使用 wsadmin 实用程序来添加 SPNEGO TAI 属性(不推荐)

使用 wsadmin 实用程序在 WebSphere® Application Server 的安全性配置中添加“简单且受保护的 GSS-API 协商机制” (SPNEGO) 信任关联拦截器 (TAI) 的属性。

关于此任务

不推荐使用的功能部件 不推荐使用的功能部件:

在 WebSphere Application Server V6.1 中引入了一个信任关联拦截器 (TAI),TAI 使用“简单且受保护的 GSS-API 协商机制” (SPNEGO) 来对安全资源的 HTTP 请求进行安全地协商和认证。现在,WebSphere Application Server 7.0 中已不推荐使用此功能。SPNEGO Web 认证已取代该 TAI,以提供动态重新装入 SPNEGO 过滤器的功能以及对应用程序登录方法启用回退。

depfeat

验证是否已配置最终用户桌面浏览器来支持 SPNEGO 认证、是否启用了 SPNEGO TAI、是否设置了 Java™ 虚拟机 (JVM) 属性以及是否配置了 WebSphere Application Server 以允许运行 SPNEGO TAI。

使用 wsadmin 实用程序来为 WebSphere Application Server 配置 SPNEGO TAI:

过程

  1. 启动 WebSphere Application Server。
  2. [AIX Solaris HP-UX Linux Windows][z/OS]通过运行 app_server_root/bin 目录中的 wsadmin 命令来启动命令行实用程序。
  3. [IBM i]通过从 Qshell 命令行运行 app_server_root/bin 目录中的 wsadmin 命令来启动命令行实用程序。
  4. wsadmin 提示符下,输入以下命令:
    $AdminTask addSpnegoTAIProperties
    可以将以下参数用于此命令:
    选项 描述
    <spnId> 此参数是可选的。它是将使用此命令定义的一组定制属性的 SPN 标识。如果您未指定此参数,那么将分配未使用的 SPN 标识。
    <host> 此参数是必需的。它指定由 SPNEGO TAI 用来建立 Kerberos 安全上下文的 SPN 中的主机名部分。
    <filter> 此参数是可选的。它定义由通过以上属性指定的类使用的过滤条件。如果未指定此参数,那么所有 HTTP 请求都受 SPNEGO 认证约束。
    <filterClass> 此参数是可选的。它指定由 SPNEGO TAI 用来选择哪些 HTTP 请求将进行 SPNEGO 认证的 Java 类的名称。如果未指定此参数,就使用缺省过滤器类 com.ibm.ws.security.spnego.HTTPHeaderFilter。
    <noSpnegoPage> 此参数是可选的。它指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP 响应中的内容,如果(浏览器)客户机应用程序不支持 SPNEGO 认证,那么(浏览器)客户机应用程序将显示该内容。
    如果未指定 noSpnegoPage 参数,就使用缺省值:
    "<html><head><title>SPNEGO 
    authentication is not supported.
    </title></head>" +
    "<body>SPNEGO authentication is 
    not supported on this client.
    </body></html>";
    <ntlmTokenPage> 此参数是可选的。它指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP 响应中的内容,当拦截器在执行提问应答握手之后接收到的 SPNEGO 令牌包含 NT LAN 管理器 (NTLM) 令牌而不是期望的 SPNEGO 令牌时,(浏览器)客户机应用程序将显示该内容。
    如果您未指定 ntlmTokenPage 参数,那么将使用缺省值:
    "<html><head><title>An NTLM Token was received.</title></head>" + "<body>Your browser configuration 
    is correct, but you have not
    logged into a supported Windows
    Domain."
    	+ "<p>Please login to the application using the normal login page.</html>";
    <trimUserName> 此参数是可选的。它指定 SPNEGO TAI 是否要从 Kerberos 领域名前面的“@”开始移除主体用户名的后缀。如果此参数设为 true,那么将移除主体用户名的后缀。如果此参数设为 false,那么将保留主体名称的后缀。使用的缺省值为 true

结果

已为此 WebSphere Application Server 添加 SPNEGO TAI 属性。

示例

示例 1
以下示例配置 SPNEGO TAI 以拦截用户代理请求头中包含 IE 6 的 HTTP 请求。SPNEGO TAI 使用 HTTP/myhost.ibm.com@<default_realm> 的 SPN 来认证请求发起方。
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6
示例 2
下面是一个示例,它为 SPN1 添加 SPNEGOTAIProperties,以使用缺省 filterClass 并拦截对主机 central01.austin.ibm.com 的所有请求。
wsadmin>$AdminTask addSpnegoTAIProperties -interactive
Add SPNEGO TAI properties

Add SPNEGO TAI configuration properties.

*Host name in Service Principal Name (host): central01.austin.ibm.com
Service Principal Name identifier (spnId): 1
HTTP header filter rule (filter):
Name of class used to filter HTTP requests (filterClass):
SPNEGO not supported browser response (noSpnegoPage):
NTLM Token received browser response (ntlmTokenPage):
Trim User Name browser response (trimUserName):

Add SPNEGO TAI properties

F (Finish)
C (Cancel)

Select [F, C]: [F] f
WASX7278I: Generated command line: $AdminTask addSpnegoTAIProperties {-host central01.austin.ibm.com}
com.ibm.ws.security.spnego.SPN1.hostName=central01.austin.ibm.com
wsadmin>

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_wsadmin
文件名:tsec_SPNEGO_add_wsadmin.html