Sugerencias para la resolución de problemas de SPNEGO
Puede negociar y autenticar solicitudes HTTP de forma segura para recursos protegidos en WebSphere Application Server mediante SPNEGO (Simple and Protected GSS-API Negotiation Mechanism). Puede encontrarse con problemas al utilizar el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) como el servicio de autenticación web para WebSphere Application Server.
Problemas de SPNEGO y posibles soluciones
- No se puede resolver el nombre de principal de Kerberos
- WebSphere Application Server y el controlador de dominios de Active Directory (AD) no están sincronizados con una diferencia máxima de 5 minutos
- No existe ninguna fábrica disponible para crear un nombre para el mecanismo 1.3.6.1.5.5.2
- Se recibe un error de Kerberos al descodificar y verificar la señal de SPNEGO
- El inicio de sesión único no se produce
- No se puede utilizar el inicio de sesión único (SSO) con cifrado RC4-HMAC
- Problemas de acceso a un URL protegido a través del inicio de sesión único (SSO) de SPNEGO
- Incluso con el rastreo JGSS inhabilitado, aparecen algunos mensajes KRB_DBG_KDC en el archivo SystemOut.log
- ktpass no puede encontrar el ID de usuario
- Es posible que la delegación de credenciales no funcione debido a una opción no válida en la solicitud del tíquet
- Se solicitan las credenciales de un usuario aun cuando el navegador está bien configurado
- Un usuario que utiliza el cliente Novell no puede autenticarse mediante SPNEGO
- El acceso a sitios SPNEGO a través de servidores proxy puede dar lugar a problemas de autenticación SPNEGO
- El software de VPN (red privada virtual) y los cortafuegos pueden interferir con operaciones SPNEGO
- Posible problema del navegador al acceder a una aplicación protegida con SPNEGO
- Posible problema del navegador con Internet Explorer 6.0
- Las páginas de error definidas para las propiedades NTLMTokenReceivedPage o SpnegoNotSupportedPage se cargan desde un URL de tipo http://
- Error de autenticación en un inicio de sesión único (SSO) de un navegador de cliente
- Microsoft Windows Versión 7 e Internet Explorer Versión 8 inhabilita el tipo de cifrado DES de forma predeterminada
- Establecimiento de una política sin restricciones y utilización posterior de un cifrado AES256
No se puede resolver el nombre de principal de Kerberos
Si no puede resolver el nombre de principal de Kerberos, como se muestra en el siguiente ejemplo de rastreo:
[11/11/03 1:42:29:795 EST] 1d01b21e GetKrbToken > Negotiation (GSS): Begin handshake
[11/11/03 1:42:29:795 EST] 1d01b21e Context > GSS Context init, servername:HTTP@johnwang5.jwcmd.com
[11/11/03 1:42:29:866 EST] 1d01b21e TraceNLS u No message text associated with key Error.getting.the.Token,
.GSS.Exception:org.ietf.jgss.GSSException,.major.code:.13,.minor.code:.0
major.string:.Invalid.credentials
minor.string:.Cannot.get.credential.from.JAAS.Subject.for.principal:.HTTP/192.168.0.4@168.0.4 in bundle
com.ibm.ejs.resources.security
[11/11/03 1:42:29:866 EST] 1d01b21e GetKrbToken E Error getting the Token, GSS Exception:org.ietf.jgss.GSSException,
major code: 13, minor code: 0
serie principal: Credenciales no válidas
minor string: Cannot get credential from JAAS Subject for principal: HTTP/192.168.0.4@168.0.4
[11/11/03 1:42:29:876 EST] 1d01b21e TraceNLS u No message text associated with key SpnegoTAI.exits.due.to.an.exception.
in bundle com.ibm.ejs.resources.security
[11/11/03 1:42:29:876 EST] 1d01b21e SpnegoTAI E SpnegoTAI exits due to an exception.
Añada la dirección IP del servidor en su archivo de host. También debe crear un nuevo ciclo del servidor de aplicaciones para cargar el nuevo archivo de host.
WebSphere Application Server y el controlador de dominios de Active Directory (AD) no están sincronizados con una diferencia máxima de 5 minutos
[11/11/03 1:44:09:499 EST] 1d01b21e GetKrbToken > Negotiation (GSS): Begin handshake
[11/11/03 1:44:09:499 EST] 1d01b21e Context > GSS Context init, servername:HTTP@backendrc4.ibm.net
[11/11/03 1:44:09:499 EST] 1d01b21e Context > GSS Context init, done.
[11/11/03 1:44:09:679 EST] 1d01b21e SpnegoTAI > Server response token as follows...
0000: 6082014f 06062b06 01050502 a1820143 `?.O..+.....¡?.C
0010: 3082013f a0030a01 01a10b06 092a8648 0?.? ....¡...*?H
0020: 82f71201 0202a282 01290482 01256082 ?÷....¢?.).?.%`?
0030: 01210609 2a864886 f7120102 0203007e .!..*?H?÷......~
0040: 82011030 82010ca0 03020105 a1030201 ?..0?.. ....¡...
0050: 1ea41118 0f323030 33313131 31303634 .¤...20031111064
0060: 3430395a a5050203 0a3548a6 03020125 409Z¥....5H¦...%
0070: a90b1b09 4a57434d 442e434f 4daa2630 ©.....IBM.NETª&0
0080: 24a00302 0100a11d 301b1b04 48545450 $ ....¡.0...HTTP
0090: 1b136a6f 686e7761 6e67352e 6a77636d ..backendrc4.ibm
00a0: 642e636f 6dab81ab 1b81a86f 72672e69 .net.«?«.?¨org.i
00b0: 6574662e 6a677373 2e475353 45786365 etf.jgss.GSSExce
00c0: 7074696f 6e2c206d 616a6f72 20636f64 ption, major cod
00d0: 653a2031 302c206d 696e6f72 20636f64 e: 10, minor cod
00e0: 653a2033 370a096d 616a6f72 20737472 e: 37..major str
00f0: 696e673a 20446566 65637469 76652074 ing: Defective t
0100: 6f6b656e 0a096d69 6e6f7220 73747269 oken..minor stri
0110: 6e673a20 436c6965 6e742074 696d6520 ng: Client time
0120: 54756573 6461792c 204e6f76 656d6265 Tuesday, Novembe
0130: 72203131 2c203230 30332061 7420313a r 11, 2003 at 1:
0140: 33353a30 3120414d 20746f6f 20736b65 35:01 AM too ske
0150: 776564 wed
Puede corregir este problema de dos formas. El método preferido consiste en sincronizar la hora del sistema de WebSphere en un rango de 5 minutos de la hora del servidor AD. Un procedimiento recomendado es utilizar un servidor de horas para mantener todos los sistemas sincronizados. También puede añadir o ajustar el parámetro clockskew en el archivo de configuración de Kerberos. El valor predeterminado es de 300 segundos (5 minutos).
No existe ninguna fábrica disponible para crear un nombre para el mecanismo 1.3.6.1.5.5.2
[4/8/05 22:51:24:542 EDT] 5003e481 SystemOut O [JGSS_DBG_PROV] Provider IBMJGSSProvider version 1.01
does not support mech 1.3.6.1.5.5.2
[4/8/05 22:51:24:582 EDT] 5003e481 ServerCredent E com.ibm.issw.spnegoTAI.ServerCredential initialize() SPNEGO014:
Kerberos initialization Failure: org.ietf.jgss.GSSException, major code: 2, minor code: 0
serie principal: Mecanismo no soportado
serie menor: No hay fábricas disponibles para crear el nombre del mecanismo 1.3.6.1.5.5.2
en com.ibm.security.jgss.i18n.I18NException.throwGSSException(I18NException.java:30)
en com.ibm.security.jgss.GSSManagerImpl.a(GSSManagerImpl.java:36)
en com.ibm.security.jgss.GSSCredentialImpl.add(GSSCredentialImpl.java:217)
at com.ibm.security.jgss.GSSCredentialImpl.<init>(GSSCredentialImpl.java:264)
.
