Inicio de sesión único para las solicitudes HTTP mediante TAI de SPNEGO (en desuso)

WebSphere Application Server proporciona un interceptor de asociación de confianza (TAI) que utiliza SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura las solicitudes HTTP para los recursos protegidos de WebSphere Application Server.

Deprecated feature Deprecated feature:

En WebSphere Application Server Versión 6.1, se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation) para negociar y autenticar con seguridad solicitudes HTTP para recursos seguros. En WebSphere Application Server 7.0, esta función está ahora en desuso. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y para habilitar la recuperación para el método de inicio de sesión de la aplicación.

Consulte Creación de un inicio de sesión único para las solicitudes HTTP mediante la autenticación Web SPNEGO para obtener más información.

depfeat

SPNEGO es una especificación estándar definida en The Simple and Protected GSS-API Negotiation Mechanism (IETF RFC 2478).

Cuando se habilita la seguridad administrativa de WebSphere Application Server, se inicia SPNEGO TAI. Mientras se procesan las peticiones HTTP de entrada, el componente de autenticador web interactúa con el SPNEGO TAI, que se define y se habilita en el repositorio de configuración de seguridad. Se selecciona un interceptor, que es responsable de autenticar el acceso al recurso protegido que se identifica en la solicitud HTTP.
Importante: El uso de los TAI es una característica opcional. Si no se selecciona ningún TAI, el proceso de autenticación continúa normalmente.

Los usuarios HTTP inician la sesión y se autentican sólo una vez en el escritorio y posteriormente (internamente) con WebSphere Application Server. El SPNEGO TAI es invisible para el usuario final de las aplicaciones de WebSphere. El SPNEGO TAI sólo es visible para el administrador web, que es responsable de garantizara una configuración, capacidad y mantenimiento adecuados del entorno web.

Además de los servicios de tiempo de ejecución de seguridad de WebSphere Application Server son necesarios algunos componentes externos para habilitar completamente el funcionamiento del SPNEGO TAI. Los componentes externos incluyen:
  • [Windows]Servidores Microsoft Windows con el dominio de Active Directory y el centro de distribución de claves (KDC) de Kerberos asociado. Para obtener información sobre los servidores Microsoft Windows Servers soportados, consulte los Requisitos del sistema para WebSphere Application Server Versión 9.0 en Windows.
  • Una aplicación cliente, por ejemplo, un cliente Microsoft .NET o de navegador, que dan soporte al mecanismo de autenticación SPNEGO, como se define en IETF RFC 2478. Microsoft Internet Explorer Versión 5.5 o posterior y Mozilla Firefox Versión 1.0 son ejemplos de navegador. Todos los navegadores deben configurarse para que puedan utilizar el mecanismo SPNEGO. Para obtener más información sobre como realizar esta configuración, consulte Configuración del navegador de cliente para utilizar SPNEGO TAI (en desuso).
La autenticación de solicitudes HTTP se desencadena mediante el solicitante (el extremo del cliente), que genera una señal SPNEGO. WebSphere Application Server recibe esta señal y valida la confianza entre el solicitante y WebSphere Application Server. Concretamente, el SPNEGO TAI decodifica y recupera la identidad del solicitante de la señal de SPNEGO. La identidad se utiliza para establecer un contexto seguro entre el solicitante y el servidor de aplicaciones.
Recuerde: El SPNEGO TAI es una solución del extremo del servidor de WebSphere Application Server. Las aplicaciones del extremo del cliente son responsables de generar la señal de SPNEGO para que la utilice el SPNEGO TAI. La identidad del solicitante del registro de seguridad de WebSphere Application Server debe ser idéntica a la identidad que el SPNEGO TAI recupera. No se da una correspondencia idéntica cuando el servidor de Microsoft Windows Active Directory es el servidor LDAP (Lightweight Directory Access Protocol) que se utiliza en WebSphere Application Server. Un módulo de inicio de sesión personalizado está disponible como un plug-in para dar soporte a la correlación personalizada de la identidad procedente de Active Directory con el registro de seguridad de WebSphere Application Server. Consulte Correlación del nombre principal del cliente Kerberos con el ID del registro de usuarios de WebSphere para SPNEGO TAI (en desuso) para obtener información detallada sobre cómo utilizar este módulo de inicio de sesión personalizado.
WebSphere Application Server valida la identidad en el registro de seguridad y, si se realiza satisfactoriamente, genera una señal de seguridad LTPA (Lightweight Third Party Authentication) y coloca una cookie y se la devuelve al solicitante de la respuesta HTTP. Las solicitudes HTTP subsiguientes de este mismo solicitante para acceder a los recursos protegidos adicionales de WebSphere Application Server utilizan la señal de seguridad LTPA creando anteriormente para evitar las solicitudes de inicio de sesión repetidas.

