Création d'une connexion unique pour les requêtes HTTP à l'aide de l'authentification Web SPNEGO

La création de connexions uniques pour les requêtes HTTP utilisant l'authentification Web SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour WebSphere Application Server requiert l'exécution de fonctions distinctes mais liées. Lorsque ces fonctions sont exécutées, les utilisateurs HTTP peuvent se connecter et s'authentifier sur le contrôleur de domaine Microsoft une seule fois depuis leur bureau et recevoir une authentification automatique WebSphere Application Server.

Avant de commencer

Remarque :

Dans WebSphere Application Server Version 6.1, un TAI (trust association interceptor) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP des ressources sécurisées a été ajouté. Cette fonction est obsolète depuis WebSphere Application Server Version 7.0. L'authentification Web SPNEGO fournit les améliorations suivantes :

  • Vous pouvez configurer et activer l'authentification Web SPNEGO et les filtres côté serveur sur WebSphere Application Server à l'aide de la console d'administration.
  • Le rechargement dynamique de SPNEGO est fourni sans qu'il soit nécessaire de démarrer ou redémarrer WebSphere Application Server.
  • La rétromigration d'une méthode de connexion d'application est fournie si l'authentification Web SPNEGO échoue.

Vous pouvez activer soit un intercepteur TAI SPNEGO soit l'authentification Web SPNEGO, mais pas les deux.

Reportez-vous à Connexion unique pour les demandes HTTP à l'aide de l'authentification Web SPNEGO pour mieux comprendre l'authentification Web SPNEGO et comment elle est prise en charge dans cette version de WebSphere Application Server.

Avant de démarrer cette tâche, vérifiez les points suivants :

  • [Windows]Un serveur Microsoft Windows Server exécutant le contrôleur de domaine Active Directory et le centre KDC (Kerberos Key Distribution Center) associé.
  • [Windows]Un membre du domaine Microsoft Windows (client), par exemple, un navigateur ou un client Microsoft .NET, qui prend en charge le mécanisme d'authentification SPNEGO, tel qu'il est défini dans IETF RFC 2478. Microsoft Internet Explorer Version 5.5 ou suivante et Mozilla Firefox Version 1.0 sont de tels clients.
    Important : Un contrôleur de domaine en cours d'exécution et au moins une machine client dans ce domaine sont requis. IL n'est pas possible d'utiliser SPNEGO directement à partir du contrôleur de domaine.
  • Le membre de domaine comporte des utilisateurs qui peuvent se connecter au domaine. Vous avez spécifiquement besoin du domaine Active Directory de Microsoft Windows qui inclut :
    • un contrôleur de domaine,
    • un poste de travail client,
    • des utilisateurs qui peuvent se connecter au poste de travail client.
  • Une plateforme de serveur avec WebSphere Application Server en cours d'exécution avec la sécurité d'application activée.
  • Les utilisateurs figurant dans Active Directory doivent pouvoir accéder aux ressources protégées de WebSphere Application Server en utilisant le mécanisme d'authentification natif de WebSphere Application Server.
  • L'heure locale pour le contrôleur de domaine et l'hôte de WebSphere Application Server doivent concorder.
  • Vérifiez que l'écart horaire sur les clients, Microsoft Active Directory et WebSphere Application Server ne dépasse pas 5 minutes.
  • Les navigateurs client doivent être activés pour SPNEGO, ce qui s'effectue sur la machine d'application client (détails fournis à la procédure 4 "Configurer l'application client sur la machine de l'application client").

Pourquoi et quand exécuter cette tâche

Cette configuration de la machine a pour objectif de permettre aux utilisateurs d'accéder aux ressources de WebSphere Application Server sans avoir à effectuer une nouvelle authentification et d'être par conséquent en mesure de profiter des capacités de connexion unique du bureau Microsoft Windows.

La configuration des membres de cet environnement en vue d'établir une connexion unique Microsoft Windows implique des activités spécifiques qui sont effectuées sur trois machines distinctes :
  • Un serveur Microsoft Windows server exécutant le contrôleur de domaine Active Directory et le centre KDC (Kerberos Key Distribution Center) associé.
  • Un membre du domaine (application client) Microsoft Windows, tel qu'un navigateur ou un client .NET Microsoft.
  • Une plateforme de serveur avec WebSphere Application Server en cours d'exécution.

Poursuivez avec les étapes suivantes pour créer une connexion unique pour les requêtes HTTP à l'aide de l'authentification Web SPNEGO :

Procédure

  1. Créez un nom de principal de service Kerberos et d'un fichier de clés sur votre machine de contrôleur de domaine Microsoft
    1. Vous devez configurer votre machine de contrôleur de domaine pour créer des connexions uniques pour les requêtes HTTP à l'aide de l'authentification Web SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour WebSphere® Application Server. Configurez le serveur Microsoft Windows Server exécutant le contrôleur de domaine Active Directory et le centre KDC (Kerberos Key Distribution Center) associé. Pour plus d'informations, consultez la rubrique Configuration de votre machine de contrôleur de domaine pour créer des connexions uniques pour les requêtes HTTP à l'aide de SPNEGO.
  2. Créez un fichier de configuration Kerberos
    1. L'implémentation IBM® de JGSS Java™ Generic Security Service) et KRB5 requièrent un fichier de configuration Kerberos (krb5.conf ou krb5.ini) sur chaque noeud ou machine virtuelle Java. Dans cette version de WebSphere Application Server, ce fichier de configuration doit être placé dans le répertoire config/cells/<nom_cellule> afin que tous les serveurs d'application puissent y accéder. Si vous n'avez pas de fichier de configuration Kerberos, créez-en un avec une commande wsadmin. Pour plus d'informations, consultez l'article Création d'une configuration Kerberos.
  3. Activez et configurez l'authentification Web SPNEGO à l'aide de la console d'administration sur votre machine WebSphere Application Server
    1. En tant qu'authentificateur Web pour le serveur d'applications, vous pouvez activer et configurer SPNEGO (Simple and Protected GSS-API Negotiation) à partir de la console d'administration sur la machine WebSphere Application Server. Pour plus d'informations, consultez la rubrique Activation et configuration de l'authentification Web SPNEGO à l'aide de la console d'administration.
  4. Configurez l'application client sur la machine de l'application client
    1. Les applications côté client sont responsables de la génération du jeton SPNEGO. Vous commencez le processus de configuration en configurant votre navigateur Web afin qu'il utilise l'authentification SPNEGO. Pour plus d'informations, consultez la rubrique Configuration du navigateur client pour l'utilisation de SPNEGO.
  5. Créez des jetons SPNEGO pour les clients de service Web J2EE, .NET, Java, pour les requêtes HTTP (facultatif).
    1. Vous pouvez créer un jeton SPNEGO (Simple and Protected GSS-API Negotiation) pour vos applications et l'insérer dans les en-têtes HTTP en vue de l'authentification auprès de WebSphere Application Server. Pour plus d'informations, consultez la rubrique Création de jetons SPNEGO pour les clients de service Web J2EE, .NET, Java, pour les requêtes HTTP.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_overview
Nom du fichier : tsec_SPNEGO_overview.html