Creación de un inicio de sesión único para las solicitudes HTTP mediante la autenticación Web SPNEGO

Para crear inicios de sesión únicos para solicitudes HTTP mediante la autenticación Web del mecanismo SPNEGO (Protected GSS-API Negotiation Mechanism) para WebSphere Application Server es necesario realizar varias funciones diferentes aunque relacionadas que, una vez completadas, permiten a los usuarios HTTP iniciar sesión y autenticarse una sola vez en el controlador de dominio de Microsoft de su escritorio y recibir la autenticación automática de WebSphere Application Server.

Antes de empezar

Nota:

En WebSphere Application Server Versión 6.1 se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para los recursos protegidos. Esta función quedó en desuso en WebSphere Application Server versión 7.0. La sustituye la autenticación web SPNEGO para proporcionar las mejoras siguientes:

  • Puede configurar y habilitar los filtros y la autenticación Web SPNEGO en el servidor de WebSphere Application mediante la consola administrativa.
  • La recarga dinámica de SPNEGO se proporciona sin necesidad de detener y reiniciar el servidor de WebSphere Application Server.
  • El repliegue de un método de inicio de sesión de la aplicación se proporciona si falla la autenticación web SPNEGO.

Puede habilitar la autenticación Web SPNEGO o SPNEGO TAI, pero no ambas.

Consulte Inicio de sesión único para las solicitudes HTTP mediante la autenticación Web SPNEGO para comprender mejor el significado de la autenticación web SPNEGO y cómo recibe soporte en esta versión de WebSphere Application Server.

Antes de empezar esta tarea, revise que cumple los requisitos de esta lista de comprobación:

  • [Windows]Un servidor Microsoft Windows Server que ejecuta el controlador de dominio de Active Directory y el KDC (centro de distribución de claves) de Kerberos asociado.
  • [Windows]Un miembro del dominio (cliente) Microsoft Windows por ejemplo, un navegador o un cliente Microsoft .NET, que dé soporte al mecanismo de autenticación SPNEGO, como se define en IETF RFC 2478. Microsoft Internet Explorer Versión 5.5 o posteriores y Mozilla Firefox Versión 1.0 son ejemplos de este tipo de clientes.
    Importante: Un controlador de dominio en ejecución y, al menos, una máquina de cliente en dicho dominio. No se da soporte al uso directo de SPNEGO desde el controlador de dominio.
  • El miembro de dominio tiene usuarios que pueden iniciar la sesión en el dominio. Concretamente, debe tener en funcionamiento un dominio de Active Directory de Microsoft Windows que incluya:
    • Controlador de dominio
    • Estación de trabajo de cliente
    • Usuarios que pueden iniciar la sesión en la estación de trabajo de cliente
  • Una plataforma de servidor con WebSphere Application Server en ejecución y la seguridad de aplicaciones habilitada.
  • Los usuarios de Active Directory deben poder acceder a los recursos protegidos de WebSphere Application Server mediante un mecanismo de autenticación nativo de WebSphere Application Server.
  • El controlador de dominio y el host de WebSphere Application Server deben tener la misma hora local.
  • Asegúrese de que el reloj de los clientes, Microsoft Active Directory y WebSphere Application Server estén sincronizados en un margen de cinco minutos.
  • Tenga en cuenta que los navegadores de cliente deben tener habilitado SPNEGO, que se ejecuta en la máquina de la aplicación cliente (los detalles se describen en el procedimiento 4 "Configurar la aplicación cliente en la máquina de la aplicación cliente").

Acerca de esta tarea

El objetivo de esta disposición de la máquina es permitir que los usuarios puedan acceder correctamente a los recursos de WebSphere Application Server sin tener que volver a autenticarse y, de este modo, obtener la posibilidad de inicio de sesión único en el escritorio de Microsoft Windows.

Para configurar los miembros de este entorno con el fin de establecer el inicio de sesión único de Microsoft Windows es necesario realizar actividades específicas en tres máquinas distintas:
  • Un servidor Microsoft Windows Server que ejecuta el controlador de dominio de Active Directory y el KDC (centro de distribución de claves) de Kerberos asociado.
  • Un miembro de dominio de Microsoft Windows (aplicación de cliente), como por ejemplo un navegador o un cliente Microsoft .NET.
  • Una plataforma de servidor con WebSphere Application Server en ejecución.

Continúe con los pasos siguientes para crear un inicio de único para las solicitudes HTTP mediante la autenticación web SPNEGO:

Procedimiento

  1. Cree un principal del servicio Kerberos (SPN) y un archivo de tabla de claves en la máquina del controlador de dominio de Microsoft
    1. Debe configurar la máquina del controlador de dominios para crear inicios de sesión únicos para solicitudes HTTP mediante la autenticación web SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para WebSphere® Application Server. Configure elMicrosoft Windows Server que ejecuta el controlador de dominio de Active Directory y el KDC (centro de distribución de claves) Kerberos asociado. Lea el tema Configuración de la máquina de controlador de dominios para crear inicios de sesión únicos para las solicitudes HTTP mediante el artículo SPNEGO a fin de tener más información.
  2. Cree un archivo de configuración Kerberos
    1. La implementación IBM® de JGSS (Java™ Generic Security Service) y KRB5 requiere un archivo de configuración de Kerberos (krb5.conf o krb5.ini) en cada nodo o JVM (Java Virtual Machine). En este release de WebSphere Application Server, este archivo de configuración se debe colocar en el directorio config/cells/<nombre_célula>, de modo que todos los servidores de aplicaciones puedan acceder a este archivo. Si no dispone de un archivo de configuración Kerberos, utilice un mandato wsadmin para crearlo. Lea el artículo acerca de la creación de un artículo de configuración Kerberos para obtener más información.
  3. Configurar y habilitar la autenticación web de SPNEGO mediante la consola administrativa de la máquina WebSphere Application Server
    1. Puede habilitar y configurar el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation) como autenticador web para el servidor de aplicaciones mediante la consola administrativa de la máquina WebSphere Application Server. Para obtener más información, lea el artículo Habilitación y configuración de la autenticación web SPNEGO mediante la consola administrativa.
  4. Configure la aplicación de cliente en la máquina de la aplicación cliente
    1. Las aplicaciones de cliente son responsables de generar la señal SPNEGO. Comience este proceso de configuración, configurando el navegador web de modo que utilice la autenticación SPNEGO. Lea el artículo acerca de la configuración del navegador del cliente para utilizar SPNEGO con el fin de obtener más información.
  5. Crear señales SPNEGO para clientes J2EE, .NET, Java y de servicios web para solicitudes HTTP (opcional)
    1. Puede crear una señal SPNEGO (Simple and Protected GSS-API Negotiation) para sus aplicaciones e insertar esta señal en las cabeceras HTTP para autenticarse en WebSphere Application Server. Para obtener más información, lea el artículo Creación de señales SPNEGO para clientes de servicios web J2EE, .NET, Java, para solicitudes HTTP.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_overview
File name: tsec_SPNEGO_overview.html