Capacidad de inicio de sesión único con el SPNEGO TAI - lista de comprobación (obsoleto)

WebSphere Application Server proporciona un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar de forma segura y autenticar solicitudes HTTP para los recursos seguros de WebSphere Application Server. Para desplegar y utilizar el SPNEGO TAI, tendrá que examinar la instalación y decidir cuál es el mejor método para configurar el SPNEGO TAI.

Deprecated feature Deprecated feature:

En WebSphere Application Server Versión 6.1 se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para los recursos protegidos. En WebSphere Application Server 7.0, esta función está en desuso. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y para habilitar la recuperación para el método de inicio de sesión de la aplicación.

depfeat
LTPA (Lightweight Third Party Authentication) es el mecanismo de autenticación por omisión para WebSphere Application Server. Sin embargo, puede que sea necesario configurar LTPA antes de configurar SPNEGO TAI. LTPA es el mecanismo de autenticación necesario para todos los interceptores de asociación de confianza. Puede configurar LPTA pulsando Seguridad > Seguridad global > Mecanismos de autenticación y caducidad.
Nota: Cuando se configura SPNETO TAI, habilitar SSO (Single Sign-on) para la seguridad Web es opcional. Para obtener más información, consulte el apartado Implementación del inicio de sesión único para minimizar las autenticaciones de usuario web.
Responda las preguntas siguientes para establecer cómo se despliega el SPNEGO TAI.
  1. ¿Cuáles son los criterios para interceptar solicitudes HTTP?

    Debe decidir si el despliegue del SPNEGO TAI utilizará la clase HTTPHeaderFilter como la clase por omisión. Si utiliza esta clase, debe especificar las propiedades exactas del filtro para esta clase. El comportamiento por omisión del SPNEGO TAI es utilizar la clase com.ibm.ws.spnego.HTTPHeaderFilter para interceptar todas las solicitudes.

    Si no utiliza la clase de ejemplo com.ibm.ws.spnego.HTTPHeaderFilter, debe definir una clase nueva que implemente la interfaz com.ibm.wsspi.security.spnego.SpnegoTAIFilter.

    Puede decidir controlar más qué solicitudes HTTP son interceptadas utilizando la interfaz SPI (Service Provider Interface) Filtrado de solicitudes HTTP para SPNEGO TAI (en desuso)

    Consulte Configuración de propiedades personalizadas de TAI SPNEGO (obsoleto) si desea descripciones de
    • com.ibm.ws.security.spnego.SPN<id>.filterClass
    • com.ibm.ws.security.spnego.SPN<id>.filter
  2. ¿Se va a utilizar la correlación de ID de usuario? Si no se va utilizar, ¿por qué no?

    WebSphere Application Server le permite definir o desarrollar un módulo de inicio de sesión personalizado para correlacionar los ID de usuario. Consulte Correlación del nombre principal del cliente Kerberos con el ID del registro de usuarios de WebSphere para SPNEGO TAI (en desuso) si desea más información sobre cómo realizar esta correlación.

    Debe decidir, antes de desplegar el TAI, si va a utilizar o no este módulo de inicio de sesión personalizado para realizar la correlación de identidades del SPNEGO TAI.

  3. ¿Qué tipo de cifrado se va a utilizar para procesar las señales SPNEGO?
    Microsoft Windows Active Directory soporta dos tipos diferentes de cifrado de Kerberos: RC4-HMAC y DES-CBC-MD5. La biblioteca de IBM® Java™ Generic Security Service (JGSS), y la biblioteca SPNEGO, soporta ambos tipos de cifrado.
    Restricción: El cifrado RC4-HMAC sólo está soportado con un centro de distribución de claves (KDC) de Windows 2003 Server.
  4. ¿Cómo manejará la delegación de credenciales?

    Kerberos soporta la delegación de credenciales. Un servidor que recibe las credenciales de Kerberos procedentes de un cliente puede hacerse pasar por dicho cliente para los demás servidores utilizando las credenciales delegadas. Puesto que las señales del SPNEGO TAI se han derivado de una credencial Kerberos, un servidor que recibe credenciales Kerberos dentro de una señal SPNEGO puede utilizar dichas credenciales Kerberos para hacerse pasar por el usuario original. Este servidor puede interactuar utilizando SPNEGO sobre HTTP como un cliente SPNEGO con otros servidores SPNEGO creando una cabecera correcta de autorización HTTP.

  5. ¿Se desplegará el SPNEGO TAI en un entorno de dominio de DNS (servicios de nombres de dominio) único o múltiple?

    Los navegadores Web que se ejecutan en Windows son sensibles a los dominios DNS. Sólo envían una señal SPNEGO si el nombre de host de destino identifica un nombre de host definido en el dominio DNS de la máquina cliente. Puede utilizar la redirección HTTP para dar soporte a esta configuración con la creación de un pseudo nombre principal de servicio (SPN) de Kerberos en cada dominio DNS. Todos los SPN que soporta WebSphere Application Server deben tener sus claves secretas disponibles en los archivos keytab de Kerberos. Para habilitar un inicio de sesión único entre varios dominios DNS, se genera un archivo de tabla de claves Kerberos independiente para cada SPN por dominio. Estos archivos de tabla de claves Kerberos individuales se deben fusionar antes para poder ser utilizados por WebSphere Application Server.

  6. ¿Con qué frecuenta los servidores de aplicaciones recargarán las propiedades del SPNEGO TAI?

    El SPNEGO TAI tiene un dispositivo opcional de recarga de propiedades que permite la recarga de propiedades TAI sin reiniciar la máquina virtual Java (JVM). Este dispositivo de recarga es controlado por las propiedades del sistema com.ibm.ws.security.spnego.propertyReloadFile y com.ibm.ws.security.spnego.propertyReloadTimeout. Estas propiedades conjuntamente permite que se recarguen las propiedades internas del SPNEGO TAI a partir de un archivo del sistema de archivos después de un determinado periodo de tiempo. Si el atributo com.ibm.ws.security.spnego.propertyReloadTimeout se establece en un valor entero válido y el atributo com.ibm.ws.security.spnego.propertyReloadFile indica un archivo del sistema de archivos, cada JVM recarga las propiedades del SPNEGO TAI a partir del archivo, una vez caducado el periodo de tiempo de espera. Además, las propiedades del SPNEGO TAI se recargan sólo si la fecha del archivo ha cambiado. Si estas propiedades de recarga no se han establecido, las propiedades del SPNEGO TAI sólo se cargan una vez, en la inicialización de JVM, a partir de las propiedades personalizadas del SPNEGO TAI que se han definido en los datos de configuración de WebSphere Application Server. Consulte Propiedades personalizadas de configuración de la JVM de SPNEGO TAI (obsoleto) si desea más información sobre estas propiedades de recarga.

El administrador (Web) de Windows Active Directory, el administrador de WebSphere Application Server y el equipo de aplicaciones revisan y contestan estas preguntas para determinar los mejores valores de despliegue y configuración para el SPNEGO TAI.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_tai_checklist
File name: rsec_SPNEGO_tai_checklist.html