Configuración de las propiedades personalizadas de JVM, filtrado de solicitudes HTTP y habilitación de SPNEGO TAI en WebSphere Application Server (en desuso)

Como administrador web, esta tarea le ayuda a garantizar que WebSphere Application Server está configurado de modo que funcione el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation) TAI (Trust Association Interceptor) TAI) con la propiedad de la JVM (Java™ Virtual Machine) y con los filtros de peticiones HTTP adecuados.

Antes de empezar

Debe saber cómo utilizar la consola administrativa de WebSphere Application Server para gestionar la configuración de la seguridad y tener la autoridad correcta para modificar la configuración de la seguridad del servidor de aplicaciones.
Deprecated feature Deprecated feature:

En WebSphere Application Server Versión 6.1, se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation) para negociar y autenticar con seguridad solicitudes HTTP para recursos seguros. En WebSphere Application Server 7.0, esta función está ahora en desuso. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y para habilitar la recuperación para el método de inicio de sesión de la aplicación.

depfeat

Acerca de esta tarea

Verifique la configuración del SPNEGO TAI. El despliegue del SPNEGO TAI puede variar, desde un sistema WebSphere Application Server único en el cual se ejecuta una única aplicación, a una gran célula ND (WebSphere Application Server, Network Deployment) de varios nodos, con docenas de servidores de aplicaciones, que alojan muchas aplicaciones. Los SPNEGO TAI se instalan en el nivel de la célula. Debe tener en cuenta la configuración determinada del SPNEGO TAI.

El comportamiento predeterminado del SPNEGO TAI no va a interceptar solicitudes HTTP. Este comportamiento predeterminado garantiza que el SPNEGO TAI se puede instalar en una célula existente, configurada para un único servidor de aplicaciones y no cambia ningún servidor de aplicaciones de la célula. Otros servidores WebSphere Application Server pueden ejecutarse exactamente igual que antes con una configuración determinada.

Decida si se va a utilizar o no la clase de ejemplo SPN<id>.filterClass y determine las propiedades exactas del filtro que se van a utilizar.
Nota: De manera predeterminada, SPNEGO TAI utiliza com.ibm.ws.security.spnego.SPN<id>.filterClass e intercepta todas las solicitudes.
Si el comportamiento predeterminado no es el apropiado, puede utilizar una clase proporcionada por el cliente, o bien ampliar o modificar la clase de ejemplo según sea preciso. La interfaz del programador del sistema, com.ibm.ws.security.spnego.SpnegoFilter, le permite implementar un filtro personalizado para determinar si va a interceptar o no una solicitud HTTP determinada. Con la implementación predeterminada, puede establecer normas de filtro, así como criterios precisos al seleccionar qué solicitudes HTTP interceptar.
Nota: Si en lugar de los pasos siguientes para habilitar SPNEGO TAI desea un método alternativo, puede utilizar scripts para realizar la operación. Consulte la sección Habilitación de SPNEGO TAI como propiedad personalizada de JVM mediante scripts (en desuso) para obtener más detalles.
Efectúe los pasos siguientes para habilitar el funcionamiento de SPNEGO TAI con el filtro seleccionado y con la propiedad de la JVM necesaria.

Procedimiento

  1. Inicie sesión en la consola administrativa de WebSphere Application Server.
  2. Pulse Servidores > Servidores de aplicaciones.
  3. [IBM i][AIX Solaris HP-UX Linux Windows]Seleccione el servidor adecuado. En Infraestructura de servidor, expanda Java y gestión de procesos > Definición de proceso.
  4. [z/OS]Seleccione el servidor adecuado. En Infraestructura de servidor, expanda Java y gestión de procesos > Definición de proceso. Seleccione Servant.
  5. Pulse Java Virtual Machine. En Propiedades adicionales, pulse Propiedades personalizadas. Si es necesario, cree una nueva propiedad personalizada, pulsando Nuevo, luego escriba com.ibm.ws.security.spnego.isEnabled en el campo de nombre y true en el campo de valor.
  6. Pulse Aplicar > Aceptar para guardar la configuración.
  7. [z/OS]Repita el paso 3 pero seleccione Control. A continuación, repita los pasos 4 y 5.
  8. Identifique cuándo el SPNEGO TAI intercepta una solicitud determinada. Se proporciona un conjunto de propiedades de filtro pero debe determinar cuál es el adecuado y modificar com.ibm.ws.security.spnego.SPN<id>.filterClass como corresponda.

Resultados

El servidor de aplicaciones está configurado y listo para proporcionar un entorno de inicio de sesión único para los usuarios finales que se hayan autenticado correctamente en un dominio de Microsoft Active Directory. Debe reiniciar los servidores de aplicaciones que se hayan configurado para la autenticación web SPNEGO. A continuación, SPNEGO TAI se establece de modo que filtre las solicitudes HTTP cuando esté en funcionamiento.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_config_jvm
File name: tsec_SPNEGO_config_jvm.html