Utilisation d'un nom d'hôte alias pour l'authentification SPNEGO TAI ou SPENGO à l'aide de la console d'administration (obsolète)

Lorsque vous utilisez l'intercepteur de relations de confiance (TAI) pour SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour l'authentification et si vous voulez utiliser un alias de nom d'hôte comme nom d'hôte pour le serveur d'applications, vous devez configurer une propriété personnalisée pour résoudre l'alias de nom d'hôte vers le nom d'hôte réel pour la connexion unique SPNEGO. Ensuite, vous pouvez ajouter ou modifier dynamiquement un nom d'alias dans le système d'adressage par domaine (DNS) sans changer la configuration du serveur d'applications. Si vous activez cette propriété personnalisée, il n'est plus nécessaire de définir des alias de nom d'hôte via la configuration SPNEGO.

Avant de commencer

La procédure décrite dans Création d'une connexion unique pour les requêtes HTTP à l'aide de l'intercepteur TAI SPNEGO (déprécié) et Configuration de WebSphere Application Server et activation de l'intercepteur TAI SPNEGO (déprécié) doit être terminée pour que les paramètres soient appliqués. Cette configuration requiert un environnement de connexion unique SPNEGO-TAI fonctionnel.

Pourquoi et quand exécuter cette tâche

Le serveur d'applications effectue une recherche DNS lorsqu'une demande HTTP est soumise et si l'alias de nom d'hôte est résolu vers un nom d'hôte déjà configuré pour la connexion unique SPNEGO, il continue de le traiter. En général, il n'est pas nécessaire d'ajouter un alias de nom d'hôte à un compte SPNEGO.

Procédure

  1. Définissez le nom d'hôte réel pour la variable com.ibm.ws.security.spnego.SPNx.hostName.
    1. A partir de la console d'administration, cliquez sur Sécurité globale > Sécurité Web et SIP > Relation de confiance > Intercepteurs > com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl > Propriétés personnalisées
    2. Ajoutez ou modifiez la variable com.ibm.ws.security.spnego.SPNx.hostName. Exemple :
      Chaîne
      com.ibm.ws.security.spnego.SPNx.hostName
      valeur
      nom_hôte_réel

      Cette propriété personnalisée définit le nom d'hôte sur lequel le serveur d'applications peut résoudre un alias de nom d'hôte pour une connexion unique (SSO) SPNEGO. Vous pouvez ensuite ajouter ou modifier dynamiquement un nom d'alias dans le système d'adressage par domaine (DNS) sans changer la configuration du serveur d'applications.

      Vous devez obligatoirement définir le nom d'hôte réel mais en option, vous pouvez aussi définir un alias de nom d'hôte. Le serveur d'applications résout l'alias de nom d'hôte en nom d'hôte réel lorsque la demande HTTP est reçue.

  2. Activez l'indicateur de support canonique.
    1. Dans la console d'administration, sélectionnez Sécurité globale > Propriétés personnalisées
    2. Ajoutez ou modifiez la variable com.ibm.websphere.security.krb.canonical_host et associez-la à la valeur "true".
      Chaîne
      com.ibm.websphere.security.krb.canonical_host
      valeur
      true
      Cette propriété personnalisée indique si le serveur d'applications utilise la forme canonique du nom d'hôte URL/HTTP pour authentifier un client. Si vous définissez cette propriété personnalisée sur false, un ticket Kerberos peut inclure un nom d'hôte différent de l'en-tête du nom d'hôte HTTP et le serveur d'applications peut renvoyer le message suivant :
      CWSPN0011E: un jeton SPNEGO non valide a été détecté lors de l'authentification d'un HttpServletRequest

      Si vous associez la propriété personnalisée à la valeur true, vous pouvez éviter ce message d'erreur et permettre au serveur d'applications d'effectuer l'authentification à l'aide de la forme canonique du nom d'hôte URL/HTTP.

  3. Configurez le navigateur. Dans le navigateur de la machine client, l'alias de nom d'hôte doit être configuré en tant qu'hôte sécurisé.
    • Pour Internet Explorer :
      1. Sélectionnez Outils > Options Internet.
      2. Sélectionnez l'onglet Sécurité.
      3. Cliquez sur Intranet local > Sites > Avancé.
      4. Ajoutez l'alias de nom d'hôte dans ce panneau.
    • Pour Mozilla Firefox :
      1. Entrez About:config dans la barre d'adresse et appuyez sur Entrée pour accéder aux options de configuration.
      2. Localisez le nom de préférence network.negotiate-auth.trusted-uris, cliquez dessus avec le bouton droit de la souris et sélectionnez Modifier. Si cette préférence n'existe pas, cliquez avec le bouton droit de la souris dans le panneau et sélectionnez Nouvelle > Chaîne de caractères.
      3. Ajouter les alias de nom d'hôte dans la zone de texte en les séparant par une virgule.
  4. Vérifiez que le nom d'hôte réel est ajouté dans le fichier de clés.
    config : Vous pouvez configurer le fichier de clés de deux façons :
    • Si com.ibm.websphere.security.krb.canonical_host est associé à la valeur "true", le serveur d'applications s'attend à ce que le nom d'hôte réel figure dans le fichier de clés. Les alias ne sont pas nécessaires.
    • Si com.ibm.websphere.security.krb.canonical_host est associé à la valeur false et que des alias sont définis, ces derniers doivent figurer dans le fichier de clés.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_alias
Nom du fichier : tsec_SPNEGO_add_alias.html