Creación de un inicio de sesión único para las solicitudes HTTP mediante SPNEGO TAI (en desuso)

Para crear inicios de sesión únicos para solicitudes HTTP mediante el interceptor de asociación de confianza (TAI) del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para WebSphere Application Server, es necesario realizar varias funciones diferentes aunque relacionadas que, una vez completadas, permiten a los usuarios HTTP iniciar sesión y autenticarse una sola vez en su escritorio y recibir la autenticación automática de WebSphere Application Server.

Antes de empezar

Deprecated feature Deprecated feature:

En WebSphere Application Server Versión 6.1 se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para los recursos protegidos. En WebSphere Application Server 7.0, esta función quedó en desuso. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y habilitar la recuperación para el método de inicio de sesión de la aplicación.

depfeat

Antes de empezar esta tarea, revise que cumple los requisitos de esta lista de comprobación:

  • [Windows]Un servidor Microsoft Windows Server que ejecuta el controlador de dominio de Active Directory y el KDC (centro de distribución de claves) de Kerberos asociado.
  • [Windows]Un miembro del dominio (cliente) Microsoft Windows por ejemplo, un navegador o un cliente Microsoft .NET, que dé soporte al mecanismo de autenticación SPNEGO, como se define en IETF RFC 2478. Microsoft Internet Explorer Versión 5.5 o posteriores y Mozilla Firefox Versión 1.0 son ejemplos de este tipo de clientes.
    Importante: Un controlador de dominio en ejecución y, al menos, una máquina de cliente en dicho dominio. No se da soporte al uso directo de SPNEGO desde el controlador de dominio.
  • El miembro de dominio tiene usuarios que pueden iniciar la sesión en el dominio. Concretamente, debe tener en funcionamiento un dominio de Active Directory de Microsoft Windows que incluya:
    • Controlador de dominio
    • Estación de trabajo de cliente
    • Usuarios que pueden iniciar la sesión en la estación de trabajo de cliente
  • Una plataforma de servidor con WebSphere Application Server en ejecución y la seguridad de aplicaciones habilitada.
  • Los usuarios de Active Directory deben poder acceder a los recursos protegidos de WebSphere Application Server mediante un mecanismo de autenticación nativo de WebSphere Application Server.
  • El controlador de dominio y el host de WebSphere Application Server deben tener la misma hora local.
  • Asegúrese de que el reloj de los clientes, Microsoft Active Directory y WebSphere Application Server estén sincronizados en un margen de cinco minutos.
  • Tenga en cuenta que los navegadores de cliente deben tener habilitado SPNEGO, que se ejecuta en la máquina de la aplicación de cliente (los detalles se describen en el paso 2 de esta tarea).

Acerca de esta tarea

El objetivo de esta disposición de la máquina es permitir que los usuarios puedan acceder correctamente a los recursos de WebSphere Application Server sin tener que volver a autenticarse y, de este modo, obtener la posibilidad de inicio de sesión único en el escritorio de Microsoft Windows.

Para configurar los miembros de este entorno con el fin de establecer el inicio de sesión único de Microsoft Windows es necesario realizar actividades específicas en tres máquinas distintas:
  • Un servidor Microsoft Windows Server que ejecuta el controlador de dominio de Active Directory y el KDC (centro de distribución de claves) de Kerberos asociado
  • Un miembro de dominio de Microsoft Windows (aplicación de cliente), como por ejemplo un navegador o un cliente Microsoft .NET.
  • Una plataforma de servidor con WebSphere Application Server en ejecución.

Efectúe los pasos siguientes en las máquinas indicadas para crear el inicio de sesión único para solicitudes HTTP mediante SPNEGO

Procedimiento

  1. Máquina del controlador de dominio - Configure el servidor Microsoft Windows Server que ejecuta el controlador de dominio de Active Directory y el KDC (centro de distribución de claves) de Kerberos asociado Esta actividad de configuración requiere los pasos siguientes:
    Importante: Las operaciones del controlador de dominio deben producir los resultados siguientes:
    • Se crea una cuenta de usuario en Microsoft Active Directory y se correlaciona con un nombre principal del servicio Kerberos.
    • Se crea un archivo de tabla de claves de Kerberos (krb5.keytab) y se pone a disposición de WebSphere Application Server. El archivo de tabla de claves de Kerberos contiene las claves principales del servicio Kerberos que WebSphere Application Server utiliza para autenticar al usuario en Microsoft Active Directory y la cuenta de Kerberos.
  2. Máquina de la aplicación de cliente: configure la aplicación de cliente. Las aplicaciones del extremo del cliente son responsables de generar la señal de SPNEGO para que la utilice el SPNEGO TAI. Comience este proceso de configuración, configurando el navegador web de modo que utilice la autenticación SPNEGO. Consulte el tema Configuración del navegador de cliente para utilizar SPNEGO TAI (en desuso) para ver una descripción detallada de los pasos necesarios para su navegador.
  3. WebSphere Application Server Machine: configure y habilite el servidor de aplicaciones y el SPNEGO TAI asociado realizando las tareas siguientes:
  4. Opcional: Utilización de un servidor HTTP remoto - Para utilizar un servidor remoto, debe realizar los pasos siguientes, que suponen que ya se han configurado las propiedades JVM y se ha habilitado SPNEGO TAI en el servidor de aplicaciones en el que se ha definido (como se describe en los tres pasos anteriores).
    1. Complete los pasos de Creación de un principal del servicio Kerberos y un archivo de tabla de claves utilizado por SPNEGO TAI (en desuso) en WebSphere Application Server para el servidor proxy remoto.
    2. Fusione el archivo keytab anterior creado en el paso 1 con el archivo keytab creado en el paso 4a. Para obtener más información, consulte el apartado Utilización del mandato ktab para gestionar el archivo keytab de Kerberos.
    3. Cree el SPN para el servidor proxy remoto utilizando la tarea de mandato addSpnegoTAIProperties wsadmin. Para obtener más información, consulte Grupo SpnegoTAICommands para el objeto AdminTask (en desuso).
    4. Reinicie WebSphere Application Server.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_tai
File name: tsec_SPNEGO_tai.html