Eigenschaften des SPNEGO TAI mit dem Dienstprogramm wsadmin modifizieren (nicht mehr unterstützt)

Mit dem Dienstprogramm "wsadmin" können Sie die Eigenschaften in der Konfiguration des SPNEGO TAI für WebSphere Application Server modifizieren.

Informationen zu diesem Vorgang

Veraltetes Feature Veraltetes Feature:

In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. Diese Funktion wird in WebSphere Application Server 7.0 nicht weiter unterstützt. Die SPNEGO-Webauthentifizierung wird jetzt genutzt, um SPNEGO-Filter dynamisch neu zu laden und den Rückgriff auf die Methode der Anwendungsanmeldung zu ermöglichen.

depfeat

Stellen Sie sicher, dass die Desktopbrowser der Endbenutzer für die Unterstützung der SPNEGO-Authentifizierung konfiguriert sind, der SPNEGO TAI aktiviert ist, die JVM-Eigenschaft gesetzt ist und dass WebSphere Application Server für die Aktivierung des SPNEGO-TAI-Betriebs konfiguriert ist.

Zum Konfigurieren des SPNEGO TAI für WebSphere Application Server müssen Sie wie folgt das Dienstprogramm "wsadmin" verwenden:

Vorgehensweise

  1. Starten Sie WebSphere Application Server.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Starten Sie das Befehlszeilendienstprogramm mit dem Befehl wsadmin im Verzeichnis Anwendungsserver-Stammverzeichnis/bin.
  3. [IBM i]Starten Sie das Befehlszeilendienstprogramm in der Qshell-Befehlszeile mit dem Befehl wsadmin im Verzeichnis Anwendungsserver-Stammverzeichnis/bin.
  4. Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:
    $AdminTask modifySpnegoTAIProperties
    Diesen Befehl können Sie mit den folgenden Parametern verwenden:
    Option Bezeichnung
    <spnId> Dies ist ein erforderlicher Parameter. Er gibt die SPN-ID für die Gruppe angepasster Eigenschaften an, die mit diesem Befehl definiert werden sollen.
    <host> Dieser Parameter ist optional. Er gibt den Hostnamen im SPN an, der vom SPNEGO TAI verwendet wird, um einen sicheren Kerberos-Kontext herzustellen.
    <filter> Dieser Parameter ist optional. Er definiert die Filterkriterien, die von der mit dem vorherigen Attribut angegebenen Klasse verwendet werden.
    <filterClass> Dieser Parameter ist optional. Er gibt den Namen der Java-Klasse an, mit der der SPNEGO TAI die HTTP-Anforderungen auswählt, die mit SPNEGO authentifiziert werden sollen. Wenn keine Klasse angegeben ist, gilt die SPNEGO-Authentifizierung für alle HTTP-Anforderungen.
    <noSpnegoPage> Dieser Parameter ist optional. Er gibt den URL einer Ressource mit dem Inhalt an, den der SPNEGO TAI in die HTTP-Antwort aufnimmt, die die Clientanwendung (der Browser) anzeigt, wenn die Anwendung keine SPNEGO-Authentifizierung unterstützt.
    Wenn Sie das Attribut noSpnegoPage nicht angeben, wird der Standardinhalt verwendet:
    "<html><head><title>SPNEGO-Authentifizierung
    wird nicht unterstützt.
    </title></head>" +
    "<body>SPNEGO-Authentifizierung wird
    auf diesem Client nicht unterstützt.
    </body></html>";
    <ntlmTokenPage> Dieser Parameter ist optional. Er gibt den URL einer Ressource mit dem Inhalt an, den der SPNEGO TAI in die HTTP-Antwort aufnimmt, die die Clientanwendung (der Browser) anzeigt. Die (Browser-)Clientanwendung zeigt diese HTTP-Antwort an, wenn der Browser-Client während des Handshake mit Anforderung/Antwortaustausch ein NTLM-Token (NT LAN Manager) anstelle des erwarteten SPNEGO-Token sendet.
    Wenn Sie das Attribut ntlmTokenPage nicht angeben, wird der Standardinhalt verwendet:
    "<html><head><title>Es wurde ein
    NTLM-Token empfangen.</title></head>"
    + "<body>Ihre Browser-Konfiguration
    ist zwar korrekt, aber Sie haben sich nicht
    an der unterstützten Windows-Domäne angemeldet."
    + "<p>Please login to the application 
    using the normal login page.</html>";
    <trimUserName> Dieser Parameter ist optional. Er gibt an, ob der SPNEGO TAI das Suffix des Principal-Benutzernamens ab dem Zeichen "@" vor dem Kerberos-Realmnamen entfernt werden soll (true) oder nicht (false). Ist dieses Attribut auf true gesetzt, wird das Suffix des Principal-Benutzernamens entfernt. Das Suffix des Principal-Namens bleibt erhalten, wenn dieses Attribut auf false gesetzt ist. Der verwendete Standardwert ist true.

Ergebnisse

Die SPNEGO-TAI-Eigenschaften für diesen WebSphere Application Server werden modifiziert.

Beispiel

Beispiel 1
Im folgenden Beispiel wird ein SPNEGO TAI konfiguriert, der HTTP-Anforderungen empfangen soll, die IE 6 im Anforderungsheader für den Benutzeragenten enthalten. SPNEGO TAI verwendet den SPN HTTP/myhost.ibm.com@<default_realm>", um den Anforderungssender zu authentifizieren. Anschließend wird im Beispiel der Wert der angepassten Eigenschaft "filter" von user-agent%=IE 6 in host==myhost.company.com.
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6
$AdminTask modifySpnegoTAIProperties -spnId 1 -filter host==myhost.company.com
Beispiel 2
In diesem Beispiel wird den Eigenschaften des SPNEGO TAI für SPN1 ein Filter für den Host "central01.austin.ibm.com" hinzugefügt.
wsadmin>$AdminTask modifySpnegoTAIProperties -interactive
Modify SPNEGO TAI properties

Modify SPNEGO TAI configuration properties 

*Service Principal Name identifier (spnId): 1
Host name in Service Principal Name (host): central01.austin.ibm.com
HTTP header filter rule (filter): request-url!=noSPNEGO;request-url%=snoop
Name of class used to filter HTTP requests (filterClass):
SPNEGO not supported browser response (noSpnegoPage):
NTLM Token received browser response (ntlmTokenPage):
Trim User Name browser response (trimUserName):

Modify SPNEGO TAI properties

F (Finish)
C (Cancel)

Select [F, C]: [F] f
WASX7278I: Generated command line: $AdminTask modifySpnegoTAIProperties {-spnId
1 -host w2003secdev.austin.ibm.com -filter request-url!=noSPNEGO;request-url%=sn
oop}
com.ibm.ws.security.spnego.SPN1.filter=request-url!=noSPNEGO;request-url%=snoop
com.ibm.ws.security.spnego.SPN1.hostName=central01.austin.ibm.com
wsadmin>

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_mod_wsadmin
Dateiname:tsec_SPNEGO_mod_wsadmin.html