Incluindo ou Modificando Filtros de Autenticação da Web de SPNEGO Utilizando o Console Administrativo

Os valores de filtro do SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) controlam os diferentes aspectos do SPNEGO. Você pode especificar diferentes valores de filtro para cada servidor de aplicativos utilizando o console administrativo.

Procedimento

  1. No console administrativo, clique em Segurança > Segurança Global.
  2. Em Autenticação, expanda Segurança da Web e do SIP e, em seguida, clique em Autenticação da Web de SPNEGO.
  3. Em Filtros do SPNEGO, selecione um nome de host existente para ser editado ou clique em Novo.
  4. Digite um nome do host WebSphere Application Server se estiver criando um novo filtro. Esse é o nome do host no SPN (Service Principal Name) do Kerberos utilizado pelo SPNEGO para estabelecer um contexto seguro do Kerberos.
  5. Digite um nome de região do Kerberos. Na maioria dos casos, a região é o nome de domínio em letras maiúsculas. Por exemplo, uma máquina com o nome de domínio test.austin.ibm.com geralmente teria um nome de região do Kerberos AUSTIN.IBM.COM
  6. Digite um critério de filtragem no campo Critério de Filtragem. O critério de filtragem é o parâmetro de filtragem utilizado pela classe Java™ utilizada pelo SPNEGO. Ele define os critérios arbitrários que são significativos para a classe de implementação utilizada.

    Leia sobre Ativando e Configurando a Autenticação da Web SPNEGO Usando o Console Administrativo para obter informações adicionais sobre os critérios de filtragem.

  7. No campo Classe de Filtro, digite o nome da classe Java que é utilizada pelo SPNEGO para selecionar quais pedidos de HTTP estão sujeitos à autenticação SPNEGO. Se você não especificar esse parâmetro, a classe de filtro padrão, com.ibm.ws.security.spnego.HTTPHeaderFilter, será utilizada.
  8. Opcional: No campo URL da página de erro de SPNEGO não suportado, você pode opcionalmente digitar a URL de um recurso que possui o conteúdo que o SPNEGO inclui na resposta de HTTP exibida pelo aplicativo cliente (navegador) se não suportar a autenticação SPNEGO. Essa propriedade pode especificar um recurso da Web (http://) ou um arquivo (file://).
  9. Opcional: No campo URL da página de erro de token NTLM recebido, você pode opcionalmente digitar a URL de um recurso que possui o conteúdo que o SPNEGO inclui na resposta de HTTP, exibida pelo aplicativo cliente do navegador. O aplicativo cliente (navegador) exibe essa resposta HTTP quando o cliente navegador envia um token NTLM (NT LAN Manager), em vez do token SPNEGO esperado durante o protocolo de reconhecimento de resposta ao desafio.

    Essa propriedade pode especificar um recurso da Web (http://) ou um arquivo (file://).

  10. Opcional: Selecione Eliminar Região do Kerberos do Nome do Proprietário para especificar se o SPNEGO deverá remover o sufixo do nome do usuário proprietário, começando pelo @ que antecede o nome da região do Kerberos. Se essa opção for selecionada, o sufixo do nome do usuário proprietário será removido. Se esse atributo não for selecionado, o sufixo do nome do proprietário será mantido. O padrão é essa opção ser selecionada.

  11. Opcional: Selecione Ativar Delegação de Credenciais Kerberos para indicar se as credenciais delegadas pelo Kerberos devem ser armazenadas pelo SPNEGO. Essa opção permite também que um aplicativo recupere as credenciais armazenadas e propague-as para outros aplicativos de recebimento de dados para autenticação SPNEGO adicional.
    Nota: Se esta opção estiver ativada (que é o padrão), o GSSCredential não será serializável e não poderá ser propagado para o servidor de recebimento de dados. A credencial de delegação Kerberos do cliente é extraída e o KRBAuthnToken base é criado. O KRBAuthnToken contém a delegação Kerberos do cliente e pode ser propagado para um servidor de recebimento de dados.

    Se quiser propagar o KRBAuthnToken para um servidor de recebimento de dados, o Ticket Granting Ticket (TGT) cliente deverá conter opções sem endereço e redirecionáveis. Se um TGT do cliente for endereçado, o servidor de recebimento de dados não terá uma credencial de delegação GSS do cliente depois de ser propagado.

    É possível extrair a GSSCredential de delegação do cliente de um KRBAuthnToken utilizando o método KRBAuthnToken.getGSSCredential().

  12. Clicar em OK.

Resultados

Você modificou ou criou novos valores de filtro do SPNEGO para seu servidor de aplicativos.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_filter
Nome do arquivo: tsec_SPNEGO_add_filter.html