El proceso de reconocimiento de comunicación de solicitud-respuesta se ilustra en el siguiente gráfico:

Figura 1. Proceso de petición HTTP, WebSphere Application Server - SPNEGO TAIProceso de reconocimiento de respuesta a desafío. WebSphere Application Server valida la identidad en el registro de seguridad y, si la validación se realiza satisfactoriamente, produce una señal de seguridad LTPA (Lightweight Third Party Authentication) y pone y devuelve una cookie al solicitante en la respuesta HTTP. Las solicitudes HTTP subsiguientes de este mismo solicitante para acceder a recursos seguros adicionales de WebSphere Application Server utilizan la señal de seguridad LTPA creada anteriormente, para evitar que se repitan los desafíos de inicio de sesión.
El SPNEGO TAI puede habilitarse para todos los servidores WebSphere Application Server o para una selección de ellos en una configuración de célula de WebSphere Application Server. Asimismo, el comportamiento de cada instancia del SPNEGO TAI se controla mediante las propiedades de configuración personalizadas que se utilizan para identificar, por ejemplo, los criterios utilizados para filtrar las solicitudes HTTP como, por ejemplo, el nombre de host y el nombre de reino de seguridad utilizados para el nombre principal de servicio (SPN) de Kerberos. Para obtener más información relacionada con el establecimiento de las propiedades de configuración personalizadas del SPNEGO TAI, consulte los temas siguientes:

El administrador web tiene acceso a los siguientes componentes de seguridad del SPNEGO TAI y datos de configuración asociados.

Figura 2. Elementos de configuración y seguridad del SPNEGO TAIElementos de seguridad y configuración TAI de SPNEGO: módulo de autenticación Web, Interceptor de asociación de confianza SPNEGO, proveedores de seguridad JGSS y SPNEGO, archivos de tabla de claves Kerberos y de configuración Kerberos, propiedades de configuración TAI de SPNEGO y propiedades de sistema JVM.
  • El módulo de autenticación web y el mecanismo LTPA (Lightweight Third Party Authentication) proporcionan una infraestructura de tiempo de ejecución de plug-in para los interceptores de asociación de confianza. Consulte Configuración del mecanismo LTPA (Lightweight Third Party Authentication) para obtener más detalles sobre la configuración del mecanismo LTPA para su uso con el SPNEGO TAI.
  • El proveedor JGSS (Java Generic Security Service) se incluye en el SDK de Java ([AIX Solaris HP-UX Linux Windows][z/OS]jre/lib/ibmjgssprovider.jar[IBM i]raíz_servidor_aplicaciones/java/endorsed/ibmjgssprovider.jar) y se utiliza para obtener las credenciales y el contexto de seguridad de Kerberos que se utilizan para la autenticación. IBM® JGSS 1.0 es una infraestructura GSSAPI (Generic Security Service Application Programming Interface) de Java con Kerberos V5 como mecanismo de seguridad por omisión subyacente. GSSAPI es una interfaz abstracta estandarizada en la que se puede conectar distintos mecanismos de seguridad basados en tecnologías de claves privadas o de claves públicas u otras tecnologías de seguridad. GSSAPI protege las aplicaciones seguras de las complejidades y peculiaridades de los distintos mecanismos de seguridad subyacentes. GSSAPI proporciona la autenticación de identidad y de origen de mensaje, la integridad de mensajes y la confidencialidad de mensajes. Para obtener más información, consulte JGSS.
  • Las propiedades de configuración de Kerberos (krb5.conf o krb5.ini ) y las claves de cifrado de Kerberos (almacenadas en el archivo de tabla de claves) se utilizan para establecer la autenticación mutua segura.

