관리 콘솔을 사용하여 SPNEGO 웹 인증 필터 추가 또는 수정
SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) 필터 값은 SPNEGO의 다른 측면을 제어합니다. 관리 콘솔을 사용하여 각 Application Server에 다른 필터 값을 지정할 수 있습니다.
프로시저
- 관리 콘솔에서 보안 > 글로벌 보안을 클릭하십시오.
- 인증 아래에서 웹 및 SIP 보안을 펼친 다음 SPNEGO 웹 인증을 클릭하십시오.
- SPNEGO 필터 아래에서 편집할 기존 호스트 이름을 선택하거나 새로 작성을 클릭하십시오.
- 새 필터를 작성하는 경우에는 WebSphere® Application Server 호스트 이름을 입력하십시오. 이는 Kerberos 보안 컨텍스트를 설정하기 위해 SPNEGO에 의해 사용되는 Kerberos 서비스 프린시펄 이름(SPN)에 있는 호스트 이름입니다.
- Kerberos 영역 이름을 입력하십시오. 대부분의 경우, 영역은 도메인 이름을 대문자로 표시한 것입니다. 예를 들어 도메인 이름이 test.austin.ibm.com인 머신의 경우 일반적으로 Kerberos 영역 이름은 AUSTIN.IBM.COM입니다.
- 필터 기준 필드에 필터 기준을 입력하십시오. 필터 기준은 SPNEGO에 의해 사용되는 Java™
클래스에서 사용된 필터 처리 매개변수입니다. 이는 사용된 구현 클래스에 의미 있는 임의 기준을 정의합니다.
필터 기준에 대한 자세한 정보는 관리 콘솔을 사용하여 SPNEGO 웹 인증을 사용 설정 및 구성의 내용을 읽으십시오.
- 필터 클래스 필드에 어떤 HTTP 요청이 SPNEGO 인증에 따르는지를 선택하기 위해 SPNEGO가 사용하는 Java 클래스의 이름을 입력하십시오. 이 매개변수를 지정하지 않으면 기본 필터 클래스, com.ibm.ws.security.spnego.HTTPHeaderFilter가 사용됩니다.
- 옵션: SPNEGO가 오류 페이지 URL을 지원하지 않음 필드에서 SPNEGO 인증을 지원하지 않는 경우 브라우저 클라이언트 애플리케이션에 의해 표시되는 HTTP 응답에 SPNEGO가 포함하는 컨텐츠를 포함하는 자원의 URL을 선택적으로 입력할 수 있습니다. 이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.
- 옵션: NTLM 토큰이 오류 페이지 URL을 수신함 필드에서
(브라우저) 클라이언트 애플리케이션에 의해 표시되는 HTTP 응답에 SPNEGO가 포함하는 컨텐츠를 포함하는 자원의 URL을
선택적으로 지정할 수 있습니다. (브라우저) 클라이언트 애플리케이션은 브라우저 클라이언트가
인증 확인-응답 핸드쉐이크 동안에 예상된 SPNEGO 토큰 대신에 NT LAN 관리자(NTLM) 토큰을 전송할 때 이 HTTP 응답을 표시합니다.
이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.
- 옵션: SPNEGO가 Kerberos 영역 이름 앞에 오는 @부터 시작하여 프린시펄 사용자 이름의 접미부를 제거해야 하는지 여부를 지정하려면 프린시펄 이름에서 Kerberos 영역 자르기를 선택하십시오. 이 옵션이 선택된 경우에는 프린시펄 사용자 이름의 접미부가 제거됩니다. 이 속성이 선택되지 않은 경우에는 프린시펄 이름의 접미부가 유지됩니다. 이 옵션의 기본값은 선택되는 것입니다.
- 옵션: Kerberos 위임 신임 정보가 SPNEGO에 의해 저장되어야 하는지 여부를 나타내려면
Kerberos 신임 정보의 위임 사용을 선택하십시오. 이 옵션은 또한 애플리케이션이 저장된 신임 정보를 검색하고
추가 SPNEGO 인증을 위해 다른 애플리케이션에 다운스트림으로 전파할 수 있도록 해줍니다.참고: 이 옵션이 사용으로 설정되면(기본값), GSSCredential은 직렬화 가능하지 않고 다운스트림 서버로 전파될 수 없습니다. 클라이언트 Kerberos 위임 신임 정보가 추출되고 KRBAuthnToken 기본이 작성됩니다. KRBAuthnToken은 클라이언트 Kerberos 위임을 포함하며 다운스트림 서버로 전파될 수 있습니다.
KRBAuthnToken을 다운스트림 서버로 전파하려면 클라이언트 TGT(Ticket Granting Ticket)에 addressless 및 forwardable 옵션이 있어야 합니다. 클라이언트 TGT가 해결되면 다운스트림 서버는 전파된 후 클라이언트 GSS 위임 신임 정보를 가지고 있지 않습니다.
KRBAuthnToken.getGSSCredential() 메소드를 사용하여 클라이언트 위임 GSSCredential을 KRBAuthnToken에서 추출할 수 있습니다.
- 확인을 클릭하십시오.
결과


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_filter
파일 이름:tsec_SPNEGO_add_filter.html