.
security.provider.6=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
Se recibe un error de Kerberos al descodificar y verificar la señal de SPNEGO
Error al autenticar la solicitud. Informando al cliente
Código principal = 11, Código menor = 31
org.ietf.jgss.GSSException, código principal: 11, código menor: 31
serie principal: Anomalía general, no se ha especificado en el nivel GSSAPI
serie menor: Error Kerberos al decodificar y verificar la señal: com.ibm.security.krb5.internal.KrbException, código de estado: 31
mensaje: Ha fallado la comprobación de integridad en el campo descifrado
- El archivo de tabla de claves no se ha copiado a la máquina servidor después de que se haya regenerado.
- La configuración de Kerberos señala a un archivo de tabla de claves incorrecto.
- El SPN se ha definido para Active Directory más de una vez. Esto también puede estar provocado por otro ID de usuario con un SPN definido parecido (puede ser el mismo nombre o puede ser distinto con un número de puerto distinto definido como parte del SPN).
- Si el tipo de cifrado es DES, la contraseña asociada con el ID de usuario del servicio sólo puede existir para el cifrado RC4-HMAC. Esto ocurre cuando se crea un nuevo ID de usuario, se define el SPN y se genera la tabla de claves con la opción +DesOnly. El tíquet de servicio generado para este SPN se cifra con un secreto que no coincide con el que se encuentra en la tabla de claves.
- Se ha utilizado una versión anterior de la herramienta ktpass de Microsoft. Las versiones anteriores de la herramienta crean archivos de tabla de claves que no son correctos y que pueden dar lugar a este error. Si utiliza Windows Server 2003 como controlador de dominios, utilice la versión ktpass.exe que forma parte de Windows Server 2003 SP 2 (concretamente, la versión 5.2.3790.2825).
Si el problema se encuentra en el archivo de tabla de claves, corríjalo. Si el problema se encuentra en las definiciones de SPN, elimine el SPN adicional o que presenta el conflicto, confirme que el SPN ya no está registrado en AD, y luego añada de nuevo el SPN. Para obtener más información, consulte Creación de un nombre principal del servicio Kerberos y un archivo de tabla de claves. Es posible que deban realizare búsquedas en Active Directory para localizar otras entradas con SPN definidos que entren en conflicto con el SPN que utiliza un navegador LDAP.
setspn –l userid
debe devolver lo
siguiente:No se puede encontrar el ID de usuario de la cuenta
Si el ID de usuario y la tabla de claves son para DES-CBC-MD5, tras crear el ID de usuario, cambie la contraseña para el ID de usuario y luego cree el archivo de claves. Si utiliza Windows Server 2003, realice la actualización a la última versión de ktpass.
El inicio de sesión único no se produce
Client sent back a non-SPNEGO authentication header, SpnegoTAI exits
- El cliente no está bien configurado.
- El cliente no utiliza un navegador soportado. Por ejemplo, los usuarios de Internet Explorer 5.5 SP1 responden con una cabecera de autenticación que no es SPNEGO.
- El usuario no ha iniciado sesión en el dominio AD o en un dominio de confianza, o el cliente utilizado no da soporte a la autenticación integrada con Windows. En este caso, el TAI funciona correctamente.
- El usuario accede a un servicio definido en la misma máquina en la que se ejecuta el cliente (host). Internet Explorer resuelve el nombre de host del URL en http://localhost<algunURL> en lugar de resolverlo al nombre completo que se proporciona.
- El SPN no se encuentra en Active Directory. El SPN debe tener el formato HTTP/servidor.reino.com. El mandato para añadir el
SPN es:
setspn –a HTTP/server.realm.com userid
Si el SPN está definido incorrectamente como HTTP/servidor.reino.com@REALM.COM con el añadido de @REALM.COM, suprima el usuario, defínalo de nuevo y vuelva a definir el SPN.
- El nombre de host se resuelve como alias DNS, no como registro HOST. Cambie el nombre de host por un registro HOST.
