Ajout ou modification de filtres d'authentification Web SPNEGO à l'aide de la console d'administration
Les valeurs de filtre SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) contrôlent différents aspects du mécanisme SPNEGO. La console d'administration vous permet de préciser différentes valeurs de filtre pour chaque serveur d'applications.
Procédure
- Dans la console d'administration, sélectionnez Sécurité > Sécurité globale.
- Dans Authentification, développez Web et sécurité SIP, puis cliquez sur Authentification Web SPNEGO.
- Sous filtres SPNEGO, sélectionnez un nom d'hôte existant à modifier ou cliquez sur Nouveau.
- Entrez un nom d'hôte WebSphere Application Server si vous créez un filtre. Il doit s'agir du nom d'hôte dans le nom de principal de service (SPN) Kerberos utilisé par SPNEGO pour établir un contexte sécurisé Kerberos.
- Entrez un nom de domaine Kerberos. Dans la plupart des cas, le domaine Kerberos correspond au nom de domaine en majuscules. Par exemple, une machine ayant le nom de domaine test.austin.ibm.com a généralement le nom de domaine Kerberos AUSTIN.IBM.COM
- Entrez des critères de filtre dans la zone Critères de filtrage. Les critères de filtre correspondent au paramètre de filtrage utilisé par la classe
Java™ employée par SPNEGO. Elle définit également les critères arbitraires qui ont une importance pour la classe
d'implémentation utilisée.
Pour plus d'informations sur les critères de filtre, consultez Activation et configuration de l'authentification web SPNEGO à l'aide de la console d'administration.
- Dans la zone Classe de filtre, entrez le nom de la classe Java utilisée par SPNEGO pour sélectionner quelles sont les demandes HTTP assujetties à l'authentification SPNEGO. Si vous n'indiquez pas ce paramètre, la classe de filtre par défaut com.ibm.ws.security.spnego.HTTPHeaderFilter est utilisée.
- Facultatif : La zone URL de page d'erreur sans prise en charge SPNEGO permet également de saisir l'URL d'une ressource contenant le contenu intégré par SPNEGO dans la réponse HTTP que l'application client (navigateur) affiche si l'authentification SPNEGO n'est pas prise en charge. Cette propriété peut définir une ressource web (http://) ou de fichier (file://).
- Facultatif : La zone URL de page d'erreur avec réception du marqueur NTLM permet
également de saisir l'URL d'une ressource qui contient le contenu intégré par SPNEGO dans la réponse HTTP
que l'application client (navigateur) affiche. Cette dernière affiche la réponse HTTP lorsque le client navigateur envoie un jeton NTLM
(NT LAN manager) au lieu du jeton SPNEGO prévu lors de l'établissement
de la liaison stimulation-réponse.
Cette propriété peut définir une ressource web (http://) ou de fichier (file://).
- Facultatif : Sélectionnez Retirer le domaine Kerberos du nom de principal pour indiquer si SPNEGO doit également retirer le suffixe du nom d'utilisateur de principal, à partir du caractère @ qui précède le nom de domaine Kerberos. Si cette option est sélectionnée, le suffixe du nom d'utilisateur du principal est retiré. Si cet attribut n'est pas sélectionné, le suffixe du nom de principal est conservé. Par défaut, cette option est sélectionnée.
- Facultatif : Sélectionnez Activer la délégation des justificatifs Kerberos pour indiquer
si les droits d'accès délégués Kerberos doivent être stockés par SPNEGO. Cette option active également une application pour l'extraction des droits d'accès
stockés et pour les propager vers d'autres applications pour une authentification
SPNEGO supplémentaire.Remarque : Si cette option est activée (valeur par défaut), l'identification GSSCredential n'est pas sérialisable et ne peut pas être propagée au serveur en aval. Les données d'identification Kerberos déléguées par le client sont extraites et la base KRBAuthnToken est créée. Le jeton KRBAuthnToken contient la délégation Kerberos du client et peut être propagé à un serveur en aval.
Si vous voulez propager le jeton KRBAuthnToken à un serveur en aval, le ticket TGT (Ticket Granting Ticket) doit contenir des options sans adresse et transmissible. Si un ticket TGT d'un client a une adresse, le serveur en aval n'a pas de données d'identification GSS déléguées par le client après sa propagation.
Vous pouvez extraire l'identification GSSCredential déléguée par le client à partir du jeton KRBAuthnToken au moyen de la méthode KRBAuthnToken.getGSSCredential().
- Cliquez sur OK.
Résultats


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_filter
Nom du fichier : tsec_SPNEGO_add_filter.html