    El gestor de tabla de claves de Kerberos (Ktab), que forma parte de JGSS, permite gestionar los nombres principales y las clases de servicio almacenados en el archivo de tabla de claves de Kerberos local. Los pares de nombre principal y clave enumerados en el archivo de tabla de claves de Kerberos permiten que los servicios que se ejecuten en un host se autentiquen ellos mismos en el centro de distribución de claves (KDC) de Kerberos. Antes de que un servidor utilice Kerberos, debe inicializarse un archivo de tabla de claves de Kerberos en el host que ejecuta el servidor.

    En Utilización del mandato ktab para gestionar el archivo keytab de Kerberos se destacan los requisitos de configuración de Kerberos para el SPNEGO TAI así como el uso de Ktab.

  • El proveedor de SPNEGO proporciona la implementación del mecanismo de autenticación SPNEGO, ubicado en [AIX Solaris HP-UX Linux Windows][z/OS]/$WAS_HOME/java/jre/lib/ext/ibmspnego.jar[IBM i]raíz_servidor_aplicaciones/java/ext/ibmspnego.jar.
  • Las propiedades de configuración personalizadas controlan el comportamiento del tiempo de ejecución del SPNEGO TAI. Las operaciones de configuración se realizan con la consola administrativa o los recursos de scripts. Consulte Configuración de propiedades personalizadas de TAI SPNEGO (obsoleto) para obtener más información sobre estas propiedades de configuración personalizadas.
  • Las propiedades personalizadas de la máquina virtual Java (JVM) controlan la información de rastreo de diagnóstico para la determinación de problemas del proveedor de seguridad JGSS, así como el uso de la característica de recarga de propiedades. Propiedades personalizadas de configuración de la JVM de SPNEGO TAI (obsoleto) describe estas propiedades JVM personalizadas.
Las ventajas de que WebSphere Application Server pueda utilizar el SPNEGO TAI incluyen:
  • [Windows]Se establece un entorno de inicio de sesión único integrado con servidores Microsoft Windows utilizando el dominio de Active Directory.
  • El coste de administración de un número elevado de ID y contraseñas se reduce.
  • Se establece una transmisión segura y autenticada mutuamente de las credenciales de seguridad desde los clientes de Microsoft .NET o de navegador Web.
  • Se logra la interoperatividad con los servicios web y las aplicaciones Microsoft .NET que utilizan la autenticación de SPNEGO a nivel de transporte.
La utilización del SPNEGO TAI en el entorno de WebSphere Application Server primero requiere una planificación y posteriormente la implementación. Consulte Capacidad de inicio de sesión único con el SPNEGO TAI - lista de comprobación (obsoleto) para la planificación de SPNEGO TAI. La implementación del uso del SPNEGO TAI se divide en las siguientes responsabilidades de área:
Usuario de navegador final
El usuario final debe configurar la aplicación Microsoft .NET o de navegador Web para emitir las solicitudes HTTP que el SPNEGO TAI procesa.
Administrador Web
El administrador web es responsable de configurar el SPNEGO TAI de WebSphere Application Server para que responda a las solicitudes HTTP del cliente.
Administrador de WebSphere Application Server
El administrador de WebSphere Application Server es responsable de configurar WebSphere Application Server y SPNEGO TAI para un rendimiento de instalación óptimo.
Consulte Creación de un inicio de sesión único para las solicitudes HTTP mediante SPNEGO TAI (en desuso) para obtener una explicación de las tareas necesarias para utilizar SPNEGO TAI y de la parte responsable que realiza estas tareas.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_SPNEGO_overview
File name: csec_SPNEGO_overview.html