- La cuenta de AD que contiene el ServicePrincipalName es un dominio AD que es remoto con respecto al dominio AD en el que el usuario ha iniciado sesión, y estos dominios no son Windows 2003. Migre los dominios a Windows 2003, o limite el SSO a los usuarios cuyo dominio es el mismo que el del ID de usuario ServicePrincipalName.
No se puede utilizar el inicio de sesión único (SSO) con cifrado RC4-HMAC
com.ibm.security.krb5.internal.crypto.KrbCryptoException, código estado: 0
mensaje: Error de suma de comprobación; la suma de comprobación recibida no coincide con la suma de comprobación calculada
- El cifrado RC4-HMAC no está soportado con una versión de Windows anterior a 2003 KDC. Para confirmar si éste es el problema,
analice el rastreo anterior en el que se genera la excepción. El contenido del ticket entrante debe estar visible en el rastreo. Si bien está cifrado, el SPN para el servicio puede leerse. Si se utiliza un KDC
de Windows de una versión anterior a la versión 2003, y el sistema
está configurado para utilizar RC4-HMAC,
se mostrará la serie que representa el ticket de userid@REALMinstead en lugar de HTTP/hostname.realm@REALM. Por ejemplo, éste es el principio del tíquet recibido de un KDC de una versión de Windows anterior a 2003:
0000: 01 00 6e 82 04 7f 30 82 04 7b a0 03 02 01 05 a1 ..n...0......... 0010: 03 02 01 0e a2 07 03 05 00 20 00 00 00 a3 82 03 ................ 0020: a5 61 82 03 a1 30 82 03 9d a0 03 02 01 05 a1 0a .a...0.......... 0030: 1b 08 45 50 46 44 2e 4e 45 54 a2 18 30 16 a0 03 ...REINO.COM.0.. 0040: 02 01 01 a1 0f 30 0d 1b 0b 65 70 66 64 77 61 73 .....0...id_usuario 0050: 75 6e 69 74 a3 82 03 6e 30 82 03 6a a0 03 02 01 .a.f...n0..j....
El reino es REINO.COM. El nombre del servicio es el id_usuario. Un ticket formado correctamente para el mismo SPN es:0000: 01 00 6e 82 04 56 30 82 04 52 a0 03 02 01 05 a1 ..n..V0..R...... 0010: 03 02 01 0e a2 07 03 05 00 20 00 00 00 a3 82 03 ................ 0020: 82 61 82 03 7e 30 82 03 7a a0 03 02 01 05 a1 0a .a...0..z....... 0030: 1b 08 45 50 46 44 2e 4e 45 54 a2 2a 30 28 a0 03 ..REINO.COM.0... 0040: 02 01 02 a1 21 30 1f 1b 04 48 54 54 50 1b 17 75 .....0...HTTP..u 0050: 73 31 30 6b 65 70 66 77 61 73 73 30 31 2e 65 70 id_ser.reino.com. 0060: 66 64 2e 6e 65 74 a3 82 03 39 30 82 03 35 a0 03 ...n.....90..5..
Para corregir el problema, utilice cifrado DES único o utilice un servidor Windows Server 2003 para un KDC. Recuerde que debe generar de nuevo el SPN y el archivo de tabla de claves.
- El cifrado RC-HMAC no funciona si se utiliza la característica de
delegación de credenciales. Para determinar si tiene este problema, habilite el rastreo JGSS
y Krb5. Si el nombre SPN es correcto, es posible que aparezcan mensajes como
los siguientes:
[JGSS_DBG_CTX] Tíquet descifrado correctamente [JGSS_DBG_CTX] Colocar información de autorización en la memoria caché [JGSS_DBG_CTX] Tipo de clave de sesión = rc4-hmac … [JGSS_DBG_CTX] Autenticador descifrado correctamente [JGSS_DBG_CTX] Error de autenticación de la solicitud. Informando al cliente … Código principal = 11, Código menor = 0 org.ietf.jgss.GSSException, código principal: 11, código menor: 0 serie principal: Anomalía general, no se ha especificado en el nivel GSSAPI serie menor: Error Kerberos al convertir KRBCred: com.ibm.security.krb5.internal.crypto.KrbCryptoException, código de estado: 0 mensaje: Error de suma de comprobación; la suma de comprobación recibida no coincide con la suma de comprobación calculada
Esto indica que la credencial delegada contenida en el símbolo SPNEGO no está cifrada con la clave correcta.
