Wenn Sie den Trust Association Interceptor (TAI) von Simple and Protected GSS-API Negotiation
Mechanism (SPNEGO) für die Authentifizierung verwenden und
einen Aliashostnamen als Hostnamen für den Anwendungsserver verwenden möchten, müssen Sie eine angepasste
Eigenschaft konfigurieren, damit der Aliashostname für das SPNEGO-SSO (Single Sign-on) in den richtigen
Hostnamen aufgelöst wird.
Anschließend können Sie einen Aliasnamen im DNS dynamisch hinzufügen oder ändern, ohne die Konfiguration des Anwendungsservers ändern zu müssen. Wenn Sie diese angepasste Eigenschaft aktivieren, müssen Sie keine Aliashostnamen mehr über die
SPNEGO-Konfiguration definieren.
Informationen zu diesem Vorgang
Der Anwendungsserver führt eine DNS-Lookup-Operation aus, wenn eine HTTP-Anforderung
ankommt. Falls der Aliashostname in einen Hostnamen aufgelöst wird, der bereits für
SPNEGO-SSO konfiguriert ist, setzt der Anwendungsserver die Verarbeitung dieses Hostnamens fort. Gewöhnlich ist es nicht erforderlich, Aliashostnamen einem SPNEGO-Account hinzuzufügen.
Vorgehensweise
- Definieren Sie den tatsächlichen Hostnamen für die Variable "com.ibm.ws.security.spnego.SPNx.hostName".
- Klicken Sie in der Administrationskonsole auf
.
- Fügen Sie die Variable "com.ibm.ws.security.spnego.SPNx.hostName" hinzu, bzw. ändern Sie sie. Beispiel:
- Name
- com.ibm.ws.security.spnego.SPNx.hostName
- Wert
- echter_Hostname
Diese angepasste Eigenschaft gibt den tatsächlichen Hostnamen an, in den der Anwendungsserver einen Aliashostnamen für
SPNEGO-SSO auflösen kann. Anschließend können Sie einen Aliasnamen im DNS dynamisch hinzufügen oder ändern, ohne die Konfiguration
des Anwendungsservers ändern zu müssen.
Sie können den Aliashostnamen optional definieren, müssen aber nur den echten Hostnamen definieren.
Der Anwendungsserver löst den Aliashostnamen in den echten Hostnamen auf, wenn die HTTP-Anforderung empfangen wird.
- Aktivieren Sie das Flag für kanonische Unterstützung.
- Klicken Sie in der Administrationskonsole auf
.
- Fügen Sie die Variable "com.ibm.websphere.security.krb.canonical_host" hinzu, bzw. ändern Sie sie, und setzen Sie sie auf "true".
- Name
- com.ibm.websphere.security.krb.canonical_host
- Wert
- true
Diese angepasste Eigenschaft gibt an, ob der Anwendungsserver
die kanonische Form des URL/HTTP-Hostnamens bei der Authentifizierung eines Clients
verwendet. Wenn Sie diese angepasste Eigenschaft auf
false setzen, kann ein Kerberos-Ticket einen Hostnamen
enthalten, der sich vom Header mit dem HTTP-Hostnamen unterscheidet, und der Anwendungsserver kann die folgende Nachricht
ausgeben:CWSPN0011E: Es wurde ein ungültiges SPNEGO-Token bei der Authentifizierung einer HTTP-Servletanforderung gefunden
Wenn Sie diese angepasste Eigenschaft auf true setzen, können Sie
diese Fehlernachricht vermeiden und dem Anwendungsserver die Authentifizierung mit der kanonischen
Form des URL/HTTP-Hostnamens ermöglichen.
- Konfigurieren Sie den Browser. Im Browser auf der Clientmaschine muss der Aliashostname als vertrauenswürdiger Host konfiguriert werden.
- Für Internet Explorer:
- Wählen Sie aus.
- Wählen Sie das Register "Sicherheit" aus.
- Klicken Sie auf .
- Fügen Sie in dieser Anzeige den Aliashostnamen hinzu.
- Für Mozilla Firefox:
- Geben Sie About:config in der Adressleiste ein, und drücken Sie die Eingabetaste,
um auf die Konfigurationsoptionen zuzugreifen.
- Suchen Sie die Einstellung network.negotiate-auth.trusted-uris, klicken Sie mit der rechten Maustaste
auf diese Einstellung, und wählen Sie Ändern aus. Wenn Sie diese Einstellung nicht haben, klicken Sie mit der rechten Maustaste in dieser Anzeige, und wählen Sie
aus.
- Fügen Sie in dem Textfeld die Aliashostnamen hinzu, indem Sie die einzelnen Hostnamen durch Kommas voneinander trennen.
- Stellen Sie sicher, dass der echte Hostname der Chiffrierschlüsseldatei hinzugefügt wird.
config: Sie können die Chiffrierschlüsseldatei mit den folgenden beiden Methoden
konfigurieren:
- Wenn "com.ibm.websphere.security.krb.canonical_host" auf "true" gesetzt ist,
erwartet der Anwendungsserver den echten Hostnamen in der Chiffrierschlüsseldatei. Aliase sind nicht erforderlich.
- Wenn "com.ibm.websphere.security.krb.canonical_host" auf "false" gesetzt ist und Aliase definiert sind, müssen Aliase in der Chiffrierschlüsseldatei enthalten sein.