Single Sign-On für HTTP-Anforderungen über SPNEGO-TAI erstellen (veraltet)

Wenn Sie Single Sign-On (SSO) für HTTP-Anforderungen über den SPNEGO-TAI (Simple and Protected GSS-API Negotiation Mechanism, Trust-Association-Interceptor) für WebSphere Application Server erstellen, müssen bestimmte einzelne und dennoch zusammengehörige Funktionen ausgeführt werden, die den HTTP-Benutzern ermöglichen, sich ein einziges Mal an ihrem Desktop anzumelden und zu authentifizieren und daraufhin eine automatische Authentifizierung über WebSphere Application Server zu erzielen.

Vorbereitende Schritte

Veraltetes Feature Veraltetes Feature:

In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. Diese Funktion wird in WebSphere Application Server 7.0 nicht weiter unterstützt. Die SPNEGO-Webauthentifizierung wird jetzt genutzt, um SPNEGO-Filter dynamisch neu zu laden und den Rückgriff auf die Methode der Anwendungsanmeldung zu ermöglichen.

depfeat

Gehen Sie vor dem Starten dieser Task die folgende Prüfliste durch:

  • [Windows]Ein Microsoft Windows-Server, auf dem der Active-Directory-Domänencontroller und das zugehörige Kerberos-Key-Distribution-Center (KDC) ausgeführt werden.
  • [Windows]Ein Microsoft Windows-Domänenmitglied (Client), z. B. ein Browser oder Microsoft-.NET-Client, das den in IETF RFC 2478 definierten SPNEGO-Authentifizierungsmechanismus unterstützt. Microsoft Internet Explorer Version 5.5 oder höher und Mozilla Firefox Version 1.0 erfüllen die Anforderungen für einen solchen Client.
    Wichtig: Es sind ein aktiver Domänencontroller und mindestens eine Clientmaschine in dieser Domäne erforderlich. Die direkte Verwendung von SPNEGO über den Domänencontroller wird nicht unterstützt.
  • Das Domänenmitglied hat Benutzer, die sich an der Domäne anmelden können. Insbesondere muss eine funktionsfähige Microsoft Windows Active Directory-Domäne vorhanden sein, die Folgendes enthält:
    • Domänencontroller
    • Clientworkstation
    • Benutzer, die sich an der Clientworkstation anmelden können
  • Eine Serverplattform, auf der WebSphere Application Server ausgeführt wird und die Anwendungssicherheit aktiviert ist.
  • Benutzer in Active Directory müssen über einen nativen Authentifizierungsmechanismus von WebSphere Application Server Zugriff auf geschützte Ressourcen von WebSphere Application Server haben.
  • Der Domänencontroller und der Host von WebSphere Application Server sollten dieselbe Ortszeit verwenden.
  • Stellen Sie sicher, dass die Uhren auf den Clients, Microsoft Active Directory und WebSphere Application Server mit einer Genauigkeit von fünf Minuten synchronisiert sind.
  • In den Client-Browsern ist SPNEGO aktiviert. Diese Operation wird auf der Maschine mit der Clientanwendung durchgeführt. Einzelheiten dazu werden in Schritt 2 dieser Task erläutert.

Informationen zu diesem Vorgang

Mit dieser Maschinenanordnung soll erreicht werden, dass Benutzer erfolgreich auf Ressourcen von WebSphere Application Server zugreifen können, ohne sich erneut authentifizieren zu müssen. Auf diese Weise wird die SSO-Funktionalität für den Microsoft Windows-Desktop erreicht.

Damit das Single Sign-on (einmaliges Anmelden) unter Microsoft Windows festgelegt wird, müssen bei der Konfiguration der Mitglieder dieser Umgebung spezifische Aktivitäten auf drei getrennten Maschinen ausgeführt werden:
  • Ein Microsoft Windows-Server, auf dem der Active-Directory-Domänencontroller und das zugehörige Kerberos-Key-Distribution-Center (KDC) ausgeführt werden.
  • Ein Microsoft Windows-Domänenmitglied (Clientanwendung), z. B. ein Browser oder ein Microsoft .NET-Client.
  • Eine Serverplattform, auf der WebSphere Application Server ausgeführt wird.

Führen Sie die folgenden Schritte auf den angegebenen Maschinen aus, um SSO für HTTP-Anforderungen mit SPNEGO zu erstellen.

Vorgehensweise

  1. Maschine mit dem Domänencontroller - Microsoft Windows Server mit dem Active-Directory-Domänencontroller und dem zugehörigen Kerberos Key Distribution Center (KDC) konfigurieren Diese Konfigurationsaktivität umfasst die folgenden Schritte:
    Wichtig: Ihre Domänencontrolleroperationen müssen die folgenden Ergebnisse liefern:
    • In Microsoft Active Directory wird ein Benutzerkonto erstellt und einem Kerberos-Service-Principal-Name zugeordnet.
    • Eine Kerberos-Chiffrierschlüsseldatei (krb5.keytab) wird erstellt und für WebSphere Application Server verfügbar gemacht. Die Kerberos-Chiffrierschlüsseldatei enthält die Kerberos-Service-Principal-Schlüssel, die WebSphere Application Server für die Authentifizierung der Benutzer im Konto von Microsoft Active Directory und im Kerberos-Konto verwendet.
  2. Maschine mit der Clientanwendung - Clientanwendung konfigurieren Clientseitige Anwendungen müssen das SPNEGO-Token für den SPNEGO-TAI generieren. Sie beginnen diesen Konfigurationsprozess mit der Konfiguration Ihres Web-Browsers für die SPNEGO-Authentifizierung. Die für Ihren Browser auszuführenden Schritte werden ausführlich im Artikel Client-Browser für die Verwendung von SPNEGO konfigurieren (nicht mehr unterstützt) beschrieben.
  3. Maschine mit WebSphere Application Server - Application Server und zugehörigen SPNEGO-TAI durch Ausführung der folgenden Aufgaben konfigurieren und aktivieren:
  4. Optional: Verwendung eines fernen HTTP-Servers - Wenn Sie einen fernen Server verwenden möchten, müssen Sie die folgenden Schritte ausführen. In diesen Schritten wird vorausgesetzt, dass Sie die JVM-Eigenschaften bereits konfiguriert und den SPNEGO-TAI in dem Application Server, in dem er definiert ist (siehe die vorherigen drei Schritte), aktiviert haben.
    1. Führen Sie die im Artikel Kerberos-Service-Principal und Chiffrierschlüsseldatei erstellen, die vom SPNEGO-TAI von WebSphere Application Server verwendet werden (veraltet) für den fernen Proxy-Server beschriebenen Schritte aus.
    2. Fügen Sie die in Schritt 1 erstellte Chiffrierschlüsseldatei und die in Schritt 4a erstellte Chiffrierschlüsseldatei zusammen. Weitere Informationen hierzu finden Sie im Artikel Mit dem Befehl ktab die Kerberos-Chiffrierschlüsseldatei verwalten.
    3. Erstellen Sie den SPN für den fernen Proxy-Server mit der wsadmin-Befehlstask addSpnegoTAIProperties. Weitere Informationen hierzu finden Sie im Artikel Befehlsgruppe "SpnegoTAICommands" für das Objekt "AdminTask" (veraltet).
    4. Starten Sie WebSphere Application Server erneut.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_tai
Dateiname:tsec_SPNEGO_tai.html