Activation et configuration de l'authentification web SPNEGO à l'aide de la console d'administration
En tant qu'authentificateur Web pour le serveur d'applications, vous pouvez activer et configurer SPNEGO (Simple and Protected GSS-API Negotiation) à partir de la console d'administration.
Avant de commencer
Vous devez disposer d'un fichier de clés Kerberos (krb5.keytab) contenant le nom du principal de service Kerberos, HTTP/<nom_hôte_qualifié_complet>@KerberosReam, pour chaque serveur d'applications WebSphere traitant une requête HTTP.
Procédure
- Dans la console d'administration, sélectionnez Sécurité > Sécurité globale.
- Dans Authentification, développez Web et sécurité SIP, puis cliquez sur Authentification
Web SPNEGO. Remarque : Vous devez configurer le filtre avant d'activer l'authentification Web SPNEGO.
- Facultatif : Sélectionnez l'option Mise à jour dynamique SPNEGO pour mettre à jour de manière dynamique l'exécution de SPNEGO en cas de modifications de ce dernier, sans avoir à redémarrer le serveur d'applications.
- Sélectionnez Activer SPNEGO afin d'activer Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) en tant qu'authentificateur web pour WebSphere Application Server. Les options Mise à jour dynamique SPNEGO et Autoriser l'utilisation du mécanisme d'authentification de l'application sont désactivées sauf si vous sélectionnez Activer SPNEGO.
- Facultatif : Lorsque vous sélectionnez l'option Autoriser l'utilisation du mécanisme d'authentification de l'application, si le mécanisme d'authentification SPNEGO échoue, le mécanisme d'authentification défini pendant l'assemblage d'applications est utilisé.
- Entrez le nom du fichier de configuration Kerberos avec son chemin complet ou cliquez sur Parcourir pour le localiser. Le fichier de configuration client Kerberos, krb5.conf ou krb5.ini, contient les informations de configuration Kerberos, dont l'emplacement des centres KDC (Key Distribution Center) du domaine concerné. Le fichier krb5.conf est le nom par défaut pour toutes les plateformes à l'exception de Windows, qui utilise le fichier krb5.ini.
- Facultatif : Entrez le nom du fichier de clés Kerberos avec son chemin complet ou cliquez sur Parcourir pour le localiser. Le fichier de clés Kerberos contient un ou plusieurs noms de principal de service Kerberos et des clés. Le fichier de clés par défaut est krb5.keytab. Il est important que les hôtes protègent leurs fichiers de clés Kerberos en les stockant sur le disque local, ce qui ne les rend lisibles que par les utilisateurs autorisés. Pour plus d'informations, voir Création d'un nom de principal de service Kerberos et d'un fichier de clés. Si vous n'indiquez pas ce paramètre, le nom du domaine Kerberos par défaut figurant dans le fichier de configuration Kerberos est utilisé.
- A partir des filtres SPNEGO, sélectionnez un nom d'hôte existant à modifier ou sélectionnez Nouveau pour en créer un. Par convention, un principal de service (SPN) Kerberos est divisé en
trois parties : l'élément principal, l'instance et le nom de domaine
Kerberos. Le nom de service SPNEGO doit être de type HTTP et le nom du principal de service Kerberos pour l'authentification
Web SPNEGO est HTTP/<nom_hôte_qualifié_complet>@KERBEROS_REALM.
Le nom du principal de service est utilisé pour valider le jeton SPNEGO entrant et pour établir un contexte de sécurité avec un demandeur.
- Obligatoire : Dans la page suivante, entrez un nom d'hôte complet dans la zone Nom d'hôte. Le nom d'hôte fait partie du nom de principal de service (SPN), HTTP/<nom_hôte_qualifié_complet>, utilisé par SPNEGO pour établir un contexte sécurisé Kerberos. Pour chaque entrée de filtre, le code de configuration fournit le principal du service Kerberos sous la forme HTTP/<nom_hôte_qualifié_complet>@KERBEROS_REALM, le domaine Kerberos que vous devez indiquer à l'étape suivante. Le fichier de clés Kerberos doit contenir ce principal de service Kerberos, avec ses clés.
