Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) トラスト・アソシエーション・インターセプター (TAI) を認証のために使用し、かつアプリケーション・サーバーのホスト名として別名ホスト名を使用するときは、その別名ホスト名を SPNEGO シングル・サインオンのための実際のホスト名に解決するカスタム・プロパティーを構成する必要があります。
これにより、アプリケーション・サーバーの構成を変更せずに DNS で別名の追加と変更を動的に行うことができます。 このカスタム・プロパティーを使用可能にすれば、SPNEGO 構成によって別名ホスト名を設定する必要がなくなります。
このタスクについて
HTTP 要求が出されるとアプリケーション・サーバーは DNS 検索を実行し、別名ホスト名が既に SPNEGO シングル・サインオン用に構成されているホスト名として解決されれば、アプリケーション・サーバーは処理を続行します。通常、SPNEGO アカウントに別名ホスト名を追加する必要はありません。
手順
- com.ibm.ws.security.spnego.SPNx.hostName
変数の実際のホスト名を定義します。
- 管理コンソールで、とクリックします。
- com.ibm.ws.security.spnego.SPNx.hostName
変数を追加または変更します。 以下に例を示します。
- 名前
- com.ibm.ws.security.spnego.SPNx.hostName
- 値
- real_host_name
このカスタム・プロパティーは、SPNEGO シングル・サインオン用に
アプリケーション・サーバーが別名のホスト名を解決できる実際のホスト名を
指定します。これにより、アプリケーション・サーバーの構成を変更せずに DNS で別名の追加と変更を動的に行うことができます。
オプションで別名ホスト名を定義できますが、必須なのは実際のホスト名を定義することのみです。HTTP 要求を受信すると、
アプリケーション・サーバーが別名ホスト名を実際のホスト名に解決するからです。
- 正規サポート・フラグをオンにします。
- 管理コンソールで、とクリックします。
- com.ibm.websphere.security.krb.canonical_host
変数を追加または変更し、「true」に設定します。
- 名前
- com.ibm.websphere.security.krb.canonical_host
- 値
- true
このカスタム・プロパティーは、アプリケーション・サーバーが
クライアントの認証で正規形式の URL/HTTP ホスト名を使用するかどうかを
指定します。このカスタム・プロパティーを false に
設定すると、Kerberos チケットに HTTP ホスト名ヘッダーと異なる
ホスト名が入る場合があり、アプリケーション・サーバーが
以下のメッセージを出すことがあります。 CWSPN0011E: An invalid SPNEGO token has been encountered while authenticating a HttpServletRequest
このカスタム・プロパティーを true に設定すると、このエラー・メッセージを回避でき、アプリケーション・サーバーが正規形式の URL/HTTP ホスト名を使用して認証を行えるようにすることができます。
- ブラウザーを構成します。 クライアント・マシン用のブラウザーで、別名ホスト名をトラステッド・ホストとして構成する必要があります。
- Internet Explorer の場合:
- を選択します。
- 「セキュリティー」タブを選択します。
- とクリックします。
- このパネルで別名ホスト名を追加します。
- Mozilla Firefox の場合:
- アドレス・バーで 「About:config」 と入力し、ENTER キーを押して構成オプションにアクセスします。
- 「network.negotiate-auth.trusted-uris」設定名を探し、その設定を右クリックして、「変更」を選択します。
この設定がない場合は、パネル内を右クリックし、を選択します。
- テキスト・ボックスで別名ホスト名を追加します (ホスト名の区切りにはコンマを使用します)。
- 実際のホスト名がキータブ・ファイルに追加されていることを確認します。
config: 次の 2 通りの方法でキータブ・ファイルを構成することができます。
- com.ibm.websphere.security.krb.canonical_host が「true」に設定されていると、アプリケーション・サーバーは実際のホスト名がキータブ・ファイルに入っていると想定します。別名は必要ありません。
- com.ibm.websphere.security.krb.canonical_host が「false」に設定されていて、さらに別名が定義されている場合は、別名がキータブ・ファイルに存在していなければなりません。