Criando uma Conexão Única para Pedidos de HTTP Utilizando a Autenticação da Web SPNEGO
Criar conexões únicas para solicitações de HTTP usando a autenticação da Web Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) para o WebSphere Application Server requer o desempenho de diversas funções distintas, porém relacionadas, que quando completadas, permitem que os usuários HTTP efetuem o login e se autentiquem ao controlador de domínio da Microsoft uma única vez em sua área de trabalho e recebam autenticação automática a partir do WebSphere Application Server.
Antes de Iniciar
No WebSphere Application Server Versão 6.1, foi introduzido um TAI (Trust Association Interceptor) que utiliza o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar e autenticar com segurança pedidos de HTTP para recursos seguros. Essa função foi descontinuada no WebSphere Application Server Versão 7.0. A autenticação da Web SPNEGO tomou esse lugar para fornecer os seguintes aprimoramentos:
- É possível configurar e ativar a autenticação da Web e os filtros SPNEGO no lado do servidor do WebSphere Application Server usando o console administrativo.
- O recarregamento dinâmico de SPNEGO é fornecido sem a necessidade de parar e reiniciar o servidor WebSphere Application Server.
- O fallback para um método de login de aplicativo será fornecido se a autenticação da Web SPNEGO falhar.
Você pode ativar o SPNEGO TAI ou a Autenticação da Web de SPNEGO, mas não ambos.
Consulte o Conexão Única para Solicitações de HTTP Usado a Autenticação da Web SPNEGO para obter melhor entendimento sobre o quê é a autenticação da Web SPNEGO e como ela é suportada nesta versão do WebSphere Application Server.
Antes de iniciar essa tarefa, conclua a seguinte lista de verificação:
Um Microsoft Windows Server que executa o Active Directory Domain Controller e o Key Distribution Center (KDC) do Kerberos associado.
Um membro de domínio do Microsoft Windows (cliente) por exemplo, um navegador ou cliente do Microsoft .NET, que suporta o mecanismo de autenticação SPNEGO, conforme definido no IETF RFC 2478. O Microsoft Internet Explorer Versão 5.5 ou posterior e o Mozilla Firefox Versão 1.0 se qualificam como tais clientes.
Importante: Um controlador de domínio em execução e, pelo menos, uma máquina cliente nesse domínio são necessários. O uso do SPNEGO diretamente do controlador de domínio não é suportado.- O membro do domínio possui usuários que podem efetuar logon no domínio. Especificamente, é necessário
ter um domínio do Microsoft Windows Active Directory, que inclui:
- Controlador de Domínio
- Estação de Trabalho do Cliente
- Usuários que podem efetuar login na estação de trabalho do cliente
- Uma plataforma de servidor com o WebSphere Application Server em execução e a segurança de aplicativo ativada.
- Os usuários no diretório ativo devem estar aptos a acessar os recursos protegidos do WebSphere Application Server utilizando um mecanismo de autenticação do WebSphere Application Server nativo.
- O controlador de domínio e o host do WebSphere Application Server devem ter a mesma hora local.
- Assegure-se de que o relógio nos clientes, Microsoft Active Directory e WebSphere Application Server, estejam sincronizados no espaço de cinco minutos.
- Lembre-se de que os navegadores clientes devem ter o SPNEGO ativado, o que é feito na máquina do aplicativo cliente (com detalhes explicados no procedimento 4, "Configurar o aplicativo cliente na máquina do aplicativo cliente").
Sobre Esta Tarefa
O objetivo desta disposição da máquina é permitir que os usuários acessem com êxito os recursos do WebSphere Application Server, sem ter que autenticar e, portanto, alcançar o recurso de conexão única do desktop Microsoft Windows.
- Um Microsoft Windows Server que executa o Active Directory Domain Controller e o Key Distribution Center (KDC) do Kerberos associado.
- Um membro de domínio do Microsoft Windows (aplicativo cliente) como um navegador ou cliente do Microsoft .NET.
- Uma plataforma de servidor com o WebSphere Application Server em execução.
Continue com as seguintes etapas para criar uma conexão única para solicitações de HTTP usando a autenticação da Web SPNEGO: