使用 SPNEGO TAI 创建 HTTP 请求的单点登录(不推荐)
使用“简单且受保护的 GSS-API 协商机制” (SPNEGO) 信任关联拦截器 (TAI) 为 WebSphere® Application Server 创建 HTTP 请求的单点登录时,需要执行若干项不同但相关的功能,一旦完成这些功能,就仅允许 HTTP 用户在其桌面上进行登录和认证一次,并允许从 WebSphere Application Server 接收自动认证。
开始之前

在 WebSphere Application Server V6.1 中引入了一个信任关联拦截器 (TAI),TAI 使用“简单且受保护的 GSS-API 协商机制” (SPNEGO) 来对安全资源的 HTTP 请求进行安全地协商和认证。在 WebSphere Application Server 7.0 中,已不推荐使用此功能。SPNEGO Web 认证已取代该 TAI,以提供动态重新装入 SPNEGO 过滤器的功能以及对应用程序登录方法启用回退。
depfeat开始本任务前,请完成以下核对表:
正在运行 Active Directory 域控制器及关联的 Kerberos 密钥分发中心 (KDC) 的 Microsoft Windows Server。
支持 SPNEGO 认证机制(在 IETF RFC 2478 中定义)的 Microsoft Windows 域成员(客户机),例如,浏览器或 Microsoft .NET 客户机。Microsoft Internet Explorer V5.5 或更高版本和 Mozilla Firefox V1.0 可作为此类客户机。
要点: 需要正在运行的域控制器,并且该域至少具有一个客户端机器。不支持尝试直接通过域控制器使用 SPNEGO- 域成员具有可登录该域的用户。具体说来,需要操作正常的、包括以下各项的 Microsoft Windows Active Directory 域:
- 域控制器
- 客户机工作站
- 可登录客户机工作站的用户
- 具有正在运行的 WebSphere Application Server 并启用了应用程序安全性的服务器平台。
- Active Directory 上的用户必须能够使用本机 WebSphere Application Server 认证机制来访问 WebSphere Application Server 保护的资源。
- 域控制器和 WebSphere Application Server 主机的本地时间应相同。
- 确保客户机、Microsoft Active Directory 和 WebSphere Application Server 上的时钟已同步,误差不超过 5 分钟。
- 注意,确保在客户机应用程序机器上对客户端浏览器启用了 SPNEGO(本任务的步骤 2 中对此进行了详细说明)。
关于此任务
此机器排列的目标是允许用户成功访问 WebSphere Application Server 资源,这样不必重新认证,即可实现 Microsoft Windows 桌面单点登录功能。
在配置此环境的成员以建立 Microsoft Windows 单点登录时,应该对三个不同机器执行特定活动:
- 正在运行 Active Directory 域控制器及关联的 Kerberos 密钥分发中心 (KDC) 的 Microsoft Windows Server
- Microsoft Windows 域成员(客户机应用程序),例如,浏览器或 Microsoft .NET 客户机。
- 具有正在运行的 WebSphere Application Server 的服务器平台。
对指示的机器执行以下步骤以使用 SPNEGO 创建 HTTP 请求的单点登录