Configuración de propiedades personalizadas de TAI SPNEGO (obsoleto)

Las propiedades de configuración personalizados del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation) TAI (Trust Associations Interceptor) controlan los diferentes aspectos operativos de SPNEGO TAI. Puede especificar diferentes valores de propiedad para cada servidor de aplicaciones.

Deprecated feature Deprecated feature:

En WebSphere Application Server Versión 6.1 se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para los recursos protegidos. En WebSphere Application Server 7.0, esta función está en desuso. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y para habilitar la recuperación para el método de inicio de sesión de la aplicación.

depfeat

Cada una de las propiedades definidas en la tabla siguiente se especifica en el panel de propiedades personalizadas de SPNEGO TAI utilizando el recurso de la consola administrativa. Para mayor comodidad, puede colocar opcionalmente estas propiedades en un archivo de propiedades. En este caso, SPNEGO TAI carga las propiedades de configuración desde el archivo, en lugar desde la definición del panel de propiedades personalizadas. Consulte la propiedad com.ibm.ws.security.spnego.propertyReloadFile como se ha definido en Propiedades personalizadas de configuración de la JVM de SPNEGO TAI (obsoleto).

Para asignar nombres de propiedades exclusivos que identifiquen cada SPN posible, se incorpora un SPN<id> en el nombre de propiedad y se utiliza para agrupar las propiedades asociadas a cada SPN. Los SPN<id> están numerados de forma secuencial para cada grupo de propiedades.

Tabla 1. Propiedades personalizadas de SPNEGO TAI.

En esta tabla se muestran las propiedades personalizadas de SPNEGO TAI.

Nombre de propiedad Required Valor por omisión
com.ibm.ws.security.spnego.SPN<id>.enableCredDelegate No false
com.ibm.ws.security.spnego.SPN<id>.filter No Consulte la descripción siguiente.
com.ibm.ws.security.spnego.SPN<id>.filterClass No Consulte la descripción siguiente.
com.ibm.ws.security.spnego.SPN<id>.hostName Ninguno
com.ibm.ws.security.spnego.SPN<id>.NTLMTokenReceivedPage No Consulte la descripción siguiente.
com.ibm.ws.security.spnego.SPN<id>.spnegoNotSupportedPage No Consulte la descripción siguiente.
com.ibm.ws.security.spnego.SPN<id>.trimUserName No true

com.ibm.ws.security.spnego.SPN<id>.enableCredDelegate

Esta propiedad es opcional. Indica si las credenciales delegadas de Kerberos se almacenan por medio de SPNEGO TAI. Esta propiedad permite que una aplicación recupere las credenciales almacenadas y las propague a otras aplicaciones en sentido descendente para la autenticación SPNEGO adicional.

Esta propiedad requiere el uso de la función de delegación de credenciales de Kerberos avanzada y requiere el desarrollo de lógica personalizada por parte del desarrollador de aplicaciones. El desarrollador debe interactuar directamente con TGS (Ticket Granting Service) de Kerberos para obtener un TGT (Ticket Granting Ticket) utilizando las credenciales delegadas de Kerberos en nombre del usuario final que ha originado la solicitud. El desarrollador debe construir también la señal SPNEGO de Kerberos apropiada e incluirla en la solicitud HTTP para continuar el proceso de autenticación SPNEGO en sentido descendente incluido el intercambio adicional de respuestas y desafíos de SPNEGO, si es necesario.

com.ibm.ws.security.spnego.SPN<id>.filter

Esta propiedad es opcional. Define el criterio de filtro que utiliza la clase especificada con la propiedad com.ibm.ws.security.spnego.SPN<id>.filterClass. Define el criterio arbitrario que tiene sentido para la clase de implementación utilizada.

La clase de implementación com.ibm.ws.security.spnego.HTTPHeaderFilter por omisión utiliza esta propiedad para definir una lista de normas de selección que representa las condiciones que se hacen coincidir con las cabeceras de las peticiones HTTP para determinar si la petición se ha seleccionado o no para la autenticación SPNEGO.

Cada condición se especifica con un par de clave y valor, separadas entres sí por un signo de punto y coma. Las condiciones se evalúan de izquierda a derecha, a medida que se muestran en la propiedad especificada. Si se cumplen todas las condiciones, se selecciona la solicitud HTTP para la autenticación SPNEGO.

La clave y el valor del par de clave y valor se separan mediante un operador que define la condición que se ha seleccionado. La clave identifica una cabecera de solicitud HTTP para extraerla de la solicitud y comparar su valor con el valor especificado en el par de clave y valor según la especificación del operador. Si la cabecera identificada mediante la clave no está presente en la solicitud HTTP, se considera que no se cumple con la condición.

Cualquiera de las cabeceras de la solicitud HTTP estándar se puede utilizar como la clave de los pares de clave y valor. Consulte la especificación HTTP para obtener la lista de cabeceras válidas. Asimismo, se definen dos claves para extraer la información de la solicitud, también resulta útil como un criterio de selección que no está disponible a través de las cabeceras de las solicitudes HTTP estándar. La clave de dirección remota se utiliza como una pseudocabecera para recuperar la dirección TCP/IP remota de la aplicación cliente que ha enviado la solicitud HTTP. La clave del URL de solicitud se utiliza como un pseudocabecera para recupera el URL que utiliza la aplicación cliente que ha realizado la solicitud. El interceptor utiliza el resultado de la operación getRequestURL en la interfaz javax.servlet.http.HttpServletRequest para construir la dirección web. Si hay una serie de consulta presente, se utiliza también el resultado de la operación getQueryString en la misma interfaz. En este caso, el URL completo se crea del modo siguiente:
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Se definen los siguientes operadores y condiciones:
Tabla 2. Condiciones y operaciones de filtro.

