使用管理控制台来添加或修改 SPNEGO Web 认证过滤器
“简单且受保护的 GSS-API 协商机制” (SPNEGO) 过滤器值可控制 SPNEGO 的不同方面。可使用管理控制台,对每个应用程序服务器指定不同的过滤器值。
过程
- 在管理控制台中,请单击安全性 > 全局安全性。
- 在“认证”下,展开“Web 和 SIP 安全性”,然后单击 SPNEGO Web 认证。
- 在 SPNEGO 过滤器下,选择现有主机名进行编辑,或单击新建。
- 如果创建新过滤器,请输入 WebSphere® Application Server 主机名。 这是 SPNEGO 用来建立 Kerberos 安全上下文的 Kerberos 服务主体名称 (SPN) 中的主机名。
- 输入 Kerberos 领域名。 