Eigenschaften des SPNEGO-TAI mit dem Dienstprogramm "wsadmin" hinzufügen (veraltet)

Mit dem Dienstprogramm "wsadmin" können Sie Eigenschaften für den SPNEGO-TAI (Simple and Protected GSS-API Negotiation Mechanism, Trust-Association-Interceptor) zur Sicherheitskonfiguration von WebSphere Application Server hinzufügen.

Informationen zu diesem Vorgang

Veraltetes Feature Veraltetes Feature:

In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. Diese Funktion wird in WebSphere Application Server 7.0 nicht weiter unterstützt. Die SPNEGO-Webauthentifizierung wird jetzt genutzt, um SPNEGO-Filter dynamisch neu zu laden und den Rückgriff auf die Methode der Anwendungsanmeldung zu ermöglichen.

depfeat

Stellen Sie sicher, dass die Desktop-Browser der Endbenutzer für die Unterstützung der SPNEGO-Authentifizierung konfiguriert sind, der SPNEGO-TAI aktiviert ist, die JVM-Eigenschaft gesetzt ist und dass WebSphere Application Server für die Aktivierung des SPNEGO-TAI-Betriebs konfiguriert ist.

Verwenden Sie zum Konfigurieren des SPNEGO-TAI für WebSphere Application Server wie folgt das Dienstprogramm "wsadmin":

Vorgehensweise

  1. Starten Sie WebSphere Application Server.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Starten Sie das Befehlszeilendienstprogramm mit dem Befehl wsadmin im Verzeichnis Anwendungsserver-Stammverzeichnis/bin.
  3. [IBM i]Starten Sie das Befehlszeilendienstprogramm in der Qshell-Befehlszeile mit dem Befehl wsadmin im Verzeichnis Anwendungsserver-Stammverzeichnis/bin.
  4. Geben Sie in der wsadmin-Eingabeaufforderung den folgenden Befehl ein:
    $AdminTask addSpnegoTAIProperties
    Diesen Befehl können Sie mit den folgenden Parametern verwenden:
    Option Bezeichnung
    <spnId> Dieser Parameter ist optional. Er gibt die SPN-ID für die Gruppe angepasster Eigenschaften an, die mit diesem Befehl definiert werden sollen. Wenn Sie diesen Parameter nicht angeben, wird ein nicht verwendeter SPN-Bezeichner zugeordnet.
    <host> Dies ist ein erforderlicher Parameter. Er gibt den Hostnamen im SPN an, der vom SPNEGO-TAI verwendet wird, um einen sicheren Kerberos-Kontext herzustellen.
    <filter> Dieser Parameter ist optional. Er definiert die Filterkriterien, die von der mit dem vorherigen Attribut angegebenen Klasse verwendet werden. Wenn Sie diesen Parameter nicht angeben, gilt die SPNEGO-Authentifizierung für alle HTTP-Anforderungen.
    <filterClass> Dieser Parameter ist optional. Er gibt den Namen der Java-Klasse an, mit der der SPNEGO-TAI die HTTP-Anforderungen auswählt, die mit SPNEGO authentifiziert werden sollen. Wenn Sie diesen Parameter nicht angeben, wird die Standardfilterklasse "com.ibm.ws.security.spnego.HTTPHeaderFilter" verwendet.
    <noSpnegoPage> Dieser Parameter ist optional. Er gibt den URL einer Ressource mit dem Inhalt an, den der SPNEGO-TAI in die HTTP-Antwort aufnimmt, die die Clientanwendung (der Browser) anzeigt, wenn die Anwendung keine SPNEGO-Authentifizierung unterstützt.
    Wenn Sie den Parameter "noSpnegoPage" nicht angeben, wird der Standardinhalt verwendet:
    "<html><head><title>SPNEGO-Authentifizierung
    wird nicht unterstützt.
    </title></head>" +
    "<body>SPNEGO-Authentifizierung wird
    auf diesem Client nicht unterstützt.
    </body></html>";
    <ntlmTokenPage> Dieser Parameter ist optional. Gibt den URL einer Ressource mit dem Inhalt an, den der SPNEGO-TAI in die HTTP-Antwort aufnimmt, die die Clientanwendung (der Browser) anzeigt, wenn das vom Interceptor nach dem Handshake für die Antwort auf die Anforderung empfangene Token ein NTLM-Token (NT LAN Manager) und kein SPNEGO-Token ist.
    Wenn Sie den Parameter "ntlmTokenPage" nicht angeben, wird der Standardinhalt verwendet:
    "<html><head><title>Es wurde ein
    NTLM-Token empfangen.</title></head>"
    + "<body>Ihre Browser-Konfiguration
    ist zwar korrekt, aber Sie haben sich nicht
    an der unterstützten Windows-Domäne angemeldet."
    + "<p>Melden Sie sich über die normale Anmeldeseite an der Anwendung an.</html>";
    <trimUserName> Dieser Parameter ist optional. Es gibt an, ob der SPNEGO-TAI das Suffix des Principalbenutzernamens ab dem Zeichen "@" vor dem Kerberos-Realmnamen entfernen soll oder nicht. Ist dieser Parameter auf true gesetzt, wird das Suffix des Principalbenutzernamens entfernt. Das Suffix des Principalnamens bleibt erhalten, wenn dieser Parameter auf false gesetzt ist. Der verwendete Standardwert ist true.

Ergebnisse

Die SPNEGO-TAI-Eigenschaften für diesen WebSphere Application Server wurden hinzugefügt.

Beispiel

Beispiel 1
Im folgenden Beispiel wird ein SPNEGO-TAI konfiguriert, der HTTP-Anforderungen empfangen soll, die IE 6 im Anforderungsheader für den Benutzeragenten enthalten. SPNEGO-TAI verwendet den SPN HTTP/myhost.ibm.com@<default_realm>", um den Anforderungssender zu authentifizieren.
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6
Beispiel 2
Im folgenden Beispiel werden SPNEGO-TAI-Eigenschaften für SPN1 hinzugefügt, die eine Verwendung der Standardfilterklasse und das Abfangen aller Anforderungen an den Host central01.austin.ibm.com bewirken.
wsadmin>$AdminTask addSpnegoTAIProperties -interactive
Add SPNEGO TAI properties

Add SPNEGO TAI configuration properties.

*Host name in Service Principal Name (host): central01.austin.ibm.com
Service Principal Name identifier (spnId): 1
HTTP header filter rule (filter):
Name of class used to filter HTTP requests (filterClass):
SPNEGO not supported browser response (noSpnegoPage):
NTLM Token received browser response (ntlmTokenPage):
Trim User Name browser response (trimUserName):

Add SPNEGO TAI properties

F (Finish)
C (Cancel)

Select [F, C]: [F] f
WASX7278I: Generated command line: $AdminTask addSpnegoTAIProperties {-host central01.austin.ibm.com}
com.ibm.ws.security.spnego.SPN1.hostName=central01.austin.ibm.com
wsadmin>

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_wsadmin
Dateiname:tsec_SPNEGO_add_wsadmin.html