Cuando utiliza el interceptor de asociación de confianza (TAI) de SPNEGO
(Simple and Protected GSS-API Negotiation Mechanism) para la autenticación y desea
utilizar el nombre de host de alias como nombre de host para el servidor de aplicaciones,
debe configurar una propiedad personalizada para resolver el nombre de host de alias en
el nombre de host real para el inicio de sesión único de SPNEGO.
A continuación, puede añadir o modificar dinámicamente un nombre de alias en el DNS sin cambiar la configuración del servidor de aplicaciones. Si habilita esta propiedad
personalizada, ya no necesitará establecer los nombres de host de alias a través de la
configuración de SPNEGO.
Acerca de esta tarea
El servidor de aplicaciones realizará una búsqueda DNS cuando entra una
solicitud HTTP y, si el nombre de host de alias se resuelve como un nombre de host que ya
está configurado para el inicio de sesión único de SPNEGO, el servidor de aplicaciones
continuará con el proceso. Normalmente no es necesario agregar un nombre de host de alias
a una cuenta de SPNEGO.
Procedimiento
- Defina el nombre de host real de la variable
com.ibm.ws.security.spnego.SPNx.hostName.
- En la consola de administración, pulse
- Añada o modifique la variable com.ibm.ws.security.spnego.SPNx.hostName. Por ejemplo:
- Name
- com.ibm.ws.security.spnego.SPNx.hostName
- Valor
- nombre_host_real
Esta propiedad personalizada especifica el nombre de host real en el que el servidor de aplicaciones puede
resolver un nombre de host de alias para el inicio de sesión único de SPNEGO. Posteriormente puede agregar o
modificar dinámicamente un nombre de alias en el DNS sin cambiar la configuración del servidor de
aplicaciones.
Puede definir opcionalmente el nombre de host de alias, pero solo es necesario definir el nombre de host
real. El servidor de aplicaciones resuelve el nombre de host de alias en el nombre de host real al recibir la
solicitud HTTP.
- Active el distintivo de soporte canónico.
- En la consola administrativa, pulse
- Añada o modifique la variable com.ibm.websphere.security.krb.canonical_host y
establézcala en "true".
- Name
- com.ibm.websphere.security.krb.canonical_host
- Valor
- true
Esta propiedad personalizada especifica si el servidor de aplicaciones utiliza la forma canónica del
nombre de host URL/HTTP al autenticar un cliente. Si establece esta propiedad personalizada en
false, un tíquet Kerberos puede contener un nombre de host que difiere de la cabecera de
nombre de host HTTP y el servidor de aplicaciones puede emitir el mensaje siguiente:
CWSPN0011E: Se ha encontrado una señal SPNEGO no válido al autenticar una
HttpServletRequest
Si establece esta propiedad personalizada en true, puede evitar este mensaje de error, y permitir al servidor de aplicaciones que se autentique mediante el formato canónico de URL/nombre de host HTTP.
- Configure el navegador. En el navegador de la máquina cliente, el nombre de host de alias debe configurarse
como un host de confianza.
- En Internet Explorer:
- Seleccione .
- Seleccione la pestaña Seguridad.
- Pulse
- Agregue el nombre de host de alias en este panel.
- En Mozilla Firefox:
- Escriba About:config en la barra de direcciones y pulse INTRO
para acceder a las opciones de configuración.
- Busque el nombre de preferencia
network.negotiate-auth.trusted-uris, pulse con el botón derecho
del ratón en la preferencia y seleccione Modificar.
Si no tiene esta preferencia, pulse con el botón derecho dentro del panel y seleccione
.
- Añada nombres de host de alias en el recuadro de texto, separando los nombres de host
por una coma.
- Asegúrese de que el nombre de host real se añade al archivo de tabla de claves.
config: Puede configurar el archivo de tabla de claves de dos maneras:
- Si com.ibm.websphere.security.krb.canonical_host se establece en "true", el servidor
de aplicaciones espera que el nombre de host real esté en los archivos de tablas de
claves. Los alias no son necesarios.
- Si com.ibm.websphere.security.krb.canonical_host se establece en false y se definen
los alias, los alias tienen que estar presentes en el archivo de tabla de claves.