SPNEGO Web 認証のフィルター値
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) の Web 認証フィルター値は、SPNEGO のさまざまな性質を制御します。このページを使用して、 アプリケーション・サーバーごとに異なるフィルターの値を指定します。
この管理コンソール・ページを表示するには、「SPNEGO Web 認証 (SPNEGO web authentication)」をクリックします。SPNEGO フィルターの下で、「新規」をクリックするか、編集するフィルターを選択します。
とクリックします。「認証」で「Web および SIP セキュリティー」を展開して、ホスト名
Kerberos セキュア・コンテキストを確立するために SPNEGO によって使用される Kerberos サービス・プリンシパル名 (SPN) の完全修飾ホスト名を指定します。
このホスト名は、完全修飾形式のホスト名です。例えば、myHostname.austin.ibm.com のようになります。
Kerberos SPN は、HTTP/<fully qualified hostname>@KERBEROS_REALM という形式のストリングです。 認証プロセスで使用されるセキュリティー・クレデンシャルおよびセキュリティー・コンテキストを取得するために、SPNEGO プロバイダーでは Java™ Generic Security Service (JGSS) とともに完全な SPN が使用されます。
通知 | 値 |
---|---|
データ型: | ストリング |
Kerberos レルム名 (Kerberos realm name)
Kerberos レルムの名前を指定します。ほとんどの場合、レルムはドメイン・ネームを大文字にしたものです。例えば、ドメイン・ネームが test.austin.ibm.com のマシンの Kerberos レルム名は、通常 AUSTIN.IBM.COM です。
Kerberos レルムの名前を指定していない場合は、Kerberos 構成ファイルに定義されているデフォルトのレルムが使用されます。
フィルター基準
SPNEGO が使用する Java クラスによって使用されるフィルタリング基準。
com.ibm.ws.security.spnego.HTTPHeaderFilter デフォルト実装クラスはこのプロパティーを使用して、HTTP 要求が SPNEGO 認証に対して選択されているかどうかを判別するために、HTTP 要求 ヘッダーに対して突き合わせる条件を表す選択ルールのリストを定義します。
各条件は、セミコロンで区切られたキーと値のペアで指定されます。 これらの条件は、指定プロパティーでの表示順に左から右へ向かって評価されます。 すべての条件に適合する場合、その HTTP 要求が SPNEGO 認証用に選択されます。
キーと値のペアのキーと値は、どの条件を検査するかを定義する演算子によって区切られます。 このキーは、要求から抽出する HTTP 要求ヘッダーを識別し、この値が演算子の指定に従ってキー値に指定されている値と比較されます。 このキーによって識別されたヘッダーが HTTP 要求に存在しない場合、条件は不適合と見なされます。
String url = request.getRequestURL() + ‘?' + request.getQueryString();
条件 | オペレーター | 例 |
---|---|---|
正確に一致 | == 引数が等しいかどうかが比較されます。 |
host==host.my.company.com |
部分的に一致 (含む) | %= 部分的な一致を有効なものとして引数を比較します。 |
user-agent%=IE 6 |
部分的に一致 (複数の中の 1 つ) | ^= 指定された多くの引数の中の 1 つと一致する部分一致を有効なものとして比較します。 |
request-url^=webApp1|webApp2|webApp3 |
一致しない | != 引数が等しくないかどうかが比較されます。 |
request-url!=noSPNEGO |
より大きい | > 引数が辞書的により大きいかどうかが比較されます。 |
remote-address>192.168.255.130 |
より小さい | < 引数が辞書的により小さいかどうかが比較されます。 |
remote-address<192.168.255.135 |
通知 | 値 |
---|---|
データ型: | ストリング |
フィルター・クラス
SPNEGO が SPNEGO 認証の対象となる HTTP 要求を選択するために使用する Java クラスの名前を指定します。このパラメーターを指定しない場合、デフォルトのフィルター・クラス com.ibm.ws.security.spnego.HTTPHeaderFilter が使用されます。
通知 | 値 |
---|---|