- Facultatif : Dans la zone Nom du domaine Kerberos, entrez le nom de domaine Kerberos. Dans la plupart des cas, votre domaine Kerberos correspond au nom de domaine en majuscules. Par exemple, une machine portant le nom de domaine test.austin.ibm.com possède généralement le nom de domaine Kerberos AUSTIN.IBM.COM. Si vous n'indiquez pas ce paramètre, le nom du domaine Kerberos par défaut du fichier de configuration Kerberos est utilisé.
- Entrez des critères de filtre dans la zone Critères de filtrage. Les critères de filtre correspondent au paramètre de filtrage utilisé par la classe
Java™ employée par SPNEGO. Il définit également les critères arbitraires qui ont une importance pour la classe d'implémentation utilisée.
La classe d'implémentation par défaut com.ibm.ws.security.spnego.HTTPHeaderFilter utilise cette propriété pour définir une liste de règles de sélection. Ces règles constituent les conditions qui sont comparées aux en-têtes de requête HTTP afin de déterminer si la requête HTTP est sélectionnée ou non pour l'authentification SPNEGO.
Chaque condition est spécifiée avec une paire clé-valeur, séparées les unes des autres par un point-virgule. Les conditions sont évaluées de gauche à droite, comme elles apparaissent dans la propriété spécifiée. Si toutes les conditions sont remplies, la demande HTTP est sélectionnée pour l'authentification SPNEGO.
La clé et la valeur qui constituent la paire clé-valeur sont séparées par un opérateur qui détermine la condition à vérifier. La clé identifie un en-tête de demande HTTP à extraire de la requête, sa valeur est ensuite comparée à la valeur spécifiée dans la paire clé-valeur selon la spécification de l'opérateur. Si l'en-tête qui est identifié par la clé n'est pas présent dans la demande HTTP, la condition est considérée comme non remplie.
Tout en-tête de demande HTTP standard peut être utilisé comme clé dans les paires clé-valeur. Voir la spécification HTTP pour obtenir la liste des en-têtes valides. En outre, deux clés sont définies pour extraire des informations de la requête. Ces clés sont également utiles comme critère de sélection qui n'est pas toujours disponible via les en-têtes de demandes HTTP standards. La clé d'adresse distante est utilisée comme pseudo en-tête afin de récupérer l'adresse TCP/IP distante de l'application client à l'origine de la demande HTTP. La clé de requête d'URL est utilisée comme pseudo en-tête afin de récupérer l'adresse URL utilisée par l'application client pour émettre la requête. L'intercepteur utilise le résultat de l'opération getRequestURL dans l'interface javax.servlet.http.HttpServletRequest pour construire les adresses web. Si une chaîne de requête est présente, le résultat de l'opération getQueryString dans la même interface est également utilisé. Dans ce cas, l'adresse URL complète est construite de la manière suivante :String url = request.getRequestURL() + ‘?' + request.getQueryString();
Tableau 1. Conditions et opérations des filtres. Ce tableau répertorie les critères et les opérations de filtrage.
Condition Opérateur Exemple Correspondance exacte == Les arguments sont comparés comme étant égaux.
host==host.my.company.com Correspondance partielle (inclut) %= Les arguments sont comparés avec une correspondance partielle valide.
user-agent%=IE 6 Correspondance partielle (en inclut un sur un grand nombre) ^= Les arguments sont comparés avec une correspondance partielle qui est valide pour un des nombreux arguments spécifiés.
request-url^=webApp1|webApp2|webApp3 Pas de correspondance != Les arguments sont comparés comme étant inégaux.
request-url!=noSPNEGO Supérieur à > Les arguments sont comparés de manière lexicographique comme étant supérieurs à.
remote-address>192.168.255.130 Inférieur à < Les arguments sont comparés de manière lexicographique comme étant inférieurs à.
remote-address<192.168.255.135 - Dans la zone Classe de filtre, entrez le nom de la classe Java utilisée par SPNEGO pour sélectionner quelles sont les demandes HTTP assujetties à l'authentification Web SPNEGO. Si vous n'indiquez pas ce paramètre, la classe de filtre par défaut com.ibm.ws.security.spnego.HTTPHeaderFilter est utilisée.
