Modification des propriétés TAI SPNEGO à l'aide de l'utilitaire wsadmin (déprécié)

L'utilitaire wsadmin permet de supprimer des propriétés dans la configuration de l'intercepteur TAI (trust association interceptor) SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour WebSphere Application Server.

Pourquoi et quand exécuter cette tâche

Fonction obsolète Fonction obsolète:

WebSphere Application Server version 6.1 fournit un intercepteur de relations de confiance (TAI) qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les demandes HTTP portant sur des ressources sécurisées. Dans WebSphere Application Server 7.0, cette fonction est obsolète. L'authentification Web SPNEGO fournit un rechargement dynamique des filtres SPNEGO et active la rétromigration sur la méthode de connexion d'application.

depfeat

Vérifiez que les navigateurs des utilisateurs finals sont configurés de manière à prendre en charge l'authentification SPNEGO, que l'intercepteur TAI SPNEGO est activé, que la propriété JVM (Java™ virtual machine) est définie et que WebSphere Application Server est configuré pour permettre le fonctionnement de l'intercepteur TAI SPNEGO.

Faites appel à l'utilitaire wsadmin afin de configurer l'intercepteur TAI SPNEGO pour WebSphere Application Server :

Procédure

  1. Démarrez WebSphere Application Server.
  2. [AIX Solaris HP-UX Linux Windows][z/OS]Lancez l'utilitaire de ligne de commande en exécutant la commande wsadmin à partir du répertoire racine_serveur_app/bin.
  3. [IBM i]Lancez l'utilitaire de ligne de commande en exécutant la commande wsadmin à partir du répertoire racine_serveur_app/bin sur la ligne de commande Qshell.
  4. A l'invite de wsadmin, entrez la commande suivante :
    $AdminTask modifySpnegoTAIProperties
    Vous pouvez utiliser les paramètres suivants avec cette commande :
    Option Description
    <spnId> Ce paramètre est obligatoire. Il s'agit de l'identificateur SPN du groupe de propriétés personnalisées définies avec cette commande.
    <hôte> Ce paramètre est facultatif. Il indique la partie correspondant au nom d'hôte dans le SPN utilisé par l'intercepteur SPNEGO TAI pour établir un contexte Kerberos sécurisé.
    <filter> Ce paramètre est facultatif. Il définit les critères de filtrage utilisés par la classe spécifiée avec l'attribut précédent.
    <filterClass> Ce paramètre est facultatif. Il indique le nom de la classe Java utilisée par l'intercepteur TAI SPNEGO en vue de sélectionner les demandes HTTP à assujettir à une authentification SPNEGO. Si aucune classe n'est spécifiée, toutes les demandes HTTP font l'objet d'une authentification SPNEGO.
    <noSpnegoPage> Ce paramètre est facultatif. Il indique l'URL d'une ressource contenant les éléments que le SPNEGO TAI inclura dans la réponse HTTP à afficher par l'application client (navigateur) si elle ne prend pas en charge l'authentification SPNEGO.
    Si vous ne spécifiez pas l'attribut noSpnegoPage, la valeur par défaut est utilisée :
    "<html><head><title>SPNEGO 
    n'est pas prise en charge.
    </title></head>" +
    "<body>SPNEGO L'authentification SPNEGO 
    n'est pas prise en charge sur ce client.
    </body></html>";
    <ntlmTokenPage> Ce paramètre est facultatif. Il indique l'URL d'une ressource contenant les éléments que le SPNEGO TAI inclura dans la réponse HTTP, qui sera affichée par l'application client (navigateur). Celle-ci affiche la réponse HTTP lorsque le client navigateur envoie un jeton NTLM (NT LAN manager) au lieu du jeton SPNEGO prévu lors de l'établissement de la liaison stimulation-réponse.
    Si vous ne spécifiez pas l'attribut ntlmTokenPage, la valeur par défaut est utilisée :
    "<html><head><title>Un jeton NTLM a été reçu.</title></head>" + "<body>La configuration de votre navigateur
    est correcte, mais vous n'êtes
    pas connecté à un domaine Windows 
    pris en charge."
    + "<p>Veuillez vous connecter à l'application
    en utilisant la page de connexion normale.</html>";
    <trimUserName> Ce paramètre est facultatif. Il indique si (true ou false) l'intercepteur SPNEGO TAI doit supprimer le suffixe du nom d'utilisateur principal, à partir du caractère "@" précédant le nom de domaine Kerberos. Si la valeur true est attribuée à cet attribut, le suffixe du nom d'utilisateur principal est supprimé. Si, par contre, la valeur false lui est attribuée, le suffixe du nom principal est conservé. La valeur par défaut est true.

Résultats

Les propriétés TAI SPNEGO sont supprimées pour ce serveur WebSphere Application Server.

Exemple

Exemple 1
Dans l'exemple suivant, le SPNEGO TAI est configuré pour intercepter les demandes HTTP dont l'en-tête de demande d'agent utilisateur contient le texte IE 6. L'intercepteur SPNEGO TAI utilise le SPN HTTP/myhost.ibm.com@<default_realm> pour authentifier l'émetteur de la demande. La valeur de la propriété de filtrage personnalisée définie, user-agent%=IE 6, est ensuite remplacée par host==myhost.company.com.
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6
$AdminTask modifySpnegoTAIProperties -spnId 1 -filter host==myhost.company.com
Exemple 2
Cet exemple illustre une modification de SPNEGO TAI pour les propriétés SPN1 consistant à ajouter un filtre pour l'hôte central01.austin.ibm.com.
wsadmin>$AdminTask modifySpnegoTAIProperties -interactive
Modify SPNEGO TAI properties

Modify SPNEGO TAI configuration properties 

*Service Principal Name identifier (spnId): 1
Host name in Service Principal Name (host): central01.austin.ibm.com
HTTP header filter rule (filter): request-url!=noSPNEGO;request-url%=snoop
Name of class used to filter HTTP requests (filterClass):
SPNEGO not supported browser response (noSpnegoPage):
NTLM Token received browser response (ntlmTokenPage):
Trim User Name browser response (trimUserName):

Modify SPNEGO TAI properties

F (Finish)
C (Cancel)

Select [F, C]: [F] f
WASX7278I: Generated command line: $AdminTask modifySpnegoTAIProperties {-spnId
1 -host w2003secdev.austin.ibm.com -filter request-url!=noSPNEGO;request-url%=sn
oop}
com.ibm.ws.security.spnego.SPN1.filter=request-url!=noSPNEGO;request-url%=snoop
com.ibm.ws.security.spnego.SPN1.hostName=central01.austin.ibm.com
wsadmin>

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_mod_wsadmin
Nom du fichier : tsec_SPNEGO_mod_wsadmin.html