wsadmin ユーティリティーを使用した SPNEGO TAI プロパティーの追加 (非推奨)

WebSphere® Application Server のセキュリティー構成に、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・アソシエーション・インターセプター (TAI) のプロパティーを追加するには、wsadmin ユーティリティーを使用します。

このタスクについて

非推奨の機能 (Deprecated feature) 非推奨の機能 (Deprecated feature):

WebSphere Application Server バージョン 6.1 では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されたリソースへの HTTP 要求を安全にネゴシエーションし、認証する、トラスト・アソシエーション・インターセプター (TAI) が導入されています。 WebSphere Application Server 7.0 では、 この機能は現在推奨されていません。SPNEGO フィルターの動的再ロードを提供し、アプリケーション・ログイン方式へのフォールバックを可能にするために、SPNEGO Web 認証が用意されています。

depfeat

エンド・ユーザーのデスクトップ・ブラウザーが SPNEGO 認証をサポートしていること、SPNEGO TAI が使用可能になっていること、Java™ 仮想マシン (JVM) プロパティーが設定されていること、および SPNEGO TAI の操作を使用できるよう WebSphere Application Server が構成されていることを確認してください。

WebSphere Application Server 用に SPNEGO TAI を構成するには、以下のように wsadmin ユーティリティーを使用します。

手順

  1. WebSphere Application Server を始動します。
  2. [AIX Solaris HP-UX Linux Windows][z/OS]app_server_root/bin ディレクトリーから、wsadmin コマンドを実行して、コマンド行ユーティリティーを開始します。
  3. [IBM i]Qshell コマンド行から app_server_root/bin ディレクトリーにある wsadmin コマンドを実行して、コマンド行ユーティリティーを開始します。
  4. wsadmin プロンプトで、次のコマンドを入力します。
    $AdminTask addSpnegoTAIProperties
    このコマンドでは、以下のパラメーターを使用できます。
    オプション 説明
    <spnId> このパラメーターはオプションです。 これは、このコマンドで定義される カスタム・プロパティーのグループの SPN ID です。このパラメーターを指定しなかった場合は、未使用の SPN ID が割り当てられます。
    <host> このパラメーターは必須です。 このパラメーターは、Kerberos セキュア・コンテキストを確立するために SPNEGO TAI が使用する SPN のホスト名部分を指定します。
    <filter> このパラメーターはオプションです。 このパラメーターは、上記の属性を使用して指定されるクラスによって使用されるフィルター基準を定義します。このパラメーターを指定しない場合、すべての HTTP 要求が SPNEGO 認証の対象となります。
    <filterClass> このパラメーターはオプションです。 このパラメーターは、SPNEGO 認証を受ける必要のある HTTP 要求を選択するために SPNEGO TAI が使用する Java クラスの名前を指定します。 このパラメーターを 指定しない場合、デフォルトのフィルター・クラス com.ibm.ws.security.spnego.HTTPHeaderFilter が使用されます。
    <noSpnegoPage> このパラメーターはオプションです。 このパラメーターは、SPNEGO TAI が HTTP 応答に組み込む内容を含むリソースの URL を指定します。この内容は、(ブラウザー) クライアント・アプリケーションが SPNEGO 認証をサポートしていない場合に、そのアプリケーションによって表示されます。
    noSpnegoPage パラメーターを 指定しない場合は、デフォルトが使用されます。
    "<html><head><title>SPNEGO
    authentication is not supported.
    </title></head>" +
    "<body>SPNEGO authentication is 
    not supported on this client.
    </body></html>";
    <ntlmTokenPage> このパラメーターはオプションです。 この属性は、 SPNEGO TAI が HTTP 応答に組み込む内容を含むリソースの URL を指定します。この内容は、 インターセプターによってユーザー確認のための質問への応答ハンドシェークの後に受信された SPNEGO トークンに、 期待されている SPNEGO トークンではなく、NT LAN マネージャー (NTLM) トークンが含まれている場合に、 (ブラウザー) クライアント・アプリケーションによって表示されます。
    ntlmTokenPage パラメーターを指定しない場合は、デフォルトが使用されます。
    "<html><head><title>An NTLM 
    Token was received.</title></head>"
    + "<body>Your browser configuration
    is correct, but you have not
    logged into a supported Windows
    Domain."
    + "<p>Please login to the application 
    using the normal login page.</html>";
    <trimUserName> このパラメーターはオプションです。 SPNEGO TAI が、Kerberos レルム名に先行する、「@」で始まるプリンシパル・ユーザー名のサフィックスを除去するかどうかを指定します。このパラメーターを true に設定すると、プリンシパル・ユーザー名のサフィックスは 除去されます。このパラメーターを false に設定すると、 プリンシパル・ユーザー名のサフィックスは残されます。 使用されるデフォルト値は true です。

タスクの結果

この WebSphere Application Server 用の SPNEGO TAI プロパティーが追加されました。

例 1
以下の例では、ユーザー・エージェント要求ヘッダーに IE 6 を含む HTTP 要求をインターセプトするよう SPNEGO TAI が構成されます。SPNEGO TAI は、HTTP/myhost.ibm.com@<default_realm> の SPN を使用して、要求の発信元を認証します。
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6
例 2
以下の例では、デフォルトの filterClass を使用して、ホスト central01.austin.ibm.com に対するすべての要求をインターセプトするために、SPN1 の SPNEGO TAI プロパティーが追加されます。
wsadmin>$AdminTask addSpnegoTAIProperties -interactive
Add SPNEGO TAI properties

Add SPNEGO TAI configuration properties.

*Host name in Service Principal Name (host): central01.austin.ibm.com
Service Principal Name identifier (spnId): 1
HTTP header filter rule (filter):
Name of class used to filter HTTP requests (filterClass):
SPNEGO not supported browser response (noSpnegoPage):
NTLM Token received browser response (ntlmTokenPage):
Trim User Name browser response (trimUserName):

Add SPNEGO TAI properties

F (Finish)
C (Cancel)

Select [F, C]: [F] f
WASX7278I: Generated command line: $AdminTask addSpnegoTAIProperties {-host central01.austin.ibm.com}
com.ibm.ws.security.spnego.SPN1.hostName=central01.austin.ibm.com
wsadmin>

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_wsadmin
ファイル名:tsec_SPNEGO_add_wsadmin.html