service (JGSS) und KRB5 erfordert eine Kerberos-Konfigurationsdatei (krb5.conf bzw. krb5.ini) auf jedem Knoten bzw. in jeder Java Virtual Machine (JVM). In diesem Release von WebSphere Application Server muss diese Konfigurationsdatei in das Verzeichnis config/cells/<Zellenname> kopiert werden, damit alle Anwendungsserver auf diese Datei zugreifen können. Wenn Sie keine Kerberos-Konfigurationsdatei haben, erstellen Sie eine mit einem wsadmin-Befehl. Weitere Informationen finden Sie im Artikel "Kerberos-Konfiguration erstellen".
  3. Konfigurieren und aktivieren Sie die SPNEGO-Webauthentifizierung über die Administrationskonsole Ihrer WebSphere Application Server-Maschine.
    1. Sie können Simple and Protected GSS-API Negotiation (SPNEGO) als Webauthentifikator über die Administrationskonsole der WebSphere Application Server-Maschine für den Anwendungsserver aktivieren und konfigurieren. Weitere Informationen finden Sie im Artikel "SPNEGO-Webauthentifizierung über die Administrationskonsole aktivieren und konfigurieren".
  4. Konfigurieren Sie die Clientanwendung auf der Clientanwendungsmaschine.
    1. Clientseitige Anwendungen müssen das SPNEGO-Token generieren. Sie beginnen diesen Konfigurationsprozess mit der Konfiguration Ihres Web-Browsers für die SPNEGO-Authentifizierung. Weitere Informationen finden Sie im Artikel "Client-Browser für die Verwendung von SPNEGO konfigurieren".
  5. Optional: Sie können SPNEGO-Token für J2EE-, .NET-, Java- und Web-Service-Clients für HTTP-Anforderungen erstellen.
    1. Sie können für Ihre Anwendungen ein SPNEGO-Token (Simple and Protected GSS-API Negotiation) erstellen und dieses Tokens zur Authentifizierung gegenüber WebSphere Application Server in die HTTP-Header einfügen. Weitere Informationen finden Sie im Artikel "SPNEGO-Token für J2EE-, .NET-, Java- und Web-Service-Clients für HTTP-Anforderungen erstellen".

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_overview
Dateiname:tsec_SPNEGO_overview.html