Aliashostnamen für die SPNEGO-TAI-Authentifizierung oder SPENGO-Webauthentifizierung über die Administrationskonsole verwenden (veraltet)

Wenn Sie den Trust Association Interceptor (TAI) von Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) für die Authentifizierung verwenden und einen Aliashostnamen als Hostnamen für den Anwendungsserver verwenden möchten, müssen Sie eine angepasste Eigenschaft konfigurieren, damit der Aliashostname für das SPNEGO-SSO (Single Sign-on) in den richtigen Hostnamen aufgelöst wird. Anschließend können Sie einen Aliasnamen im DNS dynamisch hinzufügen oder ändern, ohne die Konfiguration des Anwendungsservers ändern zu müssen. Wenn Sie diese angepasste Eigenschaft aktivieren, müssen Sie keine Aliashostnamen mehr über die SPNEGO-Konfiguration definieren.

Vorbereitende Schritte

Sie müssen die unter Single Sign-On für HTTP-Anforderungen über SPNEGO-TAI erstellen (veraltet) und WebSphere Application Server konfigurieren und SPNEGO TAI aktivieren (nicht mehr unterstützt) beschriebenen Schritte ausführen, bevor diese Einstellungen wirksam werden. Diese Konfiguration erfordert eine funktionierende SPNEGO-TAI-SSO-Umgebung.

Informationen zu diesem Vorgang

Der Anwendungsserver führt eine DNS-Lookup-Operation aus, wenn eine HTTP-Anforderung ankommt. Falls der Aliashostname in einen Hostnamen aufgelöst wird, der bereits für SPNEGO-SSO konfiguriert ist, setzt der Anwendungsserver die Verarbeitung dieses Hostnamens fort. Gewöhnlich ist es nicht erforderlich, Aliashostnamen einem SPNEGO-Account hinzuzufügen.

Vorgehensweise

  1. Definieren Sie den tatsächlichen Hostnamen für die Variable "com.ibm.ws.security.spnego.SPNx.hostName".
    1. Klicken Sie in der Administrationskonsole auf Globale Sicherheit > Web- und SIP-Sicherheit > Trust-Association > Interceptor > com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl > Angepasste Eigenschaften.
    2. Fügen Sie die Variable "com.ibm.ws.security.spnego.SPNx.hostName" hinzu, bzw. ändern Sie sie. Beispiel:
      Name
      com.ibm.ws.security.spnego.SPNx.hostName
      Wert
      echter_Hostname

      Diese angepasste Eigenschaft gibt den tatsächlichen Hostnamen an, in den der Anwendungsserver einen Aliashostnamen für SPNEGO-SSO auflösen kann. Anschließend können Sie einen Aliasnamen im DNS dynamisch hinzufügen oder ändern, ohne die Konfiguration des Anwendungsservers ändern zu müssen.

      Sie können den Aliashostnamen optional definieren, müssen aber nur den echten Hostnamen definieren. Der Anwendungsserver löst den Aliashostnamen in den echten Hostnamen auf, wenn die HTTP-Anforderung empfangen wird.

  2. Aktivieren Sie das Flag für kanonische Unterstützung.
    1. Klicken Sie in der Administrationskonsole auf Globale Sicherheit > Angepasste Eigenschaften.
    2. Fügen Sie die Variable "com.ibm.websphere.security.krb.canonical_host" hinzu, bzw. ändern Sie sie, und setzen Sie sie auf "true".
      Name
      com.ibm.websphere.security.krb.canonical_host
      Wert
      true
      Diese angepasste Eigenschaft gibt an, ob der Anwendungsserver die kanonische Form des URL/HTTP-Hostnamens bei der Authentifizierung eines Clients verwendet. Wenn Sie diese angepasste Eigenschaft auf false setzen, kann ein Kerberos-Ticket einen Hostnamen enthalten, der sich vom Header mit dem HTTP-Hostnamen unterscheidet, und der Anwendungsserver kann die folgende Nachricht ausgeben:
      CWSPN0011E: Es wurde ein ungültiges SPNEGO-Token bei der Authentifizierung einer HTTP-Servletanforderung gefunden

      Wenn Sie diese angepasste Eigenschaft auf true setzen, können Sie diese Fehlernachricht vermeiden und dem Anwendungsserver die Authentifizierung mit der kanonischen Form des URL/HTTP-Hostnamens ermöglichen.

  3. Konfigurieren Sie den Browser. Im Browser auf der Clientmaschine muss der Aliashostname als vertrauenswürdiger Host konfiguriert werden.
    • Für Internet Explorer:
      1. Wählen Sie Extras > Internetoptionen aus.
      2. Wählen Sie das Register "Sicherheit" aus.
      3. Klicken Sie auf Lokales Intranet > Sites > Erweitert.
      4. Fügen Sie in dieser Anzeige den Aliashostnamen hinzu.
    • Für Mozilla Firefox:
      1. Geben Sie About:config in der Adressleiste ein, und drücken Sie die Eingabetaste, um auf die Konfigurationsoptionen zuzugreifen.
      2. Suchen Sie die Einstellung network.negotiate-auth.trusted-uris, klicken Sie mit der rechten Maustaste auf diese Einstellung, und wählen Sie Ändern aus. Wenn Sie diese Einstellung nicht haben, klicken Sie mit der rechten Maustaste in dieser Anzeige, und wählen Sie Neu > String aus.
      3. Fügen Sie in dem Textfeld die Aliashostnamen hinzu, indem Sie die einzelnen Hostnamen durch Kommas voneinander trennen.
  4. Stellen Sie sicher, dass der echte Hostname der Chiffrierschlüsseldatei hinzugefügt wird.
    config: Sie können die Chiffrierschlüsseldatei mit den folgenden beiden Methoden konfigurieren:
    • Wenn "com.ibm.websphere.security.krb.canonical_host" auf "true" gesetzt ist, erwartet der Anwendungsserver den echten Hostnamen in der Chiffrierschlüsseldatei. Aliase sind nicht erforderlich.
    • Wenn "com.ibm.websphere.security.krb.canonical_host" auf "false" gesetzt ist und Aliase definiert sind, müssen Aliase in der Chiffrierschlüsseldatei enthalten sein.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_alias
Dateiname:tsec_SPNEGO_add_alias.html