관리 콘솔을 사용하여 SPNEGO 웹 인증 필터 추가 또는 수정

SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) 필터 값은 SPNEGO의 다른 측면을 제어합니다. 관리 콘솔을 사용하여 각 Application Server에 다른 필터 값을 지정할 수 있습니다.

프로시저

  1. 관리 콘솔에서 보안 > 글로벌 보안을 클릭하십시오.
  2. 인증 아래에서 웹 및 SIP 보안을 펼친 다음 SPNEGO 웹 인증을 클릭하십시오.
  3. SPNEGO 필터 아래에서 편집할 기존 호스트 이름을 선택하거나 새로 작성을 클릭하십시오.
  4. 새 필터를 작성하는 경우에는 WebSphere® Application Server 호스트 이름을 입력하십시오. 이는 Kerberos 보안 컨텍스트를 설정하기 위해 SPNEGO에 의해 사용되는 Kerberos 서비스 프린시펄 이름(SPN)에 있는 호스트 이름입니다.
  5. Kerberos 영역 이름을 입력하십시오. 대부분의 경우, 영역은 도메인 이름을 대문자로 표시한 것입니다. 예를 들어 도메인 이름이 test.austin.ibm.com인 머신의 경우 일반적으로 Kerberos 영역 이름은 AUSTIN.IBM.COM입니다.
  6. 필터 기준 필드에 필터 기준을 입력하십시오. 필터 기준은 SPNEGO에 의해 사용되는 Java™ 클래스에서 사용된 필터 처리 매개변수입니다. 이는 사용된 구현 클래스에 의미 있는 임의 기준을 정의합니다.

    필터 기준에 대한 자세한 정보는 관리 콘솔을 사용하여 SPNEGO 웹 인증을 사용 설정 및 구성의 내용을 읽으십시오.

  7. 필터 클래스 필드에 어떤 HTTP 요청이 SPNEGO 인증에 따르는지를 선택하기 위해 SPNEGO가 사용하는 Java 클래스의 이름을 입력하십시오. 이 매개변수를 지정하지 않으면 기본 필터 클래스, com.ibm.ws.security.spnego.HTTPHeaderFilter가 사용됩니다.
  8. 옵션: SPNEGO가 오류 페이지 URL을 지원하지 않음 필드에서 SPNEGO 인증을 지원하지 않는 경우 브라우저 클라이언트 애플리케이션에 의해 표시되는 HTTP 응답에 SPNEGO가 포함하는 컨텐츠를 포함하는 자원의 URL을 선택적으로 입력할 수 있습니다. 이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.
  9. 옵션: NTLM 토큰이 오류 페이지 URL을 수신함 필드에서 (브라우저) 클라이언트 애플리케이션에 의해 표시되는 HTTP 응답에 SPNEGO가 포함하는 컨텐츠를 포함하는 자원의 URL을 선택적으로 지정할 수 있습니다. (브라우저) 클라이언트 애플리케이션은 브라우저 클라이언트가 인증 확인-응답 핸드쉐이크 동안에 예상된 SPNEGO 토큰 대신에 NT LAN 관리자(NTLM) 토큰을 전송할 때 이 HTTP 응답을 표시합니다.

    이 특성은 웹(http://) 또는 파일(file://) 자원을 지정할 수 있습니다.

  10. 옵션: SPNEGO가 Kerberos 영역 이름 앞에 오는 @부터 시작하여 프린시펄 사용자 이름의 접미부를 제거해야 하는지 여부를 지정하려면 프린시펄 이름에서 Kerberos 영역 자르기를 선택하십시오. 이 옵션이 선택된 경우에는 프린시펄 사용자 이름의 접미부가 제거됩니다. 이 속성이 선택되지 않은 경우에는 프린시펄 이름의 접미부가 유지됩니다. 이 옵션의 기본값은 선택되는 것입니다.

  11. 옵션: Kerberos 위임 신임 정보가 SPNEGO에 의해 저장되어야 하는지 여부를 나타내려면 Kerberos 신임 정보의 위임 사용을 선택하십시오. 이 옵션은 또한 애플리케이션이 저장된 신임 정보를 검색하고 추가 SPNEGO 인증을 위해 다른 애플리케이션에 다운스트림으로 전파할 수 있도록 해줍니다.
    참고: 이 옵션이 사용으로 설정되면(기본값), GSSCredential은 직렬화 가능하지 않고 다운스트림 서버로 전파될 수 없습니다. 클라이언트 Kerberos 위임 신임 정보가 추출되고 KRBAuthnToken 기본이 작성됩니다. KRBAuthnToken은 클라이언트 Kerberos 위임을 포함하며 다운스트림 서버로 전파될 수 있습니다.

    KRBAuthnToken을 다운스트림 서버로 전파하려면 클라이언트 TGT(Ticket Granting Ticket)에 addressless 및 forwardable 옵션이 있어야 합니다. 클라이언트 TGT가 해결되면 다운스트림 서버는 전파된 후 클라이언트 GSS 위임 신임 정보를 가지고 있지 않습니다.

    KRBAuthnToken.getGSSCredential() 메소드를 사용하여 클라이언트 위임 GSSCredential을 KRBAuthnToken에서 추출할 수 있습니다.

  12. 확인을 클릭하십시오.

결과

Application Server에서 새 SPNEGO 필터 값을 작성했거나 기존 것을 수정했습니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_filter
파일 이름:tsec_SPNEGO_add_filter.html