Obtenga el APAR IY76826. Este arreglo sustituye el archivo ibmjgssprovider.jar por una versión que puede aceptar la credencial delegada cifrada RC4 definida por Microsoft.
- La contraseña utilizada al generar el archivo de tabla de claves con ktpass
no coincide con la contraseña asignada a la cuenta del servicio. Cuando cambia
la contraseña, es necesario generar y distribuir de nuevo las claves, aun
cuando se restablezca a la misma contraseña. Además, es posible que la herramienta ktpass genere un archivo de tabla de claves con una contraseña que no coincida, como en los siguientes casos:
- Si la contraseña introducida en ktpass coincide con la contraseña de la cuenta de servicio, el archivo de tabla de claves producido no funciona.
- Si la contraseña introducida en ktpass no coincide con la contraseña de la cuenta de servicio, y tiene menos de 7 caracteres de longitud, ktpass se detiene y no produce ningún archivo de tabla de claves.
- Si la contraseña introducida en ktpass no coincide con la contraseña de la cuenta de servicio, y tiene más de 6 caracteres de longitud, ktpass no se detiene. En lugar de ello, produce un archivo de tabla de claves que contiene una clave que no es válida. Utilice esta clave para descifrar una señal que SPNEGO produce en el error de suma de comprobación anterior.
Utilice una contraseña no nula para la cuenta de servicio y luego utilice dicha contraseña para invocar a ktpass.
- La herramienta ktpass versión 1830 (del SP1 de las herramientas de soporte)
puede producir el error en algunos entornos de
Windows 2003 Server. Utilice la versión del SP2
de la herramienta para evitar el error.
Utilice la versión SP2 de las herramienta de soporte de ktpass para generar el archivo de tabla de claves válido.
Es posible que la delegación de credenciales no funcione debido a una opción no válida en la solicitud del tíquet
com.ibm.security.krb5.KrbException, código estado: 101 mensaje: Opción no válida en la petición de ticket
El archivo de configuración de Kerberos no está configurado correctamente. Asegúrese de que los valores relacionados con la capacidad de renovación y proxy están establecidos en true.
Problemas de acceso a un URL protegido a través del inicio de sesión único (SSO) de SPNEGO
Solicitud incorrecta
El navegador envía una solicitud que este servidor no ha podido entender.
El tamaño del campo de la cabecera de la solicitud excede el límite del servidor.
Autorización: Negocie YII……
Este mensaje lo genera Apache/IBM HTTP Server, e indica que la cabecera de autenticación devuelta por el navegador es demasiado larga. La serie larga que sigue a la palabra Negocie es el símbolo SPNEGO. Esta señal SPNEGO es un derivador de la señal Kerberos de Windows. Windows incluye la información de PAC del usuario en la señal Kerberos. Cuanto más seguro sea el grupo al que pertenece el usuario, más información PAC se inserta en el símbolo Kerberos y más largo se vuelve SPNEGO. IBM HTTP Server 2.0 (también Apache 2.0 e IBM HTTP Server 6.0) limita el tamaño de cualquier cabecera HTTP aceptable a 8K. En dominios Windows que tienen muchos grupos, y con usuarios que pertenecen a muchos grupos, el tamaño de la señal SPNEGO del usuario puede exceder el límite de 8K.
Si es posible, reduzca el número de grupos de seguridad de los cuales el usuario es miembro. El arreglo acumulativo PK01070 de IBM HTTP Server 2.0.47 permite que el tamaño de la cabecera de HTTP aumente e ,incluso, que supere el límite de Microsoft de 12K.
