Modificación de las propiedades de SPNEGO TAI mediante el programa de utilidad wsadmin (en desuso)

El programa de utilidad wsadmin se utiliza para modificar las propiedades de la configuración del interceptor de asociación de confianza (TAI) del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para WebSphere Application Server.

Acerca de esta tarea

Deprecated feature Deprecated feature:

En WebSphere Application Server Versión 6.1 se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para los recursos protegidos. En WebSphere Application Server 7.0, esta función está en desuso. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y para habilitar la recuperación para el método de inicio de sesión de la aplicación.

depfeat

Compruebe que los navegadores de escritorio del usuario final se hayan configurado para dar soporte a la autenticación SPNEGO, que SPNEGO TAI se haya habilitado, que esté establecida la propiedad JVM (Java™ Virtual Machine) y que WebSphere Application Server se haya configurado para habilitar el funcionamiento de SPNEGO TAI.

Utilice el programa de utilidad wsadmin para configurar SPNEGO TAI para WebSphere Application Server:

Procedimiento

  1. Inicie WebSphere Application Server.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Inicie el programa de utilidad de la línea de mandatos ejecutando el mandato wsadmin desde el directorio raíz_servidor_aplicaciones/bin.
  3. [IBM i]Inicie el programa de utilidad de la línea de mandatos ejecutando el mandato wsadmin desde el directorio raíz_servidor_apl/bin desde la línea de mandatos de Qshell.
  4. En el indicador de mandatos wsadmin, escriba el mandato siguiente:
    $AdminTask modifySpnegoTAIProperties
    Puede utilizar los parámetros siguientes con este mandato:
    Opción Descripción
    <spnId> Este parámetro es obligatorio. Es el identificador SPN para el grupo de propiedades personalizadas que se van a definir con este mandato.
    <host> Este parámetro es opcional. Especifica la parte del nombre de host en el SPN utilizado por el SPNEGO TAI para establecer un contexto seguro de Kerberos.
    <filter> Este parámetro es opcional. Define los criterios de filtro utilizados por la clase especificada con el atributo anterior.
    <filterClass> Este parámetro es opcional. Especifica el nombre de la clase Java utilizada por SPNEGO TAI para seleccionar las solicitudes HTTP que serán objeto de la autenticación SPNEGO. Si no se especifica ninguna clase, todas las solicitudes HTTP estarán sujetas a la autenticación SPNEGO.
    <noSpnegoPage> Este parámetro es opcional. Especifica el URL de un recurso que contiene el contenido del SPNEGO TAI y que se incluirá en una respuesta HTTP para que sea visualizado por la aplicación cliente (navegador), si no soporta la autenticación de SPNEGO.
    Si no especifica el atributo noSpnegoPage, se utiliza el valor predeterminado:
    "<html><head><title>La autenticación SPNEGO 
    no está soportada.
    </title></head>" +
    "<body> La autenticación SPNEGO no 
    está soportada en este cliente.
    </body></html>";
    <ntlmTokenPage> Este parámetro es opcional. El parámetro ntlmTokenPage especifica el URL de un recurso que contiene el contenido del SPNEGO TAI y que se incluirá en una respuesta HTTP que va a visualizar la aplicación cliente (navegador). La aplicación cliente (navegador) muestra esta respuesta HTTP cuando el cliente del navegador envía una señal de gestor de LAN NT (NTLM) en lugar de la señal de SPNEGO esperada durante el reconocimiento de comunicación.
    Si no especifica el atributo ntlmTokenPage, se utiliza el valor predeterminado:
    "<html><head><title>Se ha recibido una 
    señal NTLM.</title></head>"
    + "<body>La configuración del navegador
    es correcta, pero no ha iniciado
    la sesión en un dominio de
    Windows 
    soportado."
    + "<p>Inicie una sesión en la aplicación
    utilizando la página de inicio de sesión normal.</html>";
    <trimUserName> Este parámetro es opcional. Especifica si el SPNEGO TAI va a eliminar (true) o no (false) el sufijo del nombre de usuario del principal, que empieza en el "@" que precede al nombre del reino de Kerberos. Si este atributo se establece en true, el sufijo del nombre de usuario del principal se eliminará. Si este atributo se establece en false, el sufijo del nombre del principal se conservará. El valor por omisión utilizado es true.

Resultados

Las propiedades de SPNEGO TAI se modifican para este WebSphere Application Server.

Ejemplo

Ejemplo 1
En el ejemplo siguiente se configura el SPNEGO TAI para interceptar solicitudes HTTP que contienen IE 6 en la cabecera de la solicitud del agente de usuario. El SPNEGO TAI utiliza el SPN de HTTP/myhost.ibm.com@<reino_por_omisión> para autenticar el originador de solicitud. El ejemplo modifica el valor de la propiedad personalizada del filtro que fue definida y la modifica de user-agent%=IE 6 a host==myhost.company.com.
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6
$AdminTask modifySpnegoTAIProperties -spnId 1 -filter host==myhost.company.com
Ejemplo 2
Éste es un ejemplo de la modificación de las propiedades del SPNEGO TAI para SPN1 con objeto de añadir un filtro para el host, central01.austin.ibm.com.
wsadmin>$AdminTask modifySpnegoTAIProperties -interactive
Modificar propiedades del SPNEGO TAI

Modificar las propiedades de la configuración del SPNEGO TAI 

*Identificador del nombre principal del servicio (spnId): 1
Nombre de host en el nombre principal del servicio (host): central01.austin.ibm.com
Norma de filtro de la cabecera HTTP: request-url!=noSPNEGO;request-url%=snoop
Nombre de clase utilizada para filtrar las solicitudes HTTP (filterClass):
Respuesta de navegador SPNEGO no soportada (noSpnegoPage):
Respuesta de navegador recibida con símbolo NTLM (ntlmTokenPage):
Recortar la respuesta del navegador del nombre de usuario (trimUserName):

Modificar propiedades del SPNEGO TAI

F (Finalizar)
C (Cancelar)

Seleccione [F, C]: [F] f
WASX7278I: Línea de mandatos generada: $AdminTask modifySpnegoTAIProperties {-spnId
1 -host w2003secdev.austin.ibm.com -filter request-url!=noSPNEGO;request-url%=sn
oop}
com.ibm.ws.security.spnego.SPN1.filter=request-url!=noSPNEGO;request-url%=snoop
com.ibm.ws.security.spnego.SPN1.hostName=central01.austin.ibm.com
wsadmin>

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_mod_wsadmin
File name: tsec_SPNEGO_mod_wsadmin.html