SPNEGO 웹 인증 필터 값
SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) 웹 인증 필터 값은 SPNEGO의 다양한 측면을 제어합니다. 이 페이지에서 각 애플리케이션 서버에 다른 필터를 지정할 수 있습니다.
이 관리 콘솔 페이지를 보려면 SPNEGO 웹 인증을 클릭하십시오. SPNEGO 필터 아래에서 새로 작성을 클릭하거나 편집할 필터를 선택하십시오.
을 클릭하십시오. 인증에서 웹 및 SIP 보안을 펼친 후호스트 이름
SPNEGO에서 Kerberos 보안 컨텍스트를 설정하기 위해 사용되는 Kerberos 서비스 프린시펄 이름(SPN)의 완전한 호스트 이름을 지정합니다.
호스트 이름은 호스트 이름의 완전한 양식입니다(예: myHostname.austin.ibm.com).
Kerberos SPN은 HTTP/<fully qualified hostname>@KERBEROS_REALM 양식의 문자열입니다. SPNEGO 제공자는 인증 프로세스에서 사용하는 보안 인증 및 보안 컨텍스트를 확보하기 위해 JGSS(Java™ Generic Security Service)에서 전체 SPN을 사용합니다.
Information | 값 |
---|---|
데이터 유형: | String |
Kerberos 영역 이름
Kerberos 영역의 이름을 지정합니다. 대부분의 경우, 영역은 도메인 이름을 대문자로 표시한 것입니다. 예를 들어, 도메인 이름이 test.austin.ibm.com인 시스템의 Kerberos 영역 이름은 일반적으로 AUSTIN.IBM.COM입니다.
Kerberos 영역 이름을 지정하지 않으면, Kerberos 구성 파일에 구성된 기본 영역이 사용됩니다.
필터 기준
SPNEGO에 의해 사용되는 Java 클래스에서 사용하는 필터링 기준
com.ibm.ws.security.spnego.HTTPHeaderFilter 기본 구현 클래스는 이 특성을 통해 선택사항 규칙 목록을 정의합니다. 이때 규칙 목록은 SPENGO 인증에서 HTTP 요청의 선택 여부를 판별하는 HTTP 요청 헤더와 일치하는 조건을 표시합니다.
각 조건은 키-값 쌍으로 지정되며 각각은 세미콜론(;)으로 구분됩니다. 조건은 지정된 특성에 표시된 대로 왼쪽에서 오른쪽으로 평가됩니다. 모든 조건에 만족하면 SPNEGO 인증 시 HTTP 요청이 선택됩니다.
키-값 쌍으로 구성된 키 및 값은 확인되는 조건을 정의하는 조작자로 구분됩니다. 키는 요청에서 추출할 HTTP 요청 헤더를 식별하고 해당 값은 조작자 스펙에 따라 키-값 쌍에 지정된 값과 비교됩니다. 키에서 식별된 헤더가 HTTP 요청에 없는 경우 조건은 만족하지 않은 것으로 처리됩니다.
String url = request.getRequestURL() + ‘?' + request.getQueryString();
조건 | 연산자 | 예제 |
---|---|---|
정확히 일치 | == 인수 비교 결과, 서로 같습니다. |
host==host.my.company.com |
부분 일치(포함) | %= 인수 비교 결과, 부분적으로 일치합니다. |
user-agent%=IE 6 |
부분 일치(여러 개 중 하나 포함) | ^= 인수 비교 결과, 지정된 여러 인수 중 하나만 부분적으로 일치합니다. |
request-url^=webApp1|webApp2|webApp3 |
불일치 | != 인수 비교 결과, 서로 같지 않습니다. |
request-url!=noSPNEGO |
보다 큼 | > 인수 비교 결과, 사전적 측면에서 보다 큽니다. |
remote-address>192.168.255.130 |
보다 작음 | < 인수 비교 결과, 사전적 측면에서 보다 작습니다. |
remote-address<192.168.255.135 |
Information | 값 |
---|---|
데이터 유형: | String |
필터 클래스
SPNEGO 인증을 따르는HTTP 요청을 선택하기 위해 SPNEGO에서 사용하는 Java 클래스의 이름을 지정합니다. 이 매개변수를 지정하지 않으면, 기본 필터 클래스(com.ibm.ws.security.spnego.HTTPHeaderFilter)가 사용됩니다.
