Creación de un inicio de sesión único para las solicitudes HTTP mediante la autenticación Web SPNEGO
Para crear inicios de sesión únicos para solicitudes HTTP mediante la autenticación Web del mecanismo SPNEGO (Protected GSS-API Negotiation Mechanism) para WebSphere Application Server es necesario realizar varias funciones diferentes aunque relacionadas que, una vez completadas, permiten a los usuarios HTTP iniciar sesión y autenticarse una sola vez en el controlador de dominio de Microsoft de su escritorio y recibir la autenticación automática de WebSphere Application Server.
Antes de empezar
En WebSphere Application Server Versión 6.1 se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para los recursos protegidos. Esta función quedó en desuso en WebSphere Application Server versión 7.0. La sustituye la autenticación web SPNEGO para proporcionar las mejoras siguientes:
- Puede configurar y habilitar los filtros y la autenticación Web SPNEGO en el servidor de WebSphere Application mediante la consola administrativa.
- La recarga dinámica de SPNEGO se proporciona sin necesidad de detener y reiniciar el servidor de WebSphere Application Server.
- El repliegue de un método de inicio de sesión de la aplicación se proporciona si falla la autenticación web SPNEGO.
Puede habilitar la autenticación Web SPNEGO o SPNEGO TAI, pero no ambas.
Consulte Inicio de sesión único para las solicitudes HTTP mediante la autenticación Web SPNEGO para comprender mejor el significado de la autenticación web SPNEGO y cómo recibe soporte en esta versión de WebSphere Application Server.
Antes de empezar esta tarea, revise que cumple los requisitos de esta lista de comprobación:
Un servidor Microsoft Windows Server que ejecuta el controlador de dominio de Active Directory y el KDC (centro de distribución de claves) de Kerberos asociado.
Un miembro del dominio (cliente) Microsoft Windows por ejemplo, un navegador o un cliente Microsoft .NET, que dé soporte al mecanismo de autenticación SPNEGO, como se define en IETF RFC 2478. Microsoft Internet Explorer Versión 5.5 o posteriores y Mozilla Firefox Versión 1.0 son ejemplos de este tipo de clientes.
Importante: Un controlador de dominio en ejecución y, al menos, una máquina de cliente en dicho dominio. No se da soporte al uso directo de SPNEGO desde el controlador de dominio.- El miembro de dominio tiene usuarios que pueden iniciar la sesión en el dominio. Concretamente, debe tener en funcionamiento un dominio de Active Directory de Microsoft Windows que incluya:
- Controlador de dominio
- Estación de trabajo de cliente
- Usuarios que pueden iniciar la sesión en la estación de trabajo de cliente
- Una plataforma de servidor con WebSphere Application Server en ejecución y la seguridad de aplicaciones habilitada.
- Los usuarios de Active Directory deben poder acceder a los recursos protegidos de WebSphere Application Server mediante un mecanismo de autenticación nativo de WebSphere Application Server.
- El controlador de dominio y el host de WebSphere Application Server deben tener la misma hora local.
- Asegúrese de que el reloj de los clientes, Microsoft Active Directory y WebSphere Application Server estén sincronizados en un margen de cinco minutos.
- Tenga en cuenta que los navegadores de cliente deben tener habilitado SPNEGO, que se ejecuta en la máquina de la aplicación cliente (los detalles se describen en el procedimiento 4 "Configurar la aplicación cliente en la máquina de la aplicación cliente").
Acerca de esta tarea
El objetivo de esta disposición de la máquina es permitir que los usuarios puedan acceder correctamente a los recursos de WebSphere Application Server sin tener que volver a autenticarse y, de este modo, obtener la posibilidad de inicio de sesión único en el escritorio de Microsoft Windows.
- Un servidor Microsoft Windows Server que ejecuta el controlador de dominio de Active Directory y el KDC (centro de distribución de claves) de Kerberos asociado.
- Un miembro de dominio de Microsoft Windows (aplicación de cliente), como por ejemplo un navegador o un cliente Microsoft .NET.
- Una plataforma de servidor con WebSphere Application Server en ejecución.
Continúe con los pasos siguientes para crear un inicio de único para las solicitudes HTTP mediante la autenticación web SPNEGO: