Valores del filtro de autenticación web SPNEGO
Los valores de filtro de autenticación web del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlan distintos aspectos de SPNEGO. Utilice esta página para especificar valores de filtro distintos para cada servidor de aplicaciones.
Para ver esta página de la consola de administración, pulse Autenticación web SPNEGO. En Filtros SPNEGO, pulse Nuevo o seleccione un filtro para editarlo.
. En Autenticación, expanda Seguridad web y SIP y, a continuación, pulseNombre de host
Especifica el nombre de host totalmente calificado del nombre de principal de servicio (SPN) de Kerberos que utiliza SPNEGO para establecer un contexto seguro de Kerberos.
El nombre de host es la forma totalmente calificada del nombre de host. Por ejemplo, myHostname.austin.ibm.com.
El SPN de Kerberos es una serie con el formato HTTP/<nombre host totalmente calificado>@KERBEROS_REALM. El proveedor SPNEGO utiliza el SPN completo con el Java™ Generic Security Service (JGSS) para obtener la credencial de seguridad y el contexto de seguridad que se utilizan en el proceso de autenticación.
Información | Valor |
---|---|
Tipo de datos: | Serie |
Nombre de reino Kerberos
Especifica el nombre del reino Kerberos. En la mayoría de los casos, el reino es el nombre de dominio en letras mayúsculas. Por ejemplo, una máquina con el nombre de dominio de test.austin.ibm.com generalmente tendrá un nombre de reino Kerberos de AUSTIN.IBM.COM.
Si no especifica el nombre de reino Kerberos, se utiliza el reino predeterminado que se define en el archivo de configuración de Kerberos.
Criterios de filtro
Criterio de filtrado que utiliza la clase Java que a su vez utiliza SPNEGO.
La clase de implementación com.ibm.ws.security.spnego.HTTPHeaderFilter por omisión utiliza esta propiedad para definir una lista de normas de selección que representa las condiciones que se hacen coincidir con las cabeceras de las peticiones HTTP para determinar si la petición se ha seleccionado o no para la autenticación SPNEGO.
Cada condición se especifica con un par de clave y valor, separadas entres sí por un signo de punto y coma. Las condiciones se evalúan de izquierda a derecha, a medida que se muestran en la propiedad especificada. Si se cumplen todas las condiciones, se selecciona la solicitud HTTP para la autenticación SPNEGO.
La clave y el valor del par de clave y valor se separan mediante un operador que define la condición que se ha seleccionado. La clave identifica una cabecera de solicitud HTTP para extraerla de la solicitud y comparar su valor con el valor especificado en el par de clave y valor según la especificación del operador. Si la cabecera identificada mediante la clave no está presente en la solicitud HTTP, se considera que no se cumple con la condición.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Condición | Operador | Ejemplo |
---|---|---|
Coincidencia exacta | == Los argumentos se comparan como iguales. |
host==host.my.company.com |
Coincidencia parcial (inclusiones) | %= Los argumentos se comparan con una coincidencia parcial que es válida. |
user-agent%=IE 6 |
Coincidencia parcial (incluye una de muchas) | ^= Los argumentos se comparan con una coincidencia parcial que es válida para uno de los muchos argumentos especificados. |
request-url^=webApp1|webApp2|webApp3 |
Sin coincidencia | != Los argumentos se comparan como no iguales. |
request-url!=noSPNEGO |
Mayor que | > Los argumentos se comparan lexográficamente como mayor que. |
remote-address>192.168.255.130 |
Menor que | < Los argumentos se comparan lexográficamente como menor que. |
remote-address<192.168.255.135 |
Información | Valor |
---|---|
Tipo de datos: | Serie |
Clase de filtro
Especifica el nombre de la clase Java que utilizará SPNEGO para seleccionar qué solicitudes HTTP están sujetas a la autenticación SPNEGO. Si no especifica este parámetro, se utiliza la clase de filtro por omisión com.ibm.ws.security.spnego.HTTPHeaderFilter.
Información | Valor |
---|---|
Tipo de datos: | Serie |
URL de página de error de SPNEGO no soportado
Esta selección es opcional. Especifica el URL de un recurso que incluye el contenido que SPNEGO incluye en la respuesta HTTP que es visualizada por la aplicación cliente de navegador si no soporta la autenticación SPNEGO.
Esta propiedad puede especificar un recurso web (http://) o un recurso de archivo (file://).
<html><head><title>No se da soporte a la autenticación de SPNEGO</title></head>
<body>La autenticación SPNEGO no está soportada en este cliente</body></html>;
Información | Valor |
---|---|
Tipo de datos: | Serie |
URL de la página de error de recepción de señal NTLM
Esta propiedad es opcional. Especifica el URL de un recurso que contiene el contenido que SPNEGO incluye en la respuesta HTTP, que es visualizada por la aplicación cliente de navegador.
La aplicación cliente navegador muestra esta respuesta HTTP cuando el cliente navegador envía una señal NTLM (NT LAN Manager) en lugar de la señal SPNEGO esperada durante el reconocimiento de la conexión de desafío-respuesta.
<html><head><title>Se ha recibido un símbolo NTLM.</title></head>
<body>La configuración del navegador es correcta pero no ha iniciado la sesión en un dominio
Microsoft(R) Windows(R) Domain soportado.
<p>Inicie la sesión en la aplicación utilizando la página de inicio de sesión normal.</html>
Esta propiedad puede especificar un recurso web (http://) o un recurso de archivo (file://).
Información | Valor |
---|---|
Tipo de datos: | Serie |
Habilitar la delegación de credenciales Kerberos
Especifica si SPNEGO debe almacenar las credenciales delegadas de Kerberos. También permite a una aplicación recuperar las credenciales almacenadas y propagarlas a otras aplicaciones en sentido descendente para una autenticación SPNEGO adicional.
Esta opción requiere el uso de la característica de delegación de credenciales Kerberos avanzada y el desarrollo de lógica personalizada por el desarrollador de aplicaciones. El desarrollador debe interactuar directamente con el KDC de Kerberos para obtener un TGS (Ticket Granting Service) utilizando las credenciales delegadas de Kerberos en nombre del usuario que originó la solicitud. El desarrollador debe construir también la señal SPNEGO de Kerberos apropiado e incluirlo en la solicitud HTTP para continuar el proceso de autenticación SPNEGO en sentido descendente incluido el intercambio adicional de respuestas y desafíos de SPNEGO, si es necesario.
Si desea propagar KRBAuthnToken a un servidor en sentido descendente, el TGT (Ticket Granting Ticket) del cliente debe contener opciones sin direcciones y que pueden reenviarse. Si el cliente TGT tiene dirección, el servidor en sentido descendente no tiene credencial de delegación GSS tras propagarse.
Puede extraer la delegación de cliente GSSCredential de KRBAuthnToken utilizando el método KRBAuthnToken.getGSSCredential().
Información | Valor |
---|---|
Valor predeterminado: | Inhabilitado |
Recortar el dominio Kerberos del nombre de principal
Esta selección es opcional. Especifica si SPNEGO elimina el sufijo del nombre de usuario principal, empezando desde el símbolo @ que precede al nombre de reino Kerberos. Si este atributo se establece en true, el sufijo del nombre de usuario del principal se eliminará. Si este atributo se establece en false, se mantiene el sufijo del nombre principal. El valor predeterminado utilizado es true.
Información | Valor |
---|---|
Valor predeterminado: | Inhabilitado |