管理コンソールを使用した SPNEGO Web 認証フィルターの追加または変更
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) フィルター値は、SPNEGO のさまざまな性質を制御します。管理コンソールを使用することで、 アプリケーション・サーバーごとに異なるフィルター値を指定できます。
手順
- 管理コンソールで、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「認証」の下で、「Web および SIP セキュリティー (Web and SIP Security)」を展開して、 「SPNEGO Web 認証 (SPNEGO Web authentication)」をクリックします。
- SPNEGO フィルターの下で、既存のホスト名を選択して編集するか、「新規」をクリックします。
- 新規フィルターを作成する場合は、WebSphere® Application Server ホスト名を入力します。 これは、 SPNEGO が Kerberos セキュア・コンテキストの確立に使用する Kerberos サービス・プリンシパル名 (SPN) のホスト名です。
- Kerberos レルム名を入力します。 たいていの場合、レルムは 大文字のドメイン・ネームです。 例えば、 ドメイン名が test.austin.ibm.com のマシンの Kerberos レルム名は、通常は AUSTIN.IBM.COM です。
- 「フィルター基準」フィールドにフィルター基準を入力します。 フィルター基準は、SPNEGO が使用する Java™ クラスによって使用されるフィルター・パラメーターです。
使用される実装クラスにとって意味のある任意の基準を定義します。
フィルター基準について詳しくは、管理コンソールを使用した SPNEGO Web 認証の使用可能化および構成を参照してください。
- 「フィルター・クラス」フィールドで、SPNEGO 認証の対象となる HTTP 要求を選択するために SPNEGO が使用する Java クラスの名前を入力します。 このパラメーターを指定しない場合、デフォルトのフィルター・クラス com.ibm.ws.security.spnego.HTTPHeaderFilter が使用されます。
- オプション: 「SPNEGO がサポートされないエラー・ページ URL (SPNEGO not supported error page URL)」フィールドで、SPNEGO が HTTP 応答に組み込む内容を含むリソースの URL をオプションで入力することができます。 この内容は、(ブラウザー) クライアント・アプリケーションが SPNEGO 認証をサポートしていない場合に、そのアプリケーションによって表示されます。 このプロパティーでは、Web (http://) またはファイル (file://) のリソースを指定できます。
- オプション: 「NTLM トークン受信済みエラー・ページ URL (NTLM token received error page URL)」フィールドで、SPNEGO が HTTP 応答に組み込む内容を含むリソースの URL をオプションで指定することができます。この内容は、(ブラウザー) クライアント・アプリケーションによって表示されます。 (ブラウザー) クライアント・アプリケーションにこの HTTP 応答が表示されるのは、
ユーザー確認のための質問への応答ハンドシェーク時に、ブラウザー・クライアントが予想された SPNEGO トークンの代わりに
NT LAN manager (NTLM) トークンを送信する場合です。
このプロパティーでは、Web (http://) またはファイル (file://) のリソースを指定できます。
- オプション: 「プリンシパル名から Kerberos レルムを切り取る」を選択し、SPNEGO が Kerberos レルム名に先行する、 「@」で始まるプリンシパル・ユーザー名のサフィックスを除去するかどうかを指定します。 このオプションを選択すると、プリンシパル・ユーザー名の サフィックスは除去されます。この属性を選択しない場合、プリンシパル名のサフィックスは保存されます。 デフォルトでは、このオプションは選択されています。
- オプション: 「Kerberos クレデンシャルの委任の有効化」を選択し、Kerberos 委任クレデンシャルを SPNEGO で保管するかどうかを指示します。 このオプションを使用することにより、アプリケーションは保管されたクレデンシャルを取得し、
それらを追加の SPNEGO 認証用に他のダウンストリームのアプリケーションに伝搬させることができます。
注: このオプションが使用可能 (デフォルト設定) の場合、GSSCredential をシリアライズすることはできず、ダウンストリーム・サーバーに伝搬できません。クライアントの Kerberos 委任クレデンシャルが抽出され、KRBAuthnToken ベースが作成されます。KRBAuthnToken にはクライアントの Kerberos 代行が含まれ、ダウンストリーム・サーバーに伝搬することができます。
KRBAuthnToken をダウンストリーム・サーバーに伝搬する場合は、クライアントのチケット許可チケット (TGT) にアドレスなしオプションおよび転送可能オプションが含まれている必要があります。 クライアント TGT にアドレスが指定されている場合は、伝搬後、ダウンストリーム・サーバーにクライアントの GSS 代行クレデンシャルは含まれません。
クライアント代行 GSSCredential は、KRBAuthnToken.getGSSCredential() メソッドを使用して KRBAuthnToken から抽出することができます。
- 「OK」をクリックします。
タスクの結果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_filter
ファイル名:tsec_SPNEGO_add_filter.html