Criando uma Conexão Única para Pedidos de HTTP Utilizando a Autenticação da Web SPNEGO

Criar conexões únicas para solicitações de HTTP usando a autenticação da Web Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) para o WebSphere Application Server requer o desempenho de diversas funções distintas, porém relacionadas, que quando completadas, permitem que os usuários HTTP efetuem o login e se autentiquem ao controlador de domínio da Microsoft uma única vez em sua área de trabalho e recebam autenticação automática a partir do WebSphere Application Server.

Antes de Iniciar

Nota:

No WebSphere Application Server Versão 6.1, foi introduzido um TAI (Trust Association Interceptor) que utiliza o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar e autenticar com segurança pedidos de HTTP para recursos seguros. Essa função foi descontinuada no WebSphere Application Server Versão 7.0. A autenticação da Web SPNEGO tomou esse lugar para fornecer os seguintes aprimoramentos:

  • É possível configurar e ativar a autenticação da Web e os filtros SPNEGO no lado do servidor do WebSphere Application Server usando o console administrativo.
  • O recarregamento dinâmico de SPNEGO é fornecido sem a necessidade de parar e reiniciar o servidor WebSphere Application Server.
  • O fallback para um método de login de aplicativo será fornecido se a autenticação da Web SPNEGO falhar.

Você pode ativar o SPNEGO TAI ou a Autenticação da Web de SPNEGO, mas não ambos.

Consulte o Conexão Única para Solicitações de HTTP Usado a Autenticação da Web SPNEGO para obter melhor entendimento sobre o quê é a autenticação da Web SPNEGO e como ela é suportada nesta versão do WebSphere Application Server.

Antes de iniciar essa tarefa, conclua a seguinte lista de verificação:

  • [Windows]Um Microsoft Windows Server que executa o Active Directory Domain Controller e o Key Distribution Center (KDC) do Kerberos associado.
  • [Windows]Um membro de domínio do Microsoft Windows (cliente) por exemplo, um navegador ou cliente do Microsoft .NET, que suporta o mecanismo de autenticação SPNEGO, conforme definido no IETF RFC 2478. O Microsoft Internet Explorer Versão 5.5 ou posterior e o Mozilla Firefox Versão 1.0 se qualificam como tais clientes.
    Importante: Um controlador de domínio em execução e, pelo menos, uma máquina cliente nesse domínio são necessários. O uso do SPNEGO diretamente do controlador de domínio não é suportado.
  • O membro do domínio possui usuários que podem efetuar logon no domínio. Especificamente, é necessário ter um domínio do Microsoft Windows Active Directory, que inclui:
    • Controlador de Domínio
    • Estação de Trabalho do Cliente
    • Usuários que podem efetuar login na estação de trabalho do cliente
  • Uma plataforma de servidor com o WebSphere Application Server em execução e a segurança de aplicativo ativada.
  • Os usuários no diretório ativo devem estar aptos a acessar os recursos protegidos do WebSphere Application Server utilizando um mecanismo de autenticação do WebSphere Application Server nativo.
  • O controlador de domínio e o host do WebSphere Application Server devem ter a mesma hora local.
  • Assegure-se de que o relógio nos clientes, Microsoft Active Directory e WebSphere Application Server, estejam sincronizados no espaço de cinco minutos.
  • Lembre-se de que os navegadores clientes devem ter o SPNEGO ativado, o que é feito na máquina do aplicativo cliente (com detalhes explicados no procedimento 4, "Configurar o aplicativo cliente na máquina do aplicativo cliente").

Sobre Esta Tarefa

O objetivo desta disposição da máquina é permitir que os usuários acessem com êxito os recursos do WebSphere Application Server, sem ter que autenticar e, portanto, alcançar o recurso de conexão única do desktop Microsoft Windows.

A configuração dos membros desse ambiente para estabelecer a conexão única do Microsoft Windows envolve atividades específicas que são desempenhada em três máquinas distintas:
  • Um Microsoft Windows Server que executa o Active Directory Domain Controller e o Key Distribution Center (KDC) do Kerberos associado.
  • Um membro de domínio do Microsoft Windows (aplicativo cliente) como um navegador ou cliente do Microsoft .NET.
  • Uma plataforma de servidor com o WebSphere Application Server em execução.

Continue com as seguintes etapas para criar uma conexão única para solicitações de HTTP usando a autenticação da Web SPNEGO:

Procedimento

  1. Crie um Service Principal Name (SPN) e um arquivo keytab do Kerberos na sua máquina do controlador de domínio Microsoft.
    1. Você deve configurar sua máquina do controlador de domínio para criar conexões únicas para solicitações de HTTP usando a autenticação da Web Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) para o WebSphere® Application Server. Configure o Microsoft Windows Server que está executando o Active Directory Domain Controller e o Kerberos Key Distribution Center (KDC) associado. Leia o artigo Configurando sua Máquina do Controlador de Domínio para Criar Conexões Únicas para Solicitações HTTP Usando SPNEGO para obter informações adicionais.
  2. Crie um arquivo de configuração do Kerberos
    1. A implementação da IBM® do JGSS (Java™ Generic Security Service) e o KRB5 exigem um arquivo de configuração do Kerberos (krb5.conf ou krb5.ini) em cada nó ou na JVM (Java Virtual Machine). Neste release do WebSphere Application Server, esse arquivo de configuração deve ser colocado no diretório config/cells/<cell_name> para que todos os servidores de aplicativos possam acessar esse arquivo. Se você não tiver um arquivo de configuração do Kerberos, utilize um comando wsadmin para criar um. Consulte o artigo Criando uma Configuração do Kerberos para obter informações adicionais.
  3. Configure e ative a autenticação da Web SPNEGO usando o console administrativo na sua máquina do WebSphere Application Server.
    1. É possível ativar e configurar o Simple and Protected GSS-API Negotiation (SPNEGO) como o autenticador da Web para o servidor de aplicativos usando o console administrativo na máquina do WebSphere Application Server . Consulte o artigo Ativando e Configurando a Autenticação da Web SPNEGO Usando o Console Administrativo para obter mais informações.
  4. Configure o aplicativo cliente na máquina do aplicativo cliente.
    1. Os aplicativos do lado do cliente são responsáveis por gerar o token SPNEGO. Inicie esse processo de configuração ao configurar seu navegador da Web para usar a autenticação SPNEGO. Leia o artigo Configurando o Navegador do Cliente para Usar o SPNEGO para obter informações adicionais.
  5. Crie tokens SPNEGO para J2EE, .NET, Java, clientes de serviço da web para solicitações de HTTP (opcional)
    1. Você pode criar um token Simple and Protected GSS-API Negotiation (SPNEGO) para seus aplicativos e inserir este token nos cabeçalhos HTTP para autenticação no WebSphere Application Server. Consulte o artigo Criando Tokens SPNEGO para Clientes de Serviço da Web J2EE, .NET, e Java para Solicitações de HTTP para obter mais informações.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_overview
Nome do arquivo: tsec_SPNEGO_overview.html