Después de aplicar el arreglo, debe especificar el parámetro LimitRequestFieldSize en el archivo httpd.conf para incrementar el valor predeterminado 8192 de la medida de las cabeceras permitidas.
Incluso con el rastreo JGSS inhabilitado, aparecen algunos mensajes KRB_DBG_KDC en el archivo SystemOut.log
Aunque la mayoría del rastreo JGSS está controlada por la propiedad com.ibm.security.jgss.debug, un pequeño conjunto de mensajes está controlado por la propiedad com.ibm.security.krb5.Krb5Debug. El valor predeterminado de la propiedad krb5 es emitir algunos mensajes a SystemOut.log.
Para eliminar todos los mensajes KRB_DBG_KDC del archivo SystemOut.log, defina la propiedad JVM en -Dcom.ibm.security.krb5.Krb5Debug=none.
ktpass no puede encontrar el ID de usuario
DsCrackNames ha devuelto 0x2 en la entrada de nombre para server3
No se ha podido obtener el dominio de destino para el usuario especificado.
En un bosque Active Directory, la búsqueda de ID de usuario utilizada por ktpass.exe no tiene ningún nombre de dominio predeterminado establecido que deba utilizarse. Esto no ocurre cuando el controlador de dominio no se encuentra en un bosque.
Para corregir este problema, en lugar de especificar la opción -mapUser ID_usuario, utilice -mapUser ID_usuario@dominio. Por ejemplo, especifique –mapUser server3@WIBM.NET.
La delegación de credenciales no funciona para ningún ID de usuario
> com.ibm.issw.spnegoTAI.Context getDelegateCred() Entry
d com.ibm.issw.spnegoTAI.Context getDelegateCred() no puede obtener la credencial de delegación
< com.ibm.issw.spnegoTAI.Context getDelegateCred() Salir
W com.ibm.issw.spnegoTAI.SpnegoHandler handleRequest() SPNEGO021: No se han encontrado credenciales de delegación para el usuario: nauser@NA.IBM.NET
la cuenta de usuario a la que el SPN está conectado no tiene definida la propiedad de "cuenta de confianza para delegación".
Para corregir este problema, asegúrese de que la cuenta defina la propiedad de "cuenta de confianza para delegación".
Se solicitan las credenciales de un usuario aun cuando el navegador está bien configurado
< com.ibm.issw.spnegoTAI.SpnegoTAI getAuthenticatedUsername(): lansche Exit
d com.ibm.issw.spnegoTAI.SpnegoTAI negotiateValidateandEstablishTrust(): Reconocimiento finalizado, enviando 200 :SC_OK
< com.ibm.issw.spnegoTAI.SpnegoTAI negotiateAndValidateEstablishedTrust Salir
A SECJ0222E: Se ha producido una excepción inesperada al intentar crear un contexto LoginContext. El alias de LoginModule es system.WEB_INBOUND
y la excepción es...
- El registro utilizado por WebSphere no es el dominio Active Directory LDAP, o el catálogo global, sino que es un registro virtual (por ejemplo, un registro de usuarios personalizado basado en archivos).
- Una implementación personalizada de IClientToServerUseridMapper modifica el nombre de usuario de tal modo que el nombre correlacionado no existe en el registro.
- El atributo correlacionado por la propiedad de filtro de usuario LDAP de WebSphere no es correcto.
Para corregir este problema, asegúrese de que el usuario que se confirma ante WebSphere Application Server a través del TAI esté configurado en el registro de WebSphere.
Un usuario que utiliza el cliente Novell no puede autenticarse mediante SPNEGO
Si un usuario que utiliza el cliente Novell no puede autenticarse mediante SPNEGO, es posible que reciba un mensaje que indique "Se ha recibido una señal NTLM" .
Es posible que el usuario haya iniciado sesión en el cliente Novell, pero que no haya realizado el inicio de sesión Kerberos de Windows (esto puede confirmarse mediante el programa de utilidad Kerbtray). Si un usuario ha iniciado sesión en el dominio Windows y tiene un tíquet de Kerberos, el usuario no puede utilizar la autenticación de SPNEGO.
