Habilitación y configuración de la autenticación Web SPNEGO mediante la consola administrativa
Puede habilitar y configurar SPNEGO (Simple and Protected GSS-API Negotiation) como autenticador web para el servidor de aplicaciones mediante la consola administrativa.
Antes de empezar
Debe tener un archivo de tabla de claves de Kerberos (krb5.keytab) que contenga el nombre principal del servicio Kerberos, HTTP/<nombre_host_completo>@KerberosReam, para cualquier WebSphere Application Server que procese una solicitud HTTP.
Procedimiento
- En la consola administrativa, pulse Seguridad > Seguridad global.
- En Autenticación, expanda Seguridad Web y SIP y pulse Autenticación Web SPNEGO. Nota: Debe configurar el filtro antes de habilitar la autenticación web SPNEGO.
- Opcional: Seleccione la opción Actualizar SPNEGO dinámicamente si desea actualizar dinámicamente el tiempo de ejecución de SPNEGO cuando se produzcan cambios en SPNEGO sin reiniciar el servidor de aplicaciones.
- Seleccione Habilitar SPNEGO para habilitar SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) como autenticador web para WebSphere Application Server. Las opciones Actualizar SPNEGO dinámicamente y Permitir retroceder al mecanismo de autenticación de la aplicación están inhabilitadas a menos que seleccione Habilitar SPNEGO.
- Opcional: Si selecciona Permitir retroceder al mecanismo de autenticación de la aplicación y la autenticación SPNEGO falla, se utilizará el mecanismo de autenticación definido durante el ensamblaje de aplicaciones.
- Entre el nombre de archivo de configuración de Kerberos con la vía de acceso completa o pulse Examinar para localizarlo. El archivo de configuración de cliente Kerberos, krb5.conf o krb5.ini, contiene información de configuración de Kerberos, incluida las ubicaciones de los KDC (Centros de distribución de claves) del reino de interés. El archivo krb5.conf es el nombre por omisión para todas las plataformas, excepto el sistema operativo Windows, que utiliza el archivo krb5.ini.
- Opcional: Entre el nombre de archivo keytab de Kerberos con la vía de acceso completa o pulse Examinar para localizarlo. El archivo keytab de Kerberos contiene uno o más nombres y claves de principal de servicio de Kerberos. El archivo de tabla de claves predeterminado es krb5.keytab. Es importante para los hosts proteger sus archivos de tabla de claves de Kerberos almacenándolos en el disco local, así pueden ser legibles sólo para los usuarios autorizados. Consulte Creación de un nombre principal del servicio Kerberos y un archivo de tabla de claves para obtener más información. Si no especifica este parámetro, se utilizará el nombre de reino Kerberos por omisión del archivo de configuración de Kerberos.
- En Filtros SPNEGO, seleccione un nombre de host existente
para editarlo o seleccione Nuevo para crear uno nuevo. Por convenio, un SPN (nombre principal del servicio) Kerberos se divide
en tres partes: el primario, la instancia y el nombre de reino Kerberos. El nombre de servicio SPNEGO debe
ser HTTP, de forma que el nombre principal del servicio Kerberos para Web SPNEGO es
HTTP/<nombre_host_completo>@KERBEROS_REALM.
El SPN se utiliza para validar la señal SPNEGO entrante y para
establecer un contexto de seguridad con un solicitante.
- Necesario: En la página siguiente, entre un nombre de host completo en el campo Nombre de host. El nombre de host es parte del nombre principal del servicio (SPN) de Kerberos, HTTP/<nombre_host_completo>, que utiliza SPNEGO para establecer un contexto seguro de Kerberos. Para cada entrada de filtro, el código de configuración forma el principal del servicio Kerberos como HTTP/<nombre_host_completo>@KERBEROS_REALM, el reino Kerberos que debe especificar en el paso siguiente. La tabla de claves Kerberos debe contener este principal del servicio Kerberos y sus claves.
