Creación de un inicio de sesión único para las solicitudes HTTP mediante SPNEGO TAI (en desuso)
Para crear inicios de sesión únicos para solicitudes HTTP mediante el interceptor de asociación de confianza (TAI) del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para WebSphere Application Server, es necesario realizar varias funciones diferentes aunque relacionadas que, una vez completadas, permiten a los usuarios HTTP iniciar sesión y autenticarse una sola vez en su escritorio y recibir la autenticación automática de WebSphere Application Server.
Antes de empezar

En WebSphere Application Server Versión 6.1 se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para los recursos protegidos. En WebSphere Application Server 7.0, esta función quedó en desuso. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y habilitar la recuperación para el método de inicio de sesión de la aplicación.
depfeatAntes de empezar esta tarea, revise que cumple los requisitos de esta lista de comprobación:
Un servidor Microsoft Windows Server que ejecuta el controlador de dominio de Active Directory y el KDC (centro de distribución de claves) de Kerberos asociado.
Un miembro del dominio (cliente) Microsoft Windows por ejemplo, un navegador o un cliente Microsoft .NET, que dé soporte al mecanismo de autenticación SPNEGO, como se define en IETF RFC 2478. Microsoft Internet Explorer Versión 5.5 o posteriores y Mozilla Firefox Versión 1.0 son ejemplos de este tipo de clientes.
Importante: Un controlador de dominio en ejecución y, al menos, una máquina de cliente en dicho dominio. No se da soporte al uso directo de SPNEGO desde el controlador de dominio.- El miembro de dominio tiene usuarios que pueden iniciar la sesión en el dominio. Concretamente, debe tener en funcionamiento un dominio de Active Directory de Microsoft Windows que incluya:
- Controlador de dominio
- Estación de trabajo de cliente
- Usuarios que pueden iniciar la sesión en la estación de trabajo de cliente
- Una plataforma de servidor con WebSphere Application Server en ejecución y la seguridad de aplicaciones habilitada.
- Los usuarios de Active Directory deben poder acceder a los recursos protegidos de WebSphere Application Server mediante un mecanismo de autenticación nativo de WebSphere Application Server.
- El controlador de dominio y el host de WebSphere Application Server deben tener la misma hora local.
- Asegúrese de que el reloj de los clientes, Microsoft Active Directory y WebSphere Application Server estén sincronizados en un margen de cinco minutos.
- Tenga en cuenta que los navegadores de cliente deben tener habilitado SPNEGO, que se ejecuta en la máquina de la aplicación de cliente (los detalles se describen en el paso 2 de esta tarea).
Acerca de esta tarea
El objetivo de esta disposición de la máquina es permitir que los usuarios puedan acceder correctamente a los recursos de WebSphere Application Server sin tener que volver a autenticarse y, de este modo, obtener la posibilidad de inicio de sesión único en el escritorio de Microsoft Windows.
- Un servidor Microsoft Windows Server que ejecuta el controlador de dominio de Active Directory y el KDC (centro de distribución de claves) de Kerberos asociado
- Un miembro de dominio de Microsoft Windows (aplicación de cliente), como por ejemplo un navegador o un cliente Microsoft .NET.
- Una plataforma de servidor con WebSphere Application Server en ejecución.
Efectúe los pasos siguientes en las máquinas indicadas para crear el inicio de sesión único para solicitudes HTTP mediante SPNEGO