Lorsque vous utilisez l'intercepteur de relations de confiance (TAI) pour SPNEGO (Simple and Protected GSS-API Negotiation
Mechanism) pour l'authentification et si vous voulez utiliser un alias de nom d'hôte comme nom d'hôte pour le serveur d'applications, vous devez configurer une propriété personnalisée pour résoudre l'alias de nom d'hôte vers le nom d'hôte réel pour la connexion unique SPNEGO.
Ensuite, vous pouvez ajouter ou modifier dynamiquement un nom d'alias dans le système d'adressage par domaine (DNS) sans changer la configuration du serveur d'applications. Si vous activez cette propriété personnalisée, il n'est plus nécessaire de définir des alias de nom d'hôte via la configuration SPNEGO.
Pourquoi et quand exécuter cette tâche
Le serveur d'applications effectue une recherche DNS lorsqu'une demande HTTP est soumise et si l'alias de nom d'hôte est résolu vers un nom d'hôte déjà configuré pour la connexion unique SPNEGO, il continue de le traiter. En général, il n'est pas nécessaire d'ajouter un alias de nom d'hôte à un compte SPNEGO.
Procédure
- Définissez le nom d'hôte réel pour la variable com.ibm.ws.security.spnego.SPNx.hostName.
- A partir de la console d'administration, cliquez sur
- Ajoutez ou modifiez la variable com.ibm.ws.security.spnego.SPNx.hostName. Exemple :
- Chaîne
- com.ibm.ws.security.spnego.SPNx.hostName
- valeur
- nom_hôte_réel
Cette propriété personnalisée définit le nom d'hôte sur lequel le serveur d'applications peut résoudre un alias de nom d'hôte pour une connexion unique (SSO) SPNEGO. Vous pouvez ensuite ajouter ou modifier dynamiquement un nom d'alias dans le système d'adressage par domaine (DNS) sans changer la configuration du serveur d'applications.
Vous devez obligatoirement définir le nom d'hôte réel mais en option, vous pouvez aussi définir un alias de nom d'hôte.
Le serveur d'applications résout l'alias de nom d'hôte en nom d'hôte réel lorsque la demande HTTP est reçue.
- Activez l'indicateur de support canonique.
- Dans la console d'administration, sélectionnez
- Ajoutez ou modifiez la variable com.ibm.websphere.security.krb.canonical_host et associez-la à la valeur "true".
- Chaîne
- com.ibm.websphere.security.krb.canonical_host
- valeur
- true
Cette propriété personnalisée indique si
le serveur d'applications utilise la forme canonique du nom d'hôte URL/HTTP
pour authentifier un client. Si vous définissez cette propriété personnalisée sur false,
un ticket Kerberos peut inclure un nom d'hôte différent de l'en-tête du nom d'hôte HTTP
et le serveur d'applications peut renvoyer le message suivant :CWSPN0011E: un jeton SPNEGO non valide a été détecté lors de l'authentification d'un HttpServletRequest
Si
vous associez la propriété personnalisée à la valeur true, vous pouvez éviter
ce message d'erreur et permettre au serveur d'applications d'effectuer l'authentification
à l'aide de la forme canonique du nom d'hôte URL/HTTP.
- Configurez le navigateur. Dans le navigateur de la machine client, l'alias de nom d'hôte doit être configuré en tant qu'hôte sécurisé.
- Pour Internet Explorer :
- Sélectionnez .
- Sélectionnez l'onglet Sécurité.
- Cliquez sur .
- Ajoutez l'alias de nom d'hôte dans ce panneau.
- Pour Mozilla Firefox :
- Entrez About:config dans la barre d'adresse et appuyez sur Entrée pour accéder aux options de configuration.
- Localisez le nom de préférence network.negotiate-auth.trusted-uris, cliquez dessus avec le bouton droit de la souris et sélectionnez
Modifier.
Si cette préférence n'existe pas, cliquez avec le bouton droit de la souris dans le panneau et sélectionnez .
- Ajouter les alias de nom d'hôte dans la zone de texte en les séparant par une virgule.
- Vérifiez que le nom d'hôte réel est ajouté dans le fichier de clés.
config : Vous pouvez configurer le fichier de clés de deux façons :
- Si com.ibm.websphere.security.krb.canonical_host est associé à la valeur "true", le serveur d'applications s'attend à ce que le nom d'hôte réel figure dans le fichier de clés. Les alias ne sont pas nécessaires.
- Si com.ibm.websphere.security.krb.canonical_host est associé à la valeur false et que des alias sont définis, ces derniers doivent figurer dans le fichier de clés.