Ajout de propriétés TAI SPNEGO à l'aide de l'utilitaire wsadmin (déprécié)

L'utilitaire wsadmin permet d'ajouter des propriétés pour l'intercepteur TAI (Trust Association Interceptor) SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) dans la configuration de sécurité de WebSphere Application Server.

Pourquoi et quand exécuter cette tâche

Fonction obsolète Fonction obsolète:

WebSphere Application Server version 6.1 fournit un intercepteur de relations de confiance (TAI) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les demandes HTTP portant sur des ressources sécurisées. Dans WebSphere Application Server 7.0, cette fonction est obsolète. L'authentification Web SPNEGO fournit un rechargement dynamique des filtres SPNEGO et active la rétromigration sur la méthode de connexion d'application.

depfeat

Vérifiez que les navigateurs des utilisateurs finals sont configurés de manière à prendre en charge l'authentification SPNEGO, que l'intercepteur TAI SPNEGO est activé, que la propriété JVM (Java™ virtual machine) est définie et que WebSphere Application Server est configuré pour permettre le fonctionnement de l'intercepteur TAI SPNEGO.

Faites appel à l'utilitaire wsadmin en vue de configurer l'intercepteur TAI SPNEGO pour WebSphere Application Server :

Procédure

  1. Démarrez WebSphere Application Server.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Lancez l'utilitaire de ligne de commande en exécutant la commande wsadmin à partir du répertoire racine_serveur_app/bin.
  3. [IBM i]Lancez l'utilitaire de ligne de commande en exécutant la commande wsadmin à partir du répertoire racine_serveur_app/bin sur la ligne de commande Qshell.
  4. A l'invite de wsadmin, entrez la commande suivante :
    $AdminTask addSpnegoTAIProperties
    Vous pouvez utiliser les paramètres suivants avec cette commande :
    Option Description
    <spnId> Ce paramètre est facultatif. Il s'agit de l'identificateur SPN du groupe de propriétés personnalisées définies avec cette commande. Si vous ne spécifiez pas ce paramètre, un identificateur SPN inutilisé est appliqué.
    <hôte> Ce paramètre est obligatoire. Ce paramètre indique la partie correspondant au nom d'hôte dans le SPN utilisé par l'intercepteur SPNEGO TAI pour établir un contexte Kerberos sécurisé.
    <filter> Ce paramètre est facultatif. Il définit les critères de filtrage utilisés par la classe spécifiée avec l'attribut précédent. Si vous ne définissez pas ce paramètre, toutes les demandes HTTP font l'objet d'une authentification SPNEGO.
    <filterClass> Ce paramètre est facultatif. Il indique le nom de la classe Java utilisée par l'intercepteur TAI SPNEGO en vue de sélectionner les demandes HTTP à assujettir à une authentification SPNEGO. Si vous ne définissez pas ce paramètre, la classe de filtre par défaut, com.ibm.ws.security.spnego.HTTPHeaderFilter, est utilisée.
    <noSpnegoPage> Ce paramètre est facultatif. Il indique l'URL d'une ressource contenant les éléments que le SPNEGO TAI inclura dans la réponse HTTP à afficher par l'application client (navigateur) si elle ne prend pas en charge l'authentification SPNEGO.
    Si vous n'indiquez pas le paramètre noSpnegoPage, la valeur par défaut est utilisée :
    "<html><head><title>SPNEGO 
    n'est pas prise en charge.
    </title></head>" +
    "<body>SPNEGO L'authentification SPNEGO 
    n'est pas prise en charge sur ce client.
    </body></html>";
    <ntlmTokenPage> Ce paramètre est facultatif. Définit l'URL d'une ressource contenant le contenu que l'intercepteur SPNEGO TAI inclura dans la réponse HTTP que l'application client (navigateur) affiche lorsque le jeton SPNEGO reçu par l'intercepteur après l'établissement de la liaison défi/réponse contient un jeton NT LAN Manager (NTLM) à la place du jeton SPNEGO attendu.
    Si vous n'indiquez pas le paramètre ntlmTokenPage, la valeur par défaut est utilisée :
    "<html><head><title>Un jeton NTLM a été reçu.</title></head>" + "<body>La configuration de votre navigateur
    est correcte, mais vous n'êtes
    pas connecté à un domaine Windows
    pris en charge."
    + "<p>Veuillez vous connecter à l'application
    en utilisant la page de connexion normale.</html>";
    <trimUserName> Ce paramètre est facultatif. Il définit si l'intercepteur SPNEGO doit supprimer le suffixe du nom d'utilisateur de principal, à partir du caractère "@" qui précède le nom de domaine Kerberos. Si ce paramètre a la valeur true, le suffixe du nom d'utilisateur de principal est supprimé. Si ce paramètre a la valeur false, le suffixe du nom de principal est conservé. La valeur par défaut est true.

Résultats

Les propriétés TAI SPNEGO ont été ajoutées pour ce serveur WebSphere Application Server.

Exemple

Exemple 1
Dans l'exemple suivant, le SPNEGO TAI est configuré pour intercepter les demandes HTTP dont l'en-tête de demande d'agent utilisateur contient le texte IE 6. L'intercepteur SPNEGO TAI utilise le SPN HTTP/myhost.ibm.com@<domaine_par_défaut> pour authentifier l'émetteur de la demande.
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6
Exemple 2
L'exemple suivant illustre l'ajout de propriétés SPNEGOTAI pour SPN1 afin d'utiliser la classe de filtre par défaut et d'intercepter toutes les demandes de l'hôte, central01.austin.ibm.com.
wsadmin>$AdminTask addSpnegoTAIProperties -interactive
Add SPNEGO TAI properties

Add SPNEGO TAI configuration properties.

*Host name in Service Principal Name (host): central01.austin.ibm.com
Service Principal Name identifier (spnId): 1
HTTP header filter rule (filter):
Name of class used to filter HTTP requests (filterClass):
SPNEGO not supported browser response (noSpnegoPage):
NTLM Token received browser response (ntlmTokenPage):
Trim User Name browser response (trimUserName):

Add SPNEGO TAI properties

F (Finish)
C (Cancel)

Select [F, C]: [F] f
WASX7278I: Generated command line: $AdminTask addSpnegoTAIProperties {-host central01.austin.ibm.com}
com.ibm.ws.security.spnego.SPN1.hostName=central01.austin.ibm.com
wsadmin>

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_wsadmin
Nom du fichier : tsec_SPNEGO_add_wsadmin.html