Adición o modificación de filtros de autenticación Web SPNEGO mediante la consola administrativa
Los valores de filtro del mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlan distintos aspectos de SPNEGO. Puede especificar valores de filtro diferentes para cada servidor de aplicaciones mediante el uso de la consola administrativa.
Procedimiento
- En la consola administrativa, pulse Seguridad > Seguridad global.
- En Autenticación, expanda Seguridad Web y SIP y pulse Autenticación Web SPNEGO.
- En Filtros SPNEGO, seleccione un nombre de host existente para editarlo o pulse Nuevo.
- Escriba un nombre de host de WebSphere Application Server si crea un nuevo filtro. Es el nombre de host del nombre principal del servicio (SPN) de Kerberos que utiliza SPNEGO para establecer un contexto seguro de Kerberos.
- Escriba un nombre de reino Kerberos. En la mayoría de los casos, el reino es el nombre de dominio en letras mayúsculas. Por ejemplo, una máquina con el nombre de dominio test.austin.ibm.com normalmente tendrá el nombre de reino Kerberos AUSTIN.IBM.COM
- Entre criterios de filtro en el campo Criterios de filtro. Los criterios de filtro son el parámetro de filtrado utilizado por
la clase
Java™
utilizada por SPNEGO. Define el criterio arbitrario que tiene sentido para la clase de implementación utilizada.
Consulte Habilitación y configuración de la autenticación Web SPNEGO mediante la consola administrativa para obtener más información sobre los criterios de filtro.
- En el campo Clase de filtro, escriba el nombre de la clase Java utilizada por SPNEGO para seleccionar qué solicitudes HTTP están sujetas a la autenticación SPNEGO. Si no especifica este parámetro, se utiliza la clase de filtro por omisión com.ibm.ws.security.spnego.HTTPHeaderFilter.
- Opcional: En el campo URL de página de error no soportada para SPNEGO puede especificar opcionalmente el URL de un recurso que incluya el contenido que SPNEGO incluye en la respuesta HTTP mostrada por la aplicación cliente (navegador) si esta no soporta la autenticación SPNEGO. Esta propiedad puede especificar un recurso web (http://) o un recurso de archivo (archivo://).
- Opcional: En el campo URL de página de error
recibido por la señal NTLM puede especificar opcionalmente el
URL de un recurso que incluya el contenido que SPNEGO incluye en
la respuesta HTTP, mostrada por la aplicación cliente
(navegador). La aplicación cliente (navegador) muestra esta respuesta HTTP cuando el cliente de
navegador envía una señal de gestor de LAN NT (NTLM) en lugar de la señal de
SPNEGO esperada durante el reconocimiento de respuesta-desafío.
Esta propiedad puede especificar un recurso web (http://) o un recurso de archivo (archivo://).
- Opcional: Seleccione Recortar dominio de Kerberos de nombre principal para especificar si SPNEGO debe eliminar el sufijo del nombre de usuario principal, a partir del símbolo @ que precede el nombre de dominio de Kerberos. Si se selecciona esta opción, se elimina el sufijo del nombre de usuario principal. Si no se selecciona este atributo, se conserva el sufijo del nombre principal. El valor predeterminado es la selección de esta opción.
- Opcional: Seleccione Habilitar delegación de credenciales de Kerberos para indicar si
SPNEGO debe almacenar las credenciales delegadas de Kerberos. Esta opción también permite que una aplicación recupere las credenciales almacenadas y
las propague a otras aplicaciones en sentido descendente para la autenticación
SPNEGO adicional.
Nota: Si esta opción está habilitada (lo está de forma predeterminada), GSSCredential no es serializable y no puede propagar al servidor en sentido descendente. Se crea la credencial de delegación Kerberos de cliente y se crea la base KRBAuthnToken. KRBAuthnToken contiene la delegación Kerberos de cliente y puede propagarse a un servidor en sentido descendente.
Si desea propagar KRBAuthnToken a un servidor en sentido descendente, el TGT (Ticket Granting Ticket) del cliente debe contener opciones sin direcciones y que pueden reenviarse. Si un TGT de cliente tiene una dirección, el servidor en sentido descendente no tiene una credencial de delegación GSS después de propagarse.
Puede extraer la delegación de cliente GSSCredential de KRBAuthnToken utilizando el método KRBAuthnToken.getGSSCredential().
- Pulse Aceptar.
Resultados


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_filter
File name: tsec_SPNEGO_add_filter.html