- Opcional: En el campo Nombre de dominio de Kerberos, entre el nombre de dominio de Kerberos. En la mayoría de los casos, el dominio es el nombre de dominio en mayúsculas. Por ejemplo, una máquina con el nombre de dominio test.austin.ibm.com normalmente tiene el nombre de reino Kerberos AUSTIN.IBM.COM. Si no especifica este parámetro, se utilizará el nombre de reino Kerberos por omisión del archivo de configuración de Kerberos.
- Entre criterios de filtro en el campo Criterios de filtro. Los criterios de filtro son el parámetro de filtrado utilizado por
la clase
Java™
utilizada por SPNEGO. Define el criterio arbitrario que tiene sentido para la clase de implementación utilizada.
La clase de implementación com.ibm.ws.security.spnego.HTTPHeaderFilter por omisión utiliza esta propiedad para definir una lista de normas de selección que representa las condiciones que se hacen coincidir con las cabeceras de las peticiones HTTP para determinar si la petición se ha seleccionado o no para la autenticación SPNEGO.
Cada condición se especifica con un par de clave y valor, separadas entres sí por un signo de punto y coma. Las condiciones se evalúan de izquierda a derecha, a medida que se muestran en la propiedad especificada. Si se cumplen todas las condiciones, se selecciona la solicitud HTTP para la autenticación SPNEGO.
La clave y el valor del par de clave y valor se separan mediante un operador que define la condición que se ha seleccionado. La clave identifica una cabecera de solicitud HTTP para extraerla de la solicitud y comparar su valor con el valor especificado en el par de clave y valor según la especificación del operador. Si la cabecera identificada mediante la clave no está presente en la solicitud HTTP, se considera que no se cumple con la condición.
Cualquiera de las cabeceras de la solicitud HTTP estándar se puede utilizar como la clave de los pares de clave y valor. Consulte la especificación HTTP para obtener la lista de cabeceras válidas. Asimismo, se definen dos claves para extraer la información de la solicitud, también resulta útil como un criterio de selección que no está disponible a través de las cabeceras de las solicitudes HTTP estándar. La clave de dirección remota se utiliza como una pseudocabecera para recuperar la dirección TCP/IP remota de la aplicación cliente que ha enviado la solicitud HTTP. La clave del URL de solicitud se utiliza como un pseudocabecera para recupera el URL que utiliza la aplicación cliente que ha realizado la solicitud. El interceptor utiliza el resultado de la operación getRequestURL en la interfaz javax.servlet.http.HttpServletRequest para crear la dirección web. Si hay una serie de consulta presente, se utiliza también el resultado de la operación getQueryString en la misma interfaz. En este caso, el URL completo se crea del modo siguiente:String url = request.getRequestURL() + ‘?' + request.getQueryString();
Tabla 1. Condiciones y operaciones de filtro. En esta tabla se describen las condiciones y operaciones de los criterios de filtro.
Condición Operador Ejemplo Coincidencia exacta == Los argumentos se comparan como iguales.
host==host.my.company.com Coincidencia parcial (inclusiones) %= Los argumentos se comparan con una coincidencia parcial que es válida.
user-agent%=IE 6 Coincidencia parcial (incluye una de muchas) ^= Los argumentos se comparan con una coincidencia parcial que es válida para uno de los muchos argumentos especificados.
request-url^=webApp1|webApp2|webApp3 Sin coincidencia != Los argumentos se comparan como no iguales.
request-url!=noSPNEGO Mayor que > Los argumentos se comparan lexográficamente como mayor que.
remote-address>192.168.255.130 Menor que < Los argumentos se comparan lexográficamente como menor que.
remote-address<192.168.255.135 - En el campo Clase de filtro, escriba el nombre de la clase Java utilizada por SPNEGO para seleccionar qué solicitudes HTTP están sujetas a la autenticación Web SPNEGO. Si no especifica este parámetro, se utiliza la clase de filtro por omisión com.ibm.ws.security.spnego.HTTPHeaderFilter.
- Opcional: En el campo URL de página de error
no soportada para SPNEGO puede especificar opcionalmente el URL de
un recurso que incluya el contenido que SPNEGO incluye en la respuesta
HTTP mostrada por la aplicación cliente (navegador) si esta no soporta
la autenticación SPNEGO. Esta propiedad puede especificar un recurso web (http://) o un recurso de archivo (archivo://).
