将客户机浏览器配置为使用 SPNEGO
您可以配置浏览器以利用“简单且受保护的 GSS-API 协商”(SPNEGO) 机制。
开始之前
关于此任务
- 在桌面上,登录 Windows Active Directory 域。
- 激活 Internet Explorer。
- 在 Internet Explorer 窗口中,单击工具 > Internet 选项 > 安全选项卡。
- 选择本地 Intranet 图标并单击站点。
- 在“本地 Intranet”窗口中,确保选中了“包括没有列在其他区域的所有本地 (Intranet) 站点”复选框,然后单击高级。
- 在本地 Intranet窗口中,使用主机名的 Web 地址填写“将此 Web 站点添加到区域中”字段,以便可以对“Web 站点”字段中显示的 Web 站点列表启用单点登录 (SSO)。您的站点信息技术人员提供此信息。单击确定以完成此步骤并关闭“本地 Intranet”窗口。
- 在 Internet 选项窗口,单击高级选项卡并滚动到安全设置。确保选中了启用集成 Windows 认证(需要重新启动)框。
- 单击确定。重新启动 Microsoft Internet Explorer 以激活此配置。
完成以下步骤以确保已启用 Firefox 浏览器来执行 SPNEGO 认证。
- 在桌面上,登录 Windows Active Directory 域。
- 激活 Firefox。
- 在“地址”字段中,输入 about:config。
- 在“过滤器”中,输入 network.n
- 双击 network.negotiate-auth.trusted-uris。此首选项列示那些被允许向浏览器执行 SPNEGO 认证的站点。输入用逗号定界的可信域或 URL 的列表。注: 必须设置 network.negotiate-auth.trusted-uris 的值。
- 如果部署的 SPNEGO 解决方案正在使用“凭证委派”的高级 Kerberos 功能,请双击 network.negotiate-auth.delegation-uris。此首选项列示一些站点,浏览器可以为这些站点给用户授予对服务器的权限。输入用逗号定界的可信域或 URL 的列表。
- 单击确定。配置表现为已更新。
- 重新启动 Firefox 浏览器以激活此配置。
结果
已正确配置因特网浏览器来进行 SPNEGO 认证。可以使用部署在 WebSphere® Application Server 中且使用安全资源的应用程序,而不必被重复请求用户标识和密码。
注: 如果多次提示输入用户标识和密码,请确保已按照上述指示信息在客户机浏览器上启用了 SPNEGO 支持。还必须确保已在
WebSphere Application Server 服务器端启用了允许回退至应用程序认证机制支持选项。