使用 wsadmin 实用程序修改 SPNEGO TAI 属性(不推荐)

使用 wsadmin 实用程序来修改 WebSphere® Application Server 的“简单且受保护的 GSS-API 协商机制” (SPNEGO) 信任关联拦截器 (TAI) 配置中的属性。

关于此任务

不推荐使用的功能部件 不推荐使用的功能部件:

在 WebSphere Application Server V6.1 中引入了一个信任关联拦截器 (TAI),TAI 使用“简单且受保护的 GSS-API 协商机制” (SPNEGO) 来对安全资源的 HTTP 请求进行安全地协商和认证。现在,WebSphere Application Server 7.0 中已不推荐使用此功能。SPNEGO Web 认证已取代该 TAI,以提供动态重新装入 SPNEGO 过滤器的功能以及对应用程序登录方法启用回退。

depfeat

验证是否已配置最终用户桌面浏览器来支持 SPNEGO 认证、是否启用了 SPNEGO TAI、是否设置了 Java™ 虚拟机 (JVM) 属性以及是否配置了 WebSphere Application Server 以允许运行 SPNEGO TAI。

使用 wsadmin 实用程序来配置 WebSphere Application Server 的 SPNEGO TAI:

过程

  1. 启动 WebSphere Application Server。
  2. [AIX Solaris HP-UX Linux Windows][z/OS]通过运行 app_server_root/bin 目录中的 wsadmin 命令来启动命令行实用程序。
  3. [IBM i]通过从 Qshell 命令行运行 app_server_root/bin 目录中的 wsadmin 命令来启动命令行实用程序。
  4. wsadmin 提示符下,输入以下命令:
    $AdminTask modifySpnegoTAIProperties
    可以将以下参数用于此命令:
    选项 描述
    <spnId> 此参数是必需的。它是将使用此命令定义的一组定制属性的 SPN 标识。
    <host> 此参数是可选的。它指定由 SPNEGO TAI 用来建立 Kerberos 安全上下文的 SPN 中的主机名部分。
    <filter> 此参数是可选的。它定义由通过以上属性指定的类使用的过滤条件。
    <filterClass> 此参数是可选的。它指定由 SPNEGO TAI 用来选择哪些 HTTP 请求将进行 SPNEGO 认证的 Java 类的名称。如果未指定类,那么所有 HTTP 请求都要进行 SPNEGO 认证。
    <noSpnegoPage> 此参数是可选的。它指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP 响应中的内容,如果(浏览器)客户机应用程序不支持 SPNEGO 认证,那么(浏览器)客户机应用程序将显示该内容。
    如果您未指定 noSpnegoPage 属性,那么将使用缺省值:
    "<html><head><title>SPNEGO 
    authentication is not supported.
    </title></head>" +
    "<body>SPNEGO authentication is 
    not supported on this client.
    </body></html>";
    <ntlmTokenPage> 此参数是可选的。ntlmTokenPage 参数指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP 响应中的内容,这些内容将由(浏览器)客户机应用程序显示。如果在质询/响应握手期间,浏览器客户端发送了 NT LAN 管理器 (NTLM) 令牌而不是期望的 SPNEGO 令牌,那么(浏览器)客户机应用程序将显示此 HTTP 响应。
    如果您未指定 ntlmTokenPage 属性,那么将使用缺省值:
    "<html><head><title>An NTLM Token was received.</title></head>" + "<body>Your browser configuration 
    is correct, but you have not
    logged into a supported Windows 
    Domain."
    	+ "<p>Please login to the application using the normal login page.</html>";
    <trimUserName> 此参数是可选的。它指定 SPNEGO TAI 是 (true) 否 (false) 要从 Kerberos 领域名前面的“@”开始移除主体用户名的后缀。如果此属性设置为 true,那么将移除主体用户名的后缀。如果此属性设置为 false,那么将保留主体名称的后缀。使用的缺省值为 true

结果

已修改此 WebSphere Application Server 的 SPNEGO TAI 属性。

示例

示例 1
以下示例配置 SPNEGO TAI 以拦截用户代理请求头中包含 IE 6 的 HTTP 请求。SPNEGO TAI 使用 HTTP/myhost.ibm.com@<default_realm> 的 SPN 来认证请求发起方。然后,示例修改定义的过滤器定制属性的值,并将该值从 user-agent%=IE 6 更改为 host==myhost.company.com
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6
$AdminTask modifySpnegoTAIProperties -spnId 1 -filter host==myhost.company.com
示例 2
以下是一个示例,它修改 SPN1 属性的 SPNEGO TAI 来为主机 central01.austin.ibm.com 添加过滤器。
wsadmin>$AdminTask modifySpnegoTAIProperties -interactive
Modify SPNEGO TAI properties

Modify SPNEGO TAI configuration properties 

*Service Principal Name identifier (spnId): 1
Host name in Service Principal Name (host): central01.austin.ibm.com
HTTP header filter rule (filter): request-url!=noSPNEGO;request-url%=snoop
Name of class used to filter HTTP requests (filterClass):
SPNEGO not supported browser response (noSpnegoPage):
NTLM Token received browser response (ntlmTokenPage):
Trim User Name browser response (trimUserName):

Modify SPNEGO TAI properties

F (Finish)
C (Cancel)

Select [F, C]: [F] f
WASX7278I: Generated command line: $AdminTask modifySpnegoTAIProperties {-spnId
1 -host w2003secdev.austin.ibm.com -filter request-url!=noSPNEGO;request-url%=sn
oop}
com.ibm.ws.security.spnego.SPN1.filter=request-url!=noSPNEGO;request-url%=snoop
com.ibm.ws.security.spnego.SPN1.hostName=central01.austin.ibm.com
wsadmin>

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_mod_wsadmin
文件名:tsec_SPNEGO_mod_wsadmin.html