En esta tabla se definen las condiciones y operadores utilizados en el filtrado y se proporcionan ejemplos.

Condición Operador Ejemplo
Coincidencia exacta = =

Los argumentos se comparan como iguales.

host=host.my.company.com
Coincidencia parcial (inclusiones) %=

Los argumentos se comparan con una coincidencia parcial que es válida.

user-agent%=IE 6
Coincidencia parcial (incluye una de muchas) ^=

Los argumentos se comparan con una coincidencia parcial que es válida para uno de los muchos argumentos especificados.

request-url^=webApp1|webApp2|webApp3
Sin coincidencia !=

Los argumentos se comparan como no iguales.

request-url!=noSPNEGO
Mayor que >

Los argumentos se comparan lexográficamente como mayor que.

remote-address>192.168.255.130
Menor que <

Los argumentos se comparan lexográficamente como menor que.

remote-address<192.168.255.135

com.ibm.ws.security.spnego.SPN<id>.filterClass

Esta propiedad es opcional. Especifica el nombre de la clase Java que utiliza SPNEGO TAI para seleccionar las solicitudes HTTP que están sometidas a la autenticación SPNEGO.

Si no se especifica la clase, se utiliza la clase de implementación com.ibm.ws.security.spnego.HTTPHeaderFilter por omisión. La clase Java que se especifica debe implementar la interfaz com.ibm.wsspi.security.spnego.SpnegoFilter. Se proporciona una implementación por omisión de esta interfaz. Especifique la clase com.ibm.ws.security.spnego.HTTPHeaderFilter para utilizar la implementación por omisión. Esta clase utiliza las normas de selección especificadas con la propiedad com.ibm.ws.security.spnego.SPN<id>.filter.

com.ibm.ws.security.spnego.SPN<id>.hostName

Esta propiedad es obligatoria. Especifica el nombre de host del SPN utilizado por SPNEGO TAI para establecer un contexto Kerberos seguro. No tiene valor predeterminado.

Nota: El nombre de host tiene el formato de nombre de host largo. Por ejemplo, nombreHost.austin.ibm.com.
El SPN de Kerberos es una serie con el formato HTTP/nombrehost@realm. El proveedor SPNEGO utiliza el SPN completo con el Java Generic Security Service (JGSS) para obtener la credencial de seguridad y el contexto de seguridad que se utilizan en el proceso de autenticación.

com.ibm.ws.security.spnego.SPN<id>.NTLMTokenReceivedPage

Esta propiedad es opcional. Especifica la dirección web de un recurso que contiene el contenido que SPNEGO TAI incluye en la respuesta HTTP que la aplicación de cliente (el navegador) muestra cuando el reconocimiento de comunicación y de desafío y respuesta contiene una señal NTLM (NT LAN Manager) en lugar de una señal SPNEGO.

Puede especificar un recurso web (http://) o un recurso de archivo (archivo://).Si no se especifica esta propiedad o si el interceptor no puede encontrar el recurso especificado, se utiliza el contenido siguiente:
<html><head><title>Se ha recibido una señal NTLM.</title></head>
<body>La configuración del navegador es correcta pero no ha iniciado la sesión en un dominio
Microsoft(R) Windows(R) Domain soportado.
<p>Inicie la sesión en la aplicación utilizando la página de inicio de sesión normal.</html>

com.ibm.ws.security.spnego.SPN<id>.spnegoNotSupportedPage

Esta propiedad es opcional. Especifica el web de un recurso que incluye el contenido que SPNEGO incluye en la respuesta HTTP que es visualizada por la aplicación cliente (navegador) si no soporta la autenticación SPNEGO. Puede especificar un recurso Web (http://) o un recurso de archivo (archivo://).

Si no se especifica esta propiedad o si el interceptor no puede encontrar el recurso especificado, se utiliza el contenido siguiente:
<html><head><title>No se da soporte a la autenticación SPNEGO</title></head>
<body>La autenticación SPNEGO no está soportada en este cliente</body></html>;

com.ibm.ws.security.spnego.SPN<id>.trimUserName

Esta propiedad es opcional. Especifica si el SPNEGO TAI va a eliminar (true) o no (false) el sufijo del nombre de usuario del principal, que empieza en el "@" que precede al nombre del reino de Kerberos.

Si esta propiedad se establece en true, se suprime el sufijo del nombre de usuario principal. Si esta propiedad se establece en false, el sufijo del nombre de principal se retiene. El valor predeterminado utilizado es true.Por ejemplo,

Cuando com.ibm.ws.security.spnego.SPN<id>.trimUserName = true
bobsmith@myKerberosRealm  pasa a ser  bobsmith
Cuando com.ibm.ws.security.spnego.SPN<id>.trimUserName = false
bobsmith@myKerberosRealm continúa siendo bobsmith@myKerberosRealm

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_tai_attribs
File name: rsec_SPNEGO_tai_attribs.html