Para corregir este problema, elimine el cliente Novell y utilice el inicio de sesión del dominio Windows predeterminado.
El acceso a sitios SPNEGO a través de servidores proxy puede dar lugar a problemas de autenticación SPNEGO
Si accede a sitios SPNEGO a través de algún servidor proxy de almacenamiento en memoria caché, es posible que no pueda autenticarse mediante SPNEGO. Es posible que aparezca el mensaje "La autenticación SPNEGO no se admite en este cliente".
Es posible que el proxy de almacenamiento en memoria caché esté cambiando el nombre de host que devuelve en la respuesta de negociación de autenticación HTTP 401.
Si tiene este problema, póngase en contacto con el proveedor del proxy para una posible solución.
El software de VPN (red privada virtual) y los cortafuegos pueden interferir con operaciones SPNEGO
Es posible que experimente algún problema con software VPN y cortafuegos que interfieran con las operaciones SPNEGO.
Para solucionar estos problemas, póngase en contacto con los proveedores de VPN y del cortafuegos para saber si es necesario realizar algún cambio en la configuración.
Posible problema del navegador al acceder a una aplicación protegida con SPNEGO
Es posible que experimente un problema con el navegador si inicia sesión en una máquina de dominio utilizando una contraseña (por ejemplo, contraseñaA) y luego inicia sesión en otra máquina de dominio cambiando la contraseña original (por ejemplo, puede cambiar la contraseña a la segunda máquina de dominio por contraseñaB).
Cuando regrese a la máquina del dominio original, es posible que no pueda obtener una respuesta SPNEGO/Kerberos o NTLM para la identificación de negociación. Tras dos intentos, el navegador muestra un mensaje de error HTTP 404.
Para resolver este problema, cierre la sesión en la máquina de dominio original y vuelva a iniciar sesión con la nueva contraseña (contraseñaB).
Posible problema del navegador con Internet Explorer 6.0
Cuando WebSphere Application Server está configurado con SPNEGO y la reserva está habilitada para una solicitud, es posible que Internet Explorer 6.0 no pueda iniciar sesión en las páginas de inicio de sesión con formulario.
- En el panel Permitir el repliegue en el mecanismo de autenticación de la aplicación si está seleccionada. , deseleccione la opción
- Actualice a Internet Explorer Versión 7.0
- Configure Internet Explorer Versión 6.0 para que utilice una página de autenticación diferente. El problema es con la autenticación básica frente a la preferencia de autenticación de inicio de sesión de formulario.
Las páginas de error definidas para las propiedades NTLMTokenReceivedPage o SpnegoNotSupportedPage se cargan desde un URL de tipo http://
No se ha podido cargar el contenido no soportado de SPNEGO,
se devuelve el contenido predeterminado.
Excepción recibida: java.net.ProtocolException: El servidor se ha redireccionado demasiadas veces (20)
Este problema se produce cuando el archivo cargado realiza una redirección automática. No es posible cargar el archivo desde un servidor web y también utilizar una redirección automática
Para resolver este problema, cargue el contenido desde un URL de tipo file:///, no desde un URL de tipo http://.
Error de autenticación en un inicio de sesión único (SSO) de un navegador de cliente
Se puede producir un error cuando un intento de inicio de sesión único (SSO) de navegador de cliente no puede autenticarse con WebSphere Application Server cuando se utiliza una señal de SPNEGO con Microsoft Internet Security Acceleration Server
com.ibm.ws.security.spnego.SpnegoHandler isAuthHeaderNotSPNEGO
ENTRY Negotiate
com.ibm.ws.security.spnego.SpnegoHandler isAuthHeaderNotSPNEGO
El cliente ha devuelto una cabecera de autenticación que no es SPNEGO
Cuando hay un ISA (Microsoft Internet Security Acceleration Server) entre un navegador de cliente y WebSphere Application Server, el ISA puede interceptar la cabecera de autenticación de SPNEGO desde la solicitud de navegador del cliente. ISA convierte el identificador de objeto SPNEGO (OID) en un OID Kerberos. El intento de autenticación con WebSphere Application Server falla porque el OID de SPNEGO se ha convertido y ahora falta.
