Incluindo ou Modificando Filtros de Autenticação da Web de SPNEGO Utilizando o Console Administrativo
Os valores de filtro do SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlam os diferentes aspectos do SPNEGO. Você pode especificar diferentes valores de filtro para cada servidor de aplicativos utilizando o console administrativo.
Procedimento
- No console administrativo, clique em Segurança > Segurança Global.
- Em Autenticação, expanda Segurança da Web e do SIP e, em seguida, clique em Autenticação da Web de SPNEGO.
- Em Filtros do SPNEGO, selecione um nome de host existente para ser editado ou clique em Novo.
- Digite um nome do host WebSphere Application Server se estiver criando um novo filtro. Esse é o nome do host no SPN (Service Principal Name) do Kerberos utilizado pelo SPNEGO para estabelecer um contexto seguro do Kerberos.
- Digite um nome de região do Kerberos. Na maioria dos casos, a região é o nome de domínio em letras maiúsculas. Por exemplo, uma máquina com o nome de domínio test.austin.ibm.com geralmente teria um nome de região do Kerberos AUSTIN.IBM.COM
- Digite um critério de filtragem no campo Critério de Filtragem. O critério de filtragem é o parâmetro de filtragem utilizado pela classe Java™ utilizada
pelo SPNEGO. Ele define os
critérios arbitrários que são significativos para a classe de
implementação utilizada.
Leia sobre Ativando e Configurando a Autenticação da Web SPNEGO Usando o Console Administrativo para obter informações adicionais sobre os critérios de filtragem.
- No campo Classe de Filtro, digite o nome da classe Java que é utilizada pelo SPNEGO para selecionar quais pedidos de HTTP estão sujeitos à autenticação SPNEGO. Se você não especificar esse parâmetro, a classe de filtro padrão, com.ibm.ws.security.spnego.HTTPHeaderFilter, será utilizada.
- Opcional: No campo URL da página de erro de SPNEGO não suportado, você pode opcionalmente digitar a URL de um recurso que possui o conteúdo que o SPNEGO inclui na resposta de HTTP exibida pelo aplicativo cliente (navegador) se não suportar a autenticação SPNEGO. Essa propriedade pode especificar um recurso da Web (http://) ou um arquivo (file://).
- Opcional: No campo URL da página de erro de token
NTLM recebido, você pode opcionalmente digitar a URL de um recurso que possui
o conteúdo que o SPNEGO inclui na resposta de HTTP, exibida pelo
aplicativo cliente do navegador. O aplicativo cliente (navegador) exibe essa resposta HTTP quando o cliente
navegador envia um token NTLM (NT LAN Manager), em vez do token SPNEGO esperado durante o
protocolo de reconhecimento de resposta ao desafio.
Essa propriedade pode especificar um recurso da Web (http://) ou um arquivo (file://).
- Opcional: Selecione Eliminar Região do Kerberos do Nome do Proprietário para especificar se o SPNEGO deverá remover o sufixo do nome do usuário proprietário, começando pelo @ que antecede o nome da região do Kerberos. Se essa opção for selecionada, o sufixo do nome do usuário proprietário será removido. Se esse atributo não for selecionado, o sufixo do nome do proprietário será mantido. O padrão é essa opção ser selecionada.
- Opcional: Selecione Ativar Delegação de Credenciais Kerberos para indicar se as
credenciais delegadas pelo Kerberos devem ser armazenadas pelo SPNEGO. Essa opção permite também que um aplicativo recupere as credenciais armazenadas e
propague-as para outros aplicativos de recebimento de dados para autenticação SPNEGO
adicional.Nota: Se esta opção estiver ativada (que é o padrão), o GSSCredential não será serializável e não poderá ser propagado para o servidor de recebimento de dados. A credencial de delegação Kerberos do cliente é extraída e o KRBAuthnToken base é criado. O KRBAuthnToken contém a delegação Kerberos do cliente e pode ser propagado para um servidor de recebimento de dados.
Se quiser propagar o KRBAuthnToken para um servidor de recebimento de dados, o Ticket Granting Ticket (TGT) cliente deverá conter opções sem endereço e redirecionáveis. Se um TGT do cliente for endereçado, o servidor de recebimento de dados não terá uma credencial de delegação GSS do cliente depois de ser propagado.
É possível extrair a GSSCredential de delegação do cliente de um KRBAuthnToken utilizando o método KRBAuthnToken.getGSSCredential().
- Clicar em OK.
Resultados


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_filter
Nome do arquivo: tsec_SPNEGO_add_filter.html