使用 SPNEGO Web 认证创建 HTTP 请求的单点登录
对 WebSphere® Application Server 使用简单且受保护的 GSS-API 协商机制 (SPNEGO) Web 认证以便为 HTTP 请求创建单点登录时,需要执行一些不同但相关的功能,完成时,允许 HTTP 用户登录 Microsoft 域控制器,仅在其桌面上向其认证一次,并从 WebSphere Application Server 接收自动认证。
开始之前
注:
在 WebSphere Application Server V6.1 中引入了一个信任关联拦截器 (TAI),TAI 使用“简单且受保护的 GSS-API 协商机制” (SPNEGO) 来对安全资源的 HTTP 请求进行安全地协商和认证。建议在 WebSphere Application Server V7.0 中不要使用此功能。SPNEGO Web 认证已取代此功能,以提供下列增强功能:
- 可以使用管理控制台在 WebSphere Application Server 服务器端配置和启用 SPNEGO Web 认证和过滤器。
- 动态重新装入 SPNEGO,而不必停止和重新启动 WebSphere Application Server 服务器。
- 如果 SPNEGO Web 认证失败,那么将回退至应用程序登录方法。
可以启用 SPNEGO TAI 或 SPNEGO Web 认证,但不能同时启用这两项。
请参阅使用 SPNEGO Web 认证针对 HTTP 请求进行单点登录以更好地了解 SPNEGO Web 认证的含义以及在此版本的 WebSphere Application Server 中如何支持 SPNEGO Web 认证。
开始本任务前,请完成以下核对表:
正在运行 Active Directory 域控制器及关联的 Kerberos 密钥分发中心 (KDC) 的 Microsoft Windows Server。
支持 SPNEGO 认证机制(在 IETF RFC 2478 中定义)的 Microsoft Windows 域成员(客户机),例如,浏览器或 Microsoft .NET 客户机。Microsoft Internet Explorer V5.5 或更高版本和 Mozilla Firefox V1.0 可作为此类客户机。
要点: 需要正在运行的域控制器,并且该域至少具有一个客户机。不支持直接从域控制器使用 SPNEGO。- 域成员具有可登录此域的用户。具体地说,您需要正常工作且包括以下各项的 Microsoft Windows Active Directory 域:
- 域控制器
- 客户机工作站
- 可登录客户机工作站的用户
- 具有正在运行的 WebSphere Application Server 并启用了应用程序安全性的服务器平台。
- Active Directory 上的用户必须能够使用本机 WebSphere Application Server 认证机制来访问 WebSphere Application Server 保护的资源。
- 域控制器和 WebSphere Application Server 主机的本地时间应相同。
- 确保客户机、Microsoft Active Directory 和 WebSphere Application Server 上的时钟已同步,误差不超过 5 分钟。
- 请注意,必须对客户机浏览器启用 SPNEGO,可对客户机应用程序所在机器执行此操作(过程 4“在客户机应用程序所在的机器上配置客户机应用程序”中说明了详细信息)。
关于此任务
此机器排列的目标是允许用户成功访问 WebSphere Application Server 资源,这样不必再次认证,即可实现 Microsoft Windows 桌面单点登录功能。
在配置此环境的成员以建立 Microsoft Windows 单点登录时,应该对三个不同机器执行特定活动:
- 正在运行 Active Directory 域控制器及关联的 Kerberos 密钥分发中心 (KDC) 的 Microsoft Windows Server。
- Microsoft Windows 域成员(客户机应用程序),例如,浏览器或 Microsoft .NET 客户机。
- 具有正在运行的 WebSphere Application Server 的服务器平台。
继续完成以下步骤,以使用 SPNEGO Web 认证对 HTTP 请求创建单点登录: