Configuration des propriétés personnalisées JVM, filtrage des requêtes HTTP et activation de l'intercepteur TAI SPNEGO dans WebSphere Application Server (obsolète)

Cette tâche vous aide, en tant qu'administrateur Web à vous assurer que WebSphere Application Server est configuré pour activer le fonctionnement de l'intercepteur TAI SPNEGO (Simple and Protected GSS-API Negotiation) avec la propriété JVM (Java™) requise et le filtrage approprié des requêtes HTTP.

Avant de commencer

Vous devez savoir utiliser la console d'administration de WebSphere Application Server pour gérer la configuration de sécurité. Vous devez également disposer des droits appropriés pour modifier la configuration de sécurité du serveur d'applications.
Fonction obsolète Fonction obsolète:

Dans WebSphere Application Server version 6.1, un TAI (trust association interceptor) utilisant le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier et authentifier en toute sécurité les requêtes HTTP des ressources sécurisées a été ajouté. Dans WebSphere Application Server 7.0, cette fonction est maintenant obsolète. Elle a été remplacée par l'authentification Web SPNEGO, qui fournit un rechargement dynamique des filtres SPNEGO et autorise un repli sur la méthode d'ouverture de session de l'application.

depfeat

Pourquoi et quand exécuter cette tâche

Vérifiez la configuration de l'intercepteur SPNEGO TAI. Le déploiement de l'intercepteur TAI SPNEGO peut varier suivant qu'il est effectué sur un seul système WebSphere Application Server exécutant une application unique ou dans une cellule importante WebSphere Application Server, Network Deployment (ND) à noeuds multiples, comportant des dizaines de serveurs d'applications, hébergeant de nombreuses applications. Chaque SPNEGO TAI est installé au niveau de la cellule. Vous devez connaître la configuration de votre SPNEGO TAI.

Par défaut, le SPNEGO TAI n'intercepte pas les demandes HTTP. Ce comportement permet d'installer SPNEGO TAI dans une cellule existante, configurée pour un seul serveur d'applications sans modifier les autres serveurs d'applications de la cellule. D'autres serveurs WebSphere Application Server peuvent être exécutés comme auparavant dans une configuration donnée.

Décidez si l'exemple de classe SPN<id>.filterClass doit être utilisé et déterminez les propriétés de filtre exactes à utiliser.
Remarque : Par défaut, l'intercepteur TAI SPNEGO utilise la classe com.ibm.ws.security.spnego.SPN<id>.filterClass et intercepte toutes les demandes.
Si ce comportement par défaut ne convient pas, vous pouvez utiliser une classe fournie par le client ou modifier ou étendre l'exemple de classe selon vos besoins. L'interface du programmeur système, com.ibm.ws.security.spnego.SpnegoFilter vous permet d'implémenter un filtre personnalisé pour déterminer si une demande HTTP particulière doit être interceptée. Avec l'implémentation par défaut, vous pouvez définir des règles de filtre en fonction de critères généraux et fins en sélectionnant les demandes HTTP à intercepter.
Remarque : En tant qu'alternative à la procédure décrite ci-dessus pour l'activation de l'intercepteur TAI SPNEGO, vous pouvez utiliser un script pour effectuer l'opération. Pour plus de détails, voir Activation de l'intercepteur TAI SPNEGO en tant que propriété personnalisée JVM à l'aide du scriptage (déprécié).
Procédez comme suit pour activer l'opération de l'intercepteur SPNEGO avec votre filtrage sélectionné et avec la propriété requise JVM.

Procédure

  1. Connectez-vous à la console d'administration de WebSphere Application Server.
  2. Cliquez sur Serveurs > Serveurs d'applications.
  3. [IBM i][AIX Solaris HP-UX Linux Windows]Sélectionnez le serveur approprié. Sous Infrastructure du serveur, développez Gestion des processus et Java > Définition des processus.
  4. [z/OS]Sélectionnez le serveur approprié. Sous Infrastructure du serveur, développez Gestion des processus et Java > Définition des processus. Sélectionnez Servant.
  5. Cliquez sur Machine virtuelle Java. Sous Propriétés supplémentaires, cliquez sur Propriétés personnalisées. Créez une propriété personnalisée, si nécessaire, en cliquant sur Nouveau puis codez com.ibm.ws.security.spnego.isEnabled dans la zone Nom et true dans la zone Valeur.
  6. Cliquez sur Appliquer> OK pour sauvegarder la configuration
  7. [z/OS]Répétez l'étape 3 mais sélectionnez Contrôle. Répétez ensuite les étapes 4 et 5.
  8. Identifiez le moment où SPNEGO TAI intercepte une demande donnée. Un ensemble de propriétés de filtrage est proposé, mais vous devez déterminer lesquelles sont appropriées et modifier com.ibm.ws.security.spnego.SPN<id>.filterClass en conséquence.

Résultats

Le serveur d'applications est à présent configuré et prêt à fournir un environnement de connexion unique pour les utilisateurs finals qui ont été authentifiés dans un domaine Microsoft Active Directory. Vous devez redémarrer chaque serveur d'applications configuré pour l'authentification Web SPNEGO. Votre intercepteur TAI SPNEGO est ensuite défini pour filtrer la demande HTTP lorsqu'il est en fonctionnement.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_config_jvm
Nom du fichier : tsec_SPNEGO_config_jvm.html