SPNEGO 웹 인증 필터 값

SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) 웹 인증 필터 값은 SPNEGO의 다양한 측면을 제어합니다. 이 페이지에서 각 애플리케이션 서버에 다른 필터를 지정할 수 있습니다.

이 관리 콘솔 페이지를 보려면 보안 > 글로벌 보안을 클릭하십시오. 인증에서 웹 및 SIP 보안을 펼친 후 SPNEGO 웹 인증을 클릭하십시오. SPNEGO 필터 아래에서 새로 작성을 클릭하거나 편집할 필터를 선택하십시오.

호스트 이름

SPNEGO에서 Kerberos 보안 컨텍스트를 설정하기 위해 사용되는 Kerberos 서비스 프린시펄 이름(SPN)의 완전한 호스트 이름을 지정합니다.

호스트 이름은 호스트 이름의 완전한 양식입니다(예: myHostname.austin.ibm.com).

Kerberos SPN은 HTTP/<fully qualified hostname>@KERBEROS_REALM 양식의 문자열입니다. SPNEGO 제공자는 인증 프로세스에서 사용하는 보안 인증 및 보안 컨텍스트를 확보하기 위해 JGSS(Java™ Generic Security Service)에서 전체 SPN을 사용합니다.

Information
데이터 유형: String

Kerberos 영역 이름

Kerberos 영역의 이름을 지정합니다. 대부분의 경우, 영역은 도메인 이름을 대문자로 표시한 것입니다. 예를 들어, 도메인 이름이 test.austin.ibm.com인 시스템의 Kerberos 영역 이름은 일반적으로 AUSTIN.IBM.COM입니다.

Kerberos 영역 이름을 지정하지 않으면, Kerberos 구성 파일에 구성된 기본 영역이 사용됩니다.

필터 기준

SPNEGO에 의해 사용되는 Java 클래스에서 사용하는 필터링 기준

com.ibm.ws.security.spnego.HTTPHeaderFilter 기본 구현 클래스는 이 특성을 통해 선택사항 규칙 목록을 정의합니다. 이때 규칙 목록은 SPENGO 인증에서 HTTP 요청의 선택 여부를 판별하는 HTTP 요청 헤더와 일치하는 조건을 표시합니다.

각 조건은 키-값 쌍으로 지정되며 각각은 세미콜론(;)으로 구분됩니다. 조건은 지정된 특성에 표시된 대로 왼쪽에서 오른쪽으로 평가됩니다. 모든 조건에 만족하면 SPNEGO 인증 시 HTTP 요청이 선택됩니다.

키-값 쌍으로 구성된 키 및 값은 확인되는 조건을 정의하는 조작자로 구분됩니다. 키는 요청에서 추출할 HTTP 요청 헤더를 식별하고 해당 값은 조작자 스펙에 따라 키-값 쌍에 지정된 값과 비교됩니다. 키에서 식별된 헤더가 HTTP 요청에 없는 경우 조건은 만족하지 않은 것으로 처리됩니다.

표준 HTTP 요청 헤더는 키-값 쌍에서 키로 사용할 수 있습니다. 올바른 헤더 목록은 HTTP 스펙을 참조하십시오. 또한 요청에서 정보를 추출할 2개의 키를 정의합니다. 이 키는 표준 HTTP 요청 헤더를 통해 사용할 수 없는 선택사항 기준으로도 유용합니다. remote-address 키는 HTTP 요청을 전송하는 클라이언트 애플리케이션의 원격 TCP/IP 주소를 검색하는 경우 의사 헤더로 사용됩니다. request-URL 키는 클라이언트 애플리케이션에서 요청을 작성할 때 사용하는 URL을 검색하는 경우 의사 헤더로 사용됩니다. 인터셉터는 javax.servlet.http.HttpServletRequest 인터페이스의 getRequestURL 조작 결과를 사용하여 웹 주소를 구성합니다. 조회 문자열이 있는 경우 동일한 인터페이스의 getQueryString 조작 결과도 사용합니다. 이 경우 완전한 URL은 다음과 같이 구성됩니다.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
표 1. 필터 조건 및 조작 .

다음 표는 필터 기준 조건 및 조작에 대해 설명합니다.

조건 연산자 예제
정확히 일치 ==

인수 비교 결과, 서로 같습니다.

host==host.my.company.com
부분 일치(포함) %=

인수 비교 결과, 부분적으로 일치합니다.

user-agent%=IE 6
부분 일치(여러 개 중 하나 포함) ^=

인수 비교 결과, 지정된 여러 인수 중 하나만 부분적으로 일치합니다.

request-url^=webApp1|webApp2|webApp3
불일치 !=

인수 비교 결과, 서로 같지 않습니다.

request-url!=noSPNEGO
보다 큼 >

인수 비교 결과, 사전적 측면에서 보다 큽니다.

remote-address>192.168.255.130
보다 작음 <

인수 비교 결과, 사전적 측면에서 보다 작습니다.

remote-address<192.168.255.135
참고: Websphere Application Server의 이전 버전에서는 SPNEGO HTTP 헤더 필터가 공간, IP 주소 및 != 조건을 제대로 핸들링하지 않았지만 이번 릴리스에서 문제가 해결되었습니다.
Information
데이터 유형: String

필터 클래스

SPNEGO 인증을 따르는HTTP 요청을 선택하기 위해 SPNEGO에서 사용하는 Java 클래스의 이름을 지정합니다. 이 매개변수를 지정하지 않으면, 기본 필터 클래스(com.ibm.ws.security.spnego.HTTPHeaderFilter)가 사용됩니다.