- Facultatif : Dans la zone URL de page d'erreur sans prise en charge SPNEGO vous pouvez également
saisir l'URL d'une ressource qui contient le contenu intégré par SPNEGO dans la réponse HTTP affichée par l'application client
(navigateur) si l'authentification
SPNEGO n'est pas prise en charge. Cette propriété peut définir une ressource web (http://) ou de fichier (file://). Si la zone URL de page d'erreur sans prise en charge SPNEGO n'est pas indiquée, ou si la négociation SPNEGO authentifiée ne trouve pas la ressource indiquée, le contenu suivant est utilisé :
<html><head><title>SPNEGO authentication is not supported</title></head> <body>SPNEGO authentication is not supported on this client</body></html>;
- Facultatif : Dans la zone URL de page d'erreur avec réception du marqueur
NTLM, vous pouvez, facultativement, entrer l'URL d'une ressource qui contient le contenu
intégré par SPNEGO dans la réponse HTTP affichée par l'application client (navigateur). L'application du client de navigation affiche la réponse HTTP lorsque ce dernier envoie un marqueur
NTLM (NT LAN manager) au lieu du jeton SPNEGO prévu lors de l'établissement de la liaison
stimulation-réponse.Si la zone URL de page d'erreur avec réception du marqueur NTLM n'est pas indiquée, ou si la négociation SPNEGO authentifiée ne parvient pas à trouver le ressource indiquée, le contenu suivant est utilisé :
<html><head><title>Un jeton NTLM a été reçu.</title></head> <body>La configuration de votre navigateur est correcte mais vous ne vous êtes pas connecté à un domaine Microsoft(R) Windows(R) pris en charge. <p>Veuillez vous connecter à l'application au moyen de la page de connexion normale.</html>
- Facultatif : Sélectionnez Retirer le domaine Kerberos du nom de principal pour indiquer si SPNEGO doit également retirer le suffixe du nom d'utilisateur de principal, à partir du caractère @ qui précède le nom de domaine Kerberos. Si cette option est sélectionnée, le suffixe du nom d'utilisateur du principal est retiré. Si cet attribut n'est pas sélectionné, le suffixe du nom de principal est conservé. Par défaut, cette option n'est pas sélectionnée.
- Facultatif : Sélectionnez Activer la délégation des justificatifs Kerberos pour
indiquer si les justificatifs délégués Kerberos sont stockés par l'authentification Web SPNEGO. Si le client est envoyé aux donnée d'identification de la délégation Kerberos, SPNEGO
extrait le GSSCredential et le sauvegarde dans le sujet. Le jeton KRBAuthnToken
est créé à l'aide du nom de principal kerberos client, et il délègue un
ticket Kerberos si le client a envoyé les donnée d'identification de délégation kerberos dans le cadre de la demande. Le jeton GSSCredential n'est pas sérialisable, de sorte qu'il ne peut âs être propagé au serveur en aval et il est perdu au cours de la sérialisation et de la désérialisation. Toutefois, le jeton KRBAuthnToken est sérialisable et il peut être
propagé à un serveur en aval. Si une application personnalisée a besoin de GSSCredential pour s'authentifier sur des ressources dorsales ou un serveur en aval, elle doit l'extraire du jeton KRBAuthnToken en utilisant la méthode com.ibm.wsspi.wssecurity.platform.token.KRBAuthnToken.getGSSCredential() et le placer dans l'objet.Remarque : Si vous ne sélectionnez pas l'option, le jeton KRBAuthnToken dispose uniquement du nom du principal Kerberos.
- Cliquez sur Appliquez. Les critères de filtre et la classe de filtre sont validés s'ils ont été indiqués.
- Cliquez sur OK. Ceci termine la page d'authentification Web SPNEGO.
Résultats
SPNEGO est maintenant activé en tant qu'authentificateur web pour le serveur d'applications.
Sous-rubriques
Ajout ou modification de filtres d'authentification Web SPNEGO à l'aide de la console d'administration
Les valeurs de filtre SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) contrôlent différents aspects du mécanisme SPNEGO. La console d'administration vous permet de préciser différentes valeurs de filtre pour chaque serveur d'applications.Activation de l'authentification Web SPNEGO
Vous pouvez activer SPENEGO (Simple and Protected GSS-API Negotiation) en tant qu'administrateur Web pour WebSphere Application Server.Valeurs de filtre de l'authentification SPNEGO
Les valeurs de filtre de l'authentification Web SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) contrôlent différents aspects du mécanisme SPNEGO. Cette page permet d'indiquer différentes valeurs de filtre pour chaque serveur d'applications.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_config
Nom du fichier : tsec_SPNEGO_config.html