Valores del filtro de autenticación web SPNEGO

Los valores de filtro de autenticación web del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlan distintos aspectos de SPNEGO. Utilice esta página para especificar valores de filtro distintos para cada servidor de aplicaciones.

Para ver esta página de la consola de administración, pulse Seguridad > Seguridad global. En Autenticación, expanda Seguridad web y SIP y, a continuación, pulse Autenticación web SPNEGO. En Filtros SPNEGO, pulse Nuevo o seleccione un filtro para editarlo.

Nombre de host

Especifica el nombre de host totalmente calificado del nombre de principal de servicio (SPN) de Kerberos que utiliza SPNEGO para establecer un contexto seguro de Kerberos.

El nombre de host es la forma totalmente calificada del nombre de host. Por ejemplo, myHostname.austin.ibm.com.

El SPN de Kerberos es una serie con el formato HTTP/<nombre host totalmente calificado>@KERBEROS_REALM. El proveedor SPNEGO utiliza el SPN completo con el Java™ Generic Security Service (JGSS) para obtener la credencial de seguridad y el contexto de seguridad que se utilizan en el proceso de autenticación.

Información Valor
Tipo de datos: Serie

Nombre de reino Kerberos

Especifica el nombre del reino Kerberos. En la mayoría de los casos, el reino es el nombre de dominio en letras mayúsculas. Por ejemplo, una máquina con el nombre de dominio de test.austin.ibm.com generalmente tendrá un nombre de reino Kerberos de AUSTIN.IBM.COM.

Si no especifica el nombre de reino Kerberos, se utiliza el reino predeterminado que se define en el archivo de configuración de Kerberos.

Criterios de filtro

Criterio de filtrado que utiliza la clase Java que a su vez utiliza SPNEGO.

La clase de implementación com.ibm.ws.security.spnego.HTTPHeaderFilter por omisión utiliza esta propiedad para definir una lista de normas de selección que representa las condiciones que se hacen coincidir con las cabeceras de las peticiones HTTP para determinar si la petición se ha seleccionado o no para la autenticación SPNEGO.

Cada condición se especifica con un par de clave y valor, separadas entres sí por un signo de punto y coma. Las condiciones se evalúan de izquierda a derecha, a medida que se muestran en la propiedad especificada. Si se cumplen todas las condiciones, se selecciona la solicitud HTTP para la autenticación SPNEGO.

La clave y el valor del par de clave y valor se separan mediante un operador que define la condición que se ha seleccionado. La clave identifica una cabecera de solicitud HTTP para extraerla de la solicitud y comparar su valor con el valor especificado en el par de clave y valor según la especificación del operador. Si la cabecera identificada mediante la clave no está presente en la solicitud HTTP, se considera que no se cumple con la condición.

Cualquiera de las cabeceras de la solicitud HTTP estándar se puede utilizar como la clave de los pares de clave y valor. Consulte la especificación HTTP para obtener la lista de cabeceras válidas. Asimismo, se definen dos claves para extraer la información de la solicitud, también resulta útil como un criterio de selección que no está disponible a través de las cabeceras de las solicitudes HTTP estándar. La clave de dirección remota se utiliza como una pseudocabecera para recuperar la dirección TCP/IP remota de la aplicación cliente que ha enviado la solicitud HTTP. La clave del URL de solicitud se utiliza como un pseudocabecera para recupera el URL que utiliza la aplicación cliente que ha realizado la solicitud. El interceptor utiliza el resultado de la operación getRequestURL en la interfaz javax.servlet.http.HttpServletRequest para construir la dirección web. Si hay una serie de consulta presente, se utiliza también el resultado de la operación getQueryString en la misma interfaz. En este caso, el URL completo se crea del modo siguiente:
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Tabla 1. Condiciones y operaciones de filtro.

En esta tabla se describen las condiciones y operaciones de los criterios de filtro.

Condición Operador Ejemplo
Coincidencia exacta ==

Los argumentos se comparan como iguales.

host==host.my.company.com
Coincidencia parcial (inclusiones) %=

Los argumentos se comparan con una coincidencia parcial que es válida.

user-agent%=IE 6
Coincidencia parcial (incluye una de muchas) ^=

Los argumentos se comparan con una coincidencia parcial que es válida para uno de los muchos argumentos especificados.

request-url^=webApp1|webApp2|webApp3
Sin coincidencia !=

Los argumentos se comparan como no iguales.

request-url!=noSPNEGO
Mayor que >

Los argumentos se comparan lexográficamente como mayor que.

remote-address>192.168.255.130
Menor que <

Los argumentos se comparan lexográficamente como menor que.

remote-address<192.168.255.135
Nota: En las versiones anteriores de WebSphere Application Server, los filtros de cabecera HTTP SPNEGO no manejaban espacios, direcciones IP y la condición != correctamente, pero esos problemas se han arreglado en este release.
Información Valor
Tipo de datos: Serie

Clase de filtro

Especifica el nombre de la clase Java que utilizará SPNEGO para seleccionar qué solicitudes HTTP están sujetas a la autenticación SPNEGO. Si no especifica este parámetro, se utiliza la clase de filtro por omisión com.ibm.ws.security.spnego.HTTPHeaderFilter.