Si el campo URL de página de error no soportada para SPNEGO no se especifica o el SPNEGO autenticado no puede encontrar el recurso especificado, se utiliza el siguiente contenido:
<html><head><title>No se da soporte a la autenticación SPNEGO</title></head> <body>La autenticación SPNEGO no está soportada en este cliente</body></html>;
- Opcional: En el campo URL de página de error
recibido por la señal NTLM puede especificar opcionalmente el URL
de un recurso que incluya el contenido que SPNEGO incluye en la
respuesta HTTP, mostrada por la aplicación cliente navegador. La aplicación cliente navegador muestra esta respuesta HTTP cuando el
cliente navegador envía una señal NTLM (NT LAN Manager) en lugar de la señal SPNEGO esperada durante el reconocimiento de la conexión de
desafío-respuesta.
Si el campo URL de página de error recibido por la señal NTLM no se especifica o el SPNEGO autenticado no puede encontrar el recurso especificado, se utiliza el siguiente contenido:
<html><head><title>Se ha recibido una señal NTLM.</title></head> <body>La configuración del navegador es correcta pero no ha iniciado la sesión en un dominio Microsoft(R) Windows(R) Domain soportado. <p>Inicie la sesión en la aplicación utilizando la página de inicio de sesión normal.</html>
- Opcional: Seleccione Recortar reino Kerberos del nombre principal para especificar si SPNEGO elimina el sufijo del nombre de usuario principal, a partir del símbolo @ que precede el nombre de reino Kerberos. Si se selecciona esta opción, se elimina el sufijo del nombre de usuario principal. Si no se selecciona este atributo, se conserva el sufijo del nombre principal. El valor predeterminado es no seleccionar esta opción.
- Opcional: Seleccione Habilitar la delegación de credenciales Kerberos para indicar si
la autenticación Web de SPNEGO almacena las credenciales delegadas de Kerberos. Si el cliente se envía a la credencial de delegación de Kerberos, SPNEGO extrae la
GSSCredential y la guarda en el sujeto. La señal KRBAuthnToken se crea con el nombre
principal de cliente Kerberos, y delega un ticket Kerberos si el cliente ha enviado la
credencial de delegación Kerberos como parte de la solicitud. La credencial GSSCredential
no es serializable, por lo que no se puede propagar al servidor en sentido descendente y
se pierde durante la serialización y deserialización. Sin embargo, la señal KRBAuthnToken
es serializable, y puede propagarse a un servidor en sentido descendente. Si una
aplicación personalizada necesita la credencial GSSCredential para la autenticación con
recursos de programa de fondo o un servidor en sentido descendente, debe recuperarla de
KRBAuthnToken con el método
com.ibm.wsspi.wssecurity.platform.token.KRBAuthnToken.getGSSCredential() y colocarla
en el sujeto.
Nota: Si no selecciona esta opción, la señal KRBAuthnToken sólo tiene el nombre principal de Kerberos.
- Pulse Aplicar. Los criterios de filtro y clase de filtro se validan si se han especificado.
- Pulse Aceptar. Ha completado la página Autenticación Web SPNEGO.
Resultados
SPNEGO está ahora habilitado como autenticador web para el servidor de aplicaciones.
Subtopics
Adición o modificación de filtros de autenticación Web SPNEGO mediante la consola administrativa
Los valores de filtro del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlan distintos aspectos de SPNEGO. Puede especificar valores de filtro diferentes para cada servidor de aplicaciones mediante el uso de la consola administrativa.Habilitación de la autenticación web SPNEGO
Puede habilitar SPNEGO (Simple and Protected GSS-API Negotiation) como el autenticador web para WebSphere Application Server.Valores del filtro de autenticación web SPNEGO
Los valores de filtro de autenticación web del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlan distintos aspectos de SPNEGO. Utilice esta página para especificar valores de filtro distintos para cada servidor de aplicaciones.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_config
File name: tsec_SPNEGO_config.html