Information | 값 |
---|---|
데이터 유형: | String |
SPNEGO가 지원되지 않는 오류 페이지 URL
이 선택사항은 선택적입니다. SPNEGO 인증이 지원되지 않는 경우, SPNEGO가 브라우저 클라이언트 애플리케이션이 표시하는 HTTP 응답에 포함하는 컨텐츠가 들어 있는 자원의 URL을 지정합니다.
이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.
<html><head><title>SPNEGO authentication is not supported</title></head>
<body>SPNEGO authentication is not supported on this client</body></html>;
Information | 값 |
---|---|
데이터 유형: | String |
NTLM 토큰 수신 오류 페이지 URL
이 특성은 선택적입니다. SPNEGO가 브라우저 클라이언트 애플리케이션이 표시하는 HTTP 응답에 포함하는 컨텐츠가 들어 있는 자원의 URL을 지정합니다.
브라우저 클라이언트 애플리케이션은 브라우저 클라이언트가 인증 확인-응답 핸드쉐이크 중에 예상된 SPNEGO 토큰 대신 NTLM(NT LAN Manager)을 전송할 때 이 HTTP 응답을 표시합니다.
<html><head><title>An NTLM Token was received.</title></head>
<body>Your browser configuration is correct, but you have not logged into a supported
Microsoft(R) Windows(R) Domain.
<p>Please login to the application using the normal login page.</html>
이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.
Information | 값 |
---|---|
데이터 유형: | String |
Kerberos 신임 위임 사용
SPNEGO에서 Kerberos의 위임 신임을 저장해야 하는지 여부를 지정합니다. 또한 애플리케이션에서 저장된 신임을 검색한 추가 SPNEGO 인증 시 다른 애플리케이션 다운스트림에 해당 신임을 전파할 수도 있습니다.
이 옵션을 사용하려면 고급 Kerberos 신임 위임 기능을 사용해야 하며 애플리케이션 개발자가 사용자 정의 로직을 개발해야 합니다. 개발자는 처음에 요청을 한 사용자 대신 위임된 Kerberos 신임을 사용하여 Kerberos TGS(Ticket Granting Service)를 확보하려면 Kerberos KDC와 직접 상호 작용해야 합니다. 또한 개발자는 필요에 따라 추가 SPNEGO 인증 확인-응답 교환 처리를 비롯하여 다운스트림 SPNEGO 인증 프로세스를 계속하려면 적절한 Kerberos SPNEGO 토큰을 구성한 후 HTTP 요청에 포함시켜야 합니다.
KRBAuthnToken을 다운스트림 서버로 전파하려면 클라이언트 TGT(Ticket Granting Ticket)에 addressless 및 forwardable 옵션이 있어야 합니다. 클라이언트 TGT가 주소 지정된 경우 다운스트림 서버에는 전파 후 클라이언트 GSS 위임 신임이 없습니다.
KRBAuthnToken.getGSSCredential() 메소드를 사용하여 클라이언트 위임 GSSCredential을 KRBAuthnToken에서 추출할 수 있습니다.
Information | 값 |
---|---|
기본값: | 사용 불가능 |
프린시펄 이름에서 Kerberos 영역 제거
이 선택사항은 선택적입니다. SPNEGO가 Kerberos 영역 이름 앞에 오는 @로 시작하는 프린시펄 사용자 이름의 접미부를 제거할 것인지 여부를 지정합니다. 이 속성이 true로 설정되면, 프린시펄 사용자 이름의 접미부가 제거됩니다. 이 속성을 false로 설정하면 프린시펄 사용자 이름의 접미부가 유지됩니다. 기본값은 true입니다.
Information | 값 |
---|---|
기본값: | 사용 불가능 |