Adición de propiedades de SPNEGO TAI mediante el programa de utilidad wsadmin (en desuso)

El programa de utilidad wsadmin se utiliza para añadir propiedades para el interceptor de asociación de confianza (TAI) del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) en la configuración de seguridad de WebSphere Application Server.

Acerca de esta tarea

Deprecated feature Deprecated feature:

En WebSphere Application Server Versión 6.1 se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para los recursos protegidos. En WebSphere Application Server 7.0, esta función está en desuso. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y para habilitar la recuperación para el método de inicio de sesión de la aplicación.

depfeat

Compruebe que los navegadores de escritorio del usuario final se hayan configurado para dar soporte a la autenticación SPNEGO, que SPNEGO TAI se haya habilitado, que esté establecida la propiedad JVM (Java™ Virtual Machine) y que WebSphere Application Server se haya configurado para habilitar el funcionamiento de SPNEGO TAI.

Utilice el programa de utilidad wsadmin para configurar SPNEGO TAI para WebSphere Application Server:

Procedimiento

  1. Inicie WebSphere Application Server.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Inicie el programa de utilidad de la línea de mandatos ejecutando el mandato wsadmin desde el directorio raíz_servidor_aplicaciones/bin.
  3. [IBM i]Inicie el programa de utilidad de la línea de mandatos ejecutando el mandato wsadmin desde el directorio raíz_servidor_apl/bin desde la línea de mandatos de Qshell.
  4. En el indicador de mandatos wsadmin, escriba el mandato siguiente:
    $AdminTask addSpnegoTAIProperties
    Puede utilizar los parámetros siguientes con este mandato:
    Opción Descripción
    <spnId> Este parámetro es opcional. Es el identificador SPN para el grupo de propiedades personalizadas que se van a definir con este mandato. Si no especifica este parámetro, se asigna un identificador SPN no utilizado.
    <host> Este parámetro es obligatorio. Especifica la parte del nombre de host en el SPN utilizado por el SPNEGO TAI para establecer un contexto seguro de Kerberos.
    <filter> Este parámetro es opcional. Define los criterios de filtro utilizados por la clase especificada con el atributo anterior. Si se especifica este parámetro, todas las solicitudes HTTP estarán sujetas a la autenticación de SPNEGO.
    <filterClass> Este parámetro es opcional. Especifica el nombre de la clase Java utilizada por SPNEGO TAI para seleccionar las solicitudes HTTP que serán objeto de la autenticación SPNEGO. Si no especifica este parámetro, se utilizará la clase de filtro predeterminada, com.ibm.ws.security.spnego.HTTPHeaderFilter.
    <noSpnegoPage> Este parámetro es opcional. Especifica el URL de un recurso que contiene el contenido del SPNEGO TAI y que se incluirá en una respuesta HTTP para que sea visualizado por la aplicación cliente (navegador), si no soporta la autenticación de SPNEGO.
    Si no especifica el parámetro noSpnegoPage, se utilizará el valor predeterminado:
    "<html><head><title>La autenticación SPNEGO 
    no está soportada.
    </title></head>" +
    "<body> La autenticación SPNEGO no 
    está soportada en este cliente.
    </body></html>";
    <ntlmTokenPage> Este parámetro es opcional. Especifica el URL de un recurso que contiene el contenido de SPNEGO TAI que se incluirá en la respuesta HTTP que visualizará la aplicación del cliente (navegador), si el símbolo SPNEGO que recibe el interceptor, una vez verificada la pregunta de contraseña, contiene un símbolo NTLM (NT LAN Manager), en lugar del símbolo SPNEGO esperado.
    Si no especifica el parámetro ntlmTokenPage, se utiliza el valor por omisión:
    "<html><head><title>Se ha recibido una 
    señal NTLM.</title></head>"
    + "<body>La configuración del navegador
    es correcta, pero no ha iniciado
    la sesión en un dominio de Windows
    soportado."
    + "<p>Inicie una sesión en la aplicación
    utilizando la página de inicio de sesión normal.</html>";
    <trimUserName> Este parámetro es opcional. Especifica si SPNEGO TAI va a eliminar el sufijo del nombre de usuario principal, comenzando por la "@" antepuesta al nombre de reino de Kerberos. Si este parámetro se establece en true, se suprime el sufijo del nombre de usuario principal. Si este parámetro se establece en false, el sufijo del nombre de principal se retiene. El valor predeterminado utilizado es true.

Resultados

Para este WebSphere Application Server se han añadido propiedades de SPNEGO TAI.

Ejemplo

Ejemplo 1
En el ejemplo siguiente se configura el SPNEGO TAI para interceptar solicitudes HTTP que contienen IE 6 en la cabecera de la solicitud del agente de usuario. El SPNEGO TAI utiliza el SPN de HTTP/myhost.ibm.com@<reino_por_omisión> para autenticar el originador de solicitud.
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6
Ejemplo 2
A continuación aparece un ejemplo de cómo añadir SPNEGOTAIProperties para el SPN1 con objeto de utilizar la filterClass predeterminada para interceptar todas las solicitudes del host, central01.austin.ibm.com.
wsadmin>$AdminTask addSpnegoTAIProperties -interactive
Añadir propiedades del SPNEGO TAI

Añadir propiedades de configuración del SPNEGO TAI.

*Nombre de host en el nombre principal del servicio (host): central01.austin.ibm.com
Identificador del nombre principal (spnId): 1
Norma de filtro de la cabecera HTTP (filter):
Nombre de clase utilizada para filtrar las solicitudes HTTP (filterClass):
Respuesta de navegador SPNEGO no soportada (noSpnegoPage):
Respuesta de navegador recibida con símbolo NTLM (ntlmTokenPage):
Recortar la respuesta del navegador del nombre de usuario (trimUserName):

Añadir propiedades del SPNEGO TAI

F (Finalizar)
C (Cancelar)

Seleccione [F, C]: [F] f
WASX7278I: Línea de mandato generada: $AdminTask addSpnegoTAIProperties {-host central01.austin.ibm.com}
com.ibm.ws.security.spnego.SPN1.hostName=central01.austin.ibm.com
wsadmin>

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_wsadmin
File name: tsec_SPNEGO_add_wsadmin.html