データ型: | ストリング |
SPNEGO 非サポートのエラー・ページ URL
この選択はオプションです。これは、 SPNEGO が HTTP 応答に組み込む内容を含むリソースの URL を指定します。 この内容は、ブラウザーのクライアント・アプリケーションが SPNEGO 認証をサポートしていない場合に、そのアプリケーションによって表示されます。
このプロパティーでは、Web (http://) またはファイル (file://) のリソースを指定できます。
<html><head><title>SPNEGO authentication is not supported</title></head>
<body>SPNEGO authentication is not supported on this client</body></html>;
通知 | 値 |
---|---|
データ型: | ストリング |
NTLM トークン受信のエラー・ページ URL
このプロパティーはオプションです。これは、 SPNEGO が HTTP 応答に組み込む内容を含むリソースの URL を指定します。 この内容はブラウザーのクライアント・アプリケーションによって表示されます。
ブラウザー・クライアント・アプリケーションにこの HTTP 応答が表示されるのは、 ユーザー確認のための質問への応答ハンドシェーク時に、ブラウザー・クライアントが、予想された SPNEGO トークンの代わりに NT LAN manager (NTLM) トークンを送信する場合です。
<html><head><title>An NTLM Token was received.</title></head>
<body>Your browser configuration is correct, but you have not logged into a supported
Microsoft(R) Windows(R) Domain.
<p>Please login to the application using the normal login page.</html>
このプロパティーでは、Web (http://) またはファイル (file://) のリソースを指定できます。
通知 | 値 |
---|---|
データ型: | ストリング |
Kerberos クレデンシャルの代行を有効にする (Enable delegation of Kerberos credentials)
Kerberos 委任クレデンシャルを SPNEGO が保管する必要があるかどうかを指定します。また、アプリケーションは保管されたクレデンシャルを取得し、 それらを追加の SPNEGO 認証用に他のダウンストリームのアプリケーションに伝搬させることができます。
このオプションでは、拡張 Kerberos クレデンシャル代行機能の使用および アプリケーション開発者によるカスタム・ロジックの作成が必要です。 開発者は、要求の発信元ユーザーに代わって、Kerberos KDC と直接対話し、 代行 Kerberos クレデンシャルを使用して Kerberos Ticket Granting Service (TGS) を取得する必要があります。 また、開発者は、適切な Kerberos SPNEGO トークンを構成して、それを HTTP 要求に含めることで、ダウンストリームの SPNEGO 認証プロセスを継続する必要があります。これには、必要に応じて、追加の SPNEGO ユーザー確認のための質問への応答交換の処理が含まれます。
KRBAuthnToken をダウンストリーム・サーバーに伝搬する場合は、クライアントのチケット許可チケット (TGT) にアドレスなしオプションおよび転送可能オプションが含まれている必要があります。 クライアント TGT にアドレスが指定されている場合は、伝搬後、ダウンストリーム・サーバーにクライアントの GSS 代行クレデンシャルは含まれません。
クライアント代行 GSSCredential は、KRBAuthnToken.getGSSCredential() メソッドを使用して KRBAuthnToken から抽出することができます。
通知 | 値 |
---|---|
デフォルト: | 使用不可 |
プリンシパル名からの Kerberos レルムの切り取り (Trim Kerberos realm from principal name)
この選択はオプションです。SPNEGO が、Kerberos レルム名に先行する、 「@」で始まるプリンシパル・ユーザー名のサフィックスを除去するかどうかを指定します。 この属性が true に設定されている場合、プリンシパル・ユーザー名のサフィックスは除去されます。 この属性が false に設定されている場合、 プリンシパル名のサフィックスは保持されます。使用されるデフォルト値は true です。
通知 | 値 |
---|---|
デフォルト: | 使用不可 |