Information
데이터 유형: String

SPNEGO가 지원되지 않는 오류 페이지 URL

이 선택사항은 선택적입니다. SPNEGO 인증이 지원되지 않는 경우, SPNEGO가 브라우저 클라이언트 애플리케이션이 표시하는 HTTP 응답에 포함하는 컨텐츠가 들어 있는 자원의 URL을 지정합니다.

이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.

이 특성을 지정하지 않거나 인터셉터가 지정된 자원을 찾을 수 없는 경우, 다음 컨텐츠가 사용됩니다.
<html><head><title>SPNEGO authentication is not supported</title></head>
<body>SPNEGO authentication is not supported on this client</body></html>;
Information
데이터 유형: String

NTLM 토큰 수신 오류 페이지 URL

이 특성은 선택적입니다. SPNEGO가 브라우저 클라이언트 애플리케이션이 표시하는 HTTP 응답에 포함하는 컨텐츠가 들어 있는 자원의 URL을 지정합니다.

브라우저 클라이언트 애플리케이션은 브라우저 클라이언트가 인증 확인-응답 핸드쉐이크 중에 예상된 SPNEGO 토큰 대신 NTLM(NT LAN Manager)을 전송할 때 이 HTTP 응답을 표시합니다.

이 특성을 지정하지 않거나 인터셉터가 지정된 자원을 찾을 수 없는 경우, 다음 컨텐츠가 사용됩니다.
<html><head><title>An NTLM Token was received.</title></head>
<body>Your browser configuration is correct, but you have not logged into a supported
Microsoft(R) Windows(R) Domain.
<p>Please login to the application using the normal login page.</html>

이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.

Information
데이터 유형: String

Kerberos 신임 위임 사용

SPNEGO에서 Kerberos의 위임 신임을 저장해야 하는지 여부를 지정합니다. 또한 애플리케이션에서 저장된 신임을 검색한 추가 SPNEGO 인증 시 다른 애플리케이션 다운스트림에 해당 신임을 전파할 수도 있습니다.

이 옵션을 사용하려면 고급 Kerberos 신임 위임 기능을 사용해야 하며 애플리케이션 개발자가 사용자 정의 로직을 개발해야 합니다. 개발자는 처음에 요청을 한 사용자 대신 위임된 Kerberos 신임을 사용하여 Kerberos TGS(Ticket Granting Service)를 확보하려면 Kerberos KDC와 직접 상호 작용해야 합니다. 또한 개발자는 필요에 따라 추가 SPNEGO 인증 확인-응답 교환 처리를 비롯하여 다운스트림 SPNEGO 인증 프로세스를 계속하려면 적절한 Kerberos SPNEGO 토큰을 구성한 후 HTTP 요청에 포함시켜야 합니다.

참고: 이 옵션이 사용 가능하면(기본값), GSSCredential은 직렬화 가능하지 않으며 다운스트림 서버로 전파될 수 없습니다. 클라이언트 Kerberos 위임 신임이 추출되고 KRBAuthnToken 기반이 작성됩니다. KRBAuthnToken은 클라이언트 Kerberos 위임을 포함하며 다운스트림 서버로 전파될 수 있습니다.

KRBAuthnToken을 다운스트림 서버로 전파하려면 클라이언트 TGT(Ticket Granting Ticket)에 addressless 및 forwardable 옵션이 있어야 합니다. 클라이언트 TGT가 주소 지정된 경우 다운스트림 서버에는 전파 후 클라이언트 GSS 위임 신임이 없습니다.

KRBAuthnToken.getGSSCredential() 메소드를 사용하여 클라이언트 위임 GSSCredential을 KRBAuthnToken에서 추출할 수 있습니다.

Information
기본값: 사용 불가능

프린시펄 이름에서 Kerberos 영역 제거

이 선택사항은 선택적입니다. SPNEGO가 Kerberos 영역 이름 앞에 오는 @로 시작하는 프린시펄 사용자 이름의 접미부를 제거할 것인지 여부를 지정합니다. 이 속성이 true로 설정되면, 프린시펄 사용자 이름의 접미부가 제거됩니다. 이 속성을 false로 설정하면 프린시펄 사용자 이름의 접미부가 유지됩니다. 기본값은 true입니다.

Information
기본값: 사용 불가능

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_kerb_SPNEGO_edit
파일 이름:usec_kerb_SPNEGO_edit.html