Información Valor
Tipo de datos: Serie

URL de página de error de SPNEGO no soportado

Esta selección es opcional. Especifica el URL de un recurso que incluye el contenido que SPNEGO incluye en la respuesta HTTP que es visualizada por la aplicación cliente de navegador si no soporta la autenticación SPNEGO.

Esta propiedad puede especificar un recurso web (http://) o un recurso de archivo (file://).

Si no se especifica esta propiedad, o si el interceptor no puede encontrar el recurso especificado, se utiliza el contenido siguiente:
<html><head><title>No se da soporte a la autenticación de SPNEGO</title></head>
<body>La autenticación SPNEGO no está soportada en este cliente</body></html>;
Información Valor
Tipo de datos: Serie

URL de la página de error de recepción de señal NTLM

Esta propiedad es opcional. Especifica el URL de un recurso que contiene el contenido que SPNEGO incluye en la respuesta HTTP, que es visualizada por la aplicación cliente de navegador.

La aplicación cliente navegador muestra esta respuesta HTTP cuando el cliente navegador envía una señal NTLM (NT LAN Manager) en lugar de la señal SPNEGO esperada durante el reconocimiento de la conexión de desafío-respuesta.

Si no se especifica esta propiedad o si el interceptor no puede encontrar el recurso especificado, se utiliza el contenido siguiente:
<html><head><title>Se ha recibido un símbolo NTLM.</title></head>
<body>La configuración del navegador es correcta pero no ha iniciado la sesión en un dominio
Microsoft(R) Windows(R) Domain soportado.
<p>Inicie la sesión en la aplicación utilizando la página de inicio de sesión normal.</html>

Esta propiedad puede especificar un recurso web (http://) o un recurso de archivo (file://).

Información Valor
Tipo de datos: Serie

Habilitar la delegación de credenciales Kerberos

Especifica si SPNEGO debe almacenar las credenciales delegadas de Kerberos. También permite a una aplicación recuperar las credenciales almacenadas y propagarlas a otras aplicaciones en sentido descendente para una autenticación SPNEGO adicional.

Esta opción requiere el uso de la característica de delegación de credenciales Kerberos avanzada y el desarrollo de lógica personalizada por el desarrollador de aplicaciones. El desarrollador debe interactuar directamente con el KDC de Kerberos para obtener un TGS (Ticket Granting Service) utilizando las credenciales delegadas de Kerberos en nombre del usuario que originó la solicitud. El desarrollador debe construir también la señal SPNEGO de Kerberos apropiado e incluirlo en la solicitud HTTP para continuar el proceso de autenticación SPNEGO en sentido descendente incluido el intercambio adicional de respuestas y desafíos de SPNEGO, si es necesario.

Nota: Si esta opción está habilitada (lo está de forma predeterminada), GSSCredential no es serializable y no puede propagar al servidor en sentido descendente. Se crea la credencial de delegación Kerberos de cliente y se crea la base KRBAuthnToken. KRBAuthnToken contiene la delegación Kerberos de cliente y puede propagarse a un servidor en sentido descendente.

Si desea propagar KRBAuthnToken a un servidor en sentido descendente, el TGT (Ticket Granting Ticket) del cliente debe contener opciones sin direcciones y que pueden reenviarse. Si el cliente TGT tiene dirección, el servidor en sentido descendente no tiene credencial de delegación GSS tras propagarse.

Puede extraer la delegación de cliente GSSCredential de KRBAuthnToken utilizando el método KRBAuthnToken.getGSSCredential().

Información Valor
Valor predeterminado: Inhabilitado

Recortar el dominio Kerberos del nombre de principal

Esta selección es opcional. Especifica si SPNEGO elimina el sufijo del nombre de usuario principal, empezando desde el símbolo @ que precede al nombre de reino Kerberos. Si este atributo se establece en true, el sufijo del nombre de usuario del principal se eliminará. Si este atributo se establece en false, se mantiene el sufijo del nombre principal. El valor predeterminado utilizado es true.

Información Valor
Valor predeterminado: Inhabilitado

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_kerb_SPNEGO_edit
File name: usec_kerb_SPNEGO_edit.html