Para obtener más información acerca de cómo solucionar este problema, consulte el tema "Los usuarios no pueden acceder a un sitio web que se publica en ISA Server 2006 si el sitio web sólo acepta el paquete de autenticación SPNEGO" en el sitio de soporte de Microsoft Corporation.
Microsoft Windows Versión 7 e Internet Explorer Versión 8 inhabilita el tipo de cifrado DES de forma predeterminada
El cliente ha devuelto una cabecera de autenticación que no es SPNEGO....
Se recomienda cambiar el tipo de cifrado a RC4-HMAC o AES. Sin embargo, si todavía elige utilizar el tipo de cifrado DES, debe consultar la documentación de Windows 7 para obtener ayuda sobre cómo habilitar el tipo de cifrado DES.
A continuación, se muestra un ejemplo de cómo cambiar el tipo de cifrado de DES a RC4:
- Asegúrese de que la cuenta de Active Directory de Microsoft
que se utiliza para correlacionar con el SPN no tiene el recuadro de selección
Utilizar el tipo de cifrado DES para esta cuenta. En la máquina de Microsoft Active Directory:
- Pulse .
- Pulse en la cuenta de Microsoft Active Directory que utiliza para correlacionar con el SPN.
- Seleccione la cuenta y, a continuación, asegúrese de que el recuadro Utilizar tipo de cifrado DES para esta cuenta no esté seleccionado.
- Restablezca la contraseña para la cuenta de Microsoft Active Directory que utiliza para correlacionar con el SPN. Puede restablecerla con la misma contraseña.
- Vuelva a generar la tabla de claves con el tipo de cifrado RC4.
- Copie el nuevo archivo de tabla de claves en los servidores WebSphere Application Server.
- Actualice los archivos de configuración de Kerberos (krb5.ini/krb5.conf) de forma que aparezca primero RC4 en los atributos default_tkt_enctypes y default_tgs_enctypes.Por ejemplo:.
default_tkt_enctypes = rc4-hmac des-cbc-md5 default_tgs_enctypes = rc4-hmac des-cbc-md5
- Detenga y reinicie todos los servidores de WebSphere Application Server.
Establecimiento de una política sin restricciones y utilización posterior de un cifrado AES256
- Detenga el servidor de aplicaciones.
- Bájese e instale los nuevos archivos de políticas. Importante: Es posible que su país de origen tenga restricciones sobre la importación, posesión, utilización o reexportación a otro país de software de cifrado. Antes de descargar o utilizar los archivos de política sin restricciones, debe comprobar la legislación de su país,su normativa y las políticas relativas a la importación, posesión, utilización y reexportación de software de cifrado a fin de garantizar su cumplimiento.
- Pulse en el nivel SDK adecuado.
- Desplácese hacia la página y, a continuación, pulse IBM SDK policy files (Archivos de políticas de IBM SDK). Aparecen los archivos de políticas JCE sin restricciones para el sitio web de SDK.
- Pulse Iniciar sesión y proporcione el ID y contraseña de IBM.com.
- Seleccione Archivos de políticas JCE sin restricciones y pulse Continuar.
- Lea la licencia y pulse I Agree (Estoy de acuerdo) para continuar.
- Extraiga los archivos de políticas de jurisdicción sin limitaciones que están empaquetados en el archivo ZIP. El archivo ZIP contiene un archivo US_export_policy.jar y un archivo local_policy.jar.
- En la instalación de WebSphere Application Server, vaya al directorio $JAVA_HOME/lib/security y realice una copia de seguridad de los archivos US_export_policy.jar y local_policy.jar existentes.
- Sustituya los archivos US_export_policy.jar y local_policy.jar por dos de los archivos que haya descargado del sitio web IBM.com.
Nota: Realice una copia de seguridad antes de sustituir estos archivos. Un ejemplo de una vía de acceso que se utilizaría es WAS_Install/java/jre/lib/security . - Inicie el servidor de aplicaciones.