Configuración de propiedades personalizadas de TAI SPNEGO (obsoleto)
Las propiedades de configuración personalizados del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation) TAI (Trust Associations Interceptor) controlan los diferentes aspectos operativos de SPNEGO TAI. Puede especificar diferentes valores de propiedad para cada servidor de aplicaciones.

En WebSphere Application Server Versión 6.1 se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para los recursos protegidos. En WebSphere Application Server 7.0, esta función está en desuso. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y para habilitar la recuperación para el método de inicio de sesión de la aplicación.
depfeatCada una de las propiedades definidas en la tabla siguiente se especifica en el panel de propiedades personalizadas de SPNEGO TAI utilizando el recurso de la consola administrativa. Para mayor comodidad, puede colocar opcionalmente estas propiedades en un archivo de propiedades. En este caso, SPNEGO TAI carga las propiedades de configuración desde el archivo, en lugar desde la definición del panel de propiedades personalizadas. Consulte la propiedad com.ibm.ws.security.spnego.propertyReloadFile como se ha definido en Propiedades personalizadas de configuración de la JVM de SPNEGO TAI (obsoleto).
Para asignar nombres de propiedades exclusivos que identifiquen cada SPN posible, se incorpora un SPN<id> en el nombre de propiedad y se utiliza para agrupar las propiedades asociadas a cada SPN. Los SPN<id> están numerados de forma secuencial para cada grupo de propiedades.
Nombre de propiedad | Required | Valor por omisión |
---|---|---|
com.ibm.ws.security.spnego.SPN<id>.enableCredDelegate | No | false |
com.ibm.ws.security.spnego.SPN<id>.filter | No | Consulte la descripción siguiente. |
com.ibm.ws.security.spnego.SPN<id>.filterClass | No | Consulte la descripción siguiente. |
com.ibm.ws.security.spnego.SPN<id>.hostName | Sí | Ninguno |
com.ibm.ws.security.spnego.SPN<id>.NTLMTokenReceivedPage | No | Consulte la descripción siguiente. |
com.ibm.ws.security.spnego.SPN<id>.spnegoNotSupportedPage | No | Consulte la descripción siguiente. |
com.ibm.ws.security.spnego.SPN<id>.trimUserName | No | true |
- Adición de propiedades de SPNEGO TAI mediante el programa de utilidad wsadmin (en desuso)
- Supresión de propiedades de SPNEGO TAI mediante el programa de utilidad wsadmin (en desuso)
- Modificación de las propiedades de SPNEGO TAI mediante el programa de utilidad wsadmin (en desuso)
- Visualización de propiedades de SPNEGO TAI mediante el programa de utilidad wsadmin (en desuso)
com.ibm.ws.security.spnego.SPN<id>.enableCredDelegate
Esta propiedad es opcional. Indica si las credenciales delegadas de Kerberos se almacenan por medio de SPNEGO TAI. Esta propiedad permite que una aplicación recupere las credenciales almacenadas y las propague a otras aplicaciones en sentido descendente para la autenticación SPNEGO adicional.
Esta propiedad requiere el uso de la función de delegación de credenciales de Kerberos avanzada y requiere el desarrollo de lógica personalizada por parte del desarrollador de aplicaciones. El desarrollador debe interactuar directamente con TGS (Ticket Granting Service) de Kerberos para obtener un TGT (Ticket Granting Ticket) utilizando las credenciales delegadas de Kerberos en nombre del usuario final que ha originado la solicitud. El desarrollador debe construir también la señal SPNEGO de Kerberos apropiada e incluirla en la solicitud HTTP para continuar el proceso de autenticación SPNEGO en sentido descendente incluido el intercambio adicional de respuestas y desafíos de SPNEGO, si es necesario.
com.ibm.ws.security.spnego.SPN<id>.filter
Esta propiedad es opcional. Define el criterio de filtro que utiliza la clase especificada con la propiedad com.ibm.ws.security.spnego.SPN<id>.filterClass. Define el criterio arbitrario que tiene sentido para la clase de implementación utilizada.
La clase de implementación com.ibm.ws.security.spnego.HTTPHeaderFilter por omisión utiliza esta propiedad para definir una lista de normas de selección que representa las condiciones que se hacen coincidir con las cabeceras de las peticiones HTTP para determinar si la petición se ha seleccionado o no para la autenticación SPNEGO.
Cada condición se especifica con un par de clave y valor, separadas entres sí por un signo de punto y coma. Las condiciones se evalúan de izquierda a derecha, a medida que se muestran en la propiedad especificada. Si se cumplen todas las condiciones, se selecciona la solicitud HTTP para la autenticación SPNEGO.
La clave y el valor del par de clave y valor se separan mediante un operador que define la condición que se ha seleccionado. La clave identifica una cabecera de solicitud HTTP para extraerla de la solicitud y comparar su valor con el valor especificado en el par de clave y valor según la especificación del operador. Si la cabecera identificada mediante la clave no está presente en la solicitud HTTP, se considera que no se cumple con la condición.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
Condición | Operador | Ejemplo |
---|---|---|
Coincidencia exacta | = = Los argumentos se comparan como iguales. |
host=host.my.company.com |
Coincidencia parcial (inclusiones) | %= Los argumentos se comparan con una coincidencia parcial que es válida. |
user-agent%=IE 6 |
Coincidencia parcial (incluye una de muchas) | ^= Los argumentos se comparan con una coincidencia parcial que es válida para uno de los muchos argumentos especificados. |
request-url^=webApp1|webApp2|webApp3 |
Sin coincidencia | != Los argumentos se comparan como no iguales. |
request-url!=noSPNEGO |
Mayor que | > Los argumentos se comparan lexográficamente como mayor que. |
remote-address>192.168.255.130 |
Menor que | < Los argumentos se comparan lexográficamente como menor que. |
remote-address<192.168.255.135 |
com.ibm.ws.security.spnego.SPN<id>.filterClass
Esta propiedad es opcional. Especifica el nombre de la clase Java que utiliza SPNEGO TAI para seleccionar las solicitudes HTTP que están sometidas a la autenticación SPNEGO.
Si no se especifica la clase, se utiliza la clase de implementación com.ibm.ws.security.spnego.HTTPHeaderFilter por omisión. La clase Java que se especifica debe implementar la interfaz com.ibm.wsspi.security.spnego.SpnegoFilter. Se proporciona una implementación por omisión de esta interfaz. Especifique la clase com.ibm.ws.security.spnego.HTTPHeaderFilter para utilizar la implementación por omisión. Esta clase utiliza las normas de selección especificadas con la propiedad com.ibm.ws.security.spnego.SPN<id>.filter.
com.ibm.ws.security.spnego.SPN<id>.hostName
Esta propiedad es obligatoria. Especifica el nombre de host del SPN utilizado por SPNEGO TAI para establecer un contexto Kerberos seguro. No tiene valor predeterminado.
com.ibm.ws.security.spnego.SPN<id>.NTLMTokenReceivedPage
Esta propiedad es opcional. Especifica la dirección web de un recurso que contiene el contenido que SPNEGO TAI incluye en la respuesta HTTP que la aplicación de cliente (el navegador) muestra cuando el reconocimiento de comunicación y de desafío y respuesta contiene una señal NTLM (NT LAN Manager) en lugar de una señal SPNEGO.
<html><head><title>Se ha recibido una señal NTLM.</title></head>
<body>La configuración del navegador es correcta pero no ha iniciado la sesión en un dominio
Microsoft(R) Windows(R) Domain soportado.
<p>Inicie la sesión en la aplicación utilizando la página de inicio de sesión normal.</html>
com.ibm.ws.security.spnego.SPN<id>.spnegoNotSupportedPage
Esta propiedad es opcional. Especifica el web de un recurso que incluye el contenido que SPNEGO incluye en la respuesta HTTP que es visualizada por la aplicación cliente (navegador) si no soporta la autenticación SPNEGO. Puede especificar un recurso Web (http://) o un recurso de archivo (archivo://).
<html><head><title>No se da soporte a la autenticación SPNEGO</title></head>
<body>La autenticación SPNEGO no está soportada en este cliente</body></html>;
com.ibm.ws.security.spnego.SPN<id>.trimUserName
Esta propiedad es opcional. Especifica si el SPNEGO TAI va a eliminar (true) o no (false) el sufijo del nombre de usuario del principal, que empieza en el "@" que precede al nombre del reino de Kerberos.
Si esta propiedad se establece en true, se suprime el sufijo del nombre de usuario principal. Si esta propiedad se establece en false, el sufijo del nombre de principal se retiene. El valor predeterminado utilizado es true.Por ejemplo,
bobsmith@myKerberosRealm pasa a ser bobsmith
bobsmith@myKerberosRealm continúa siendo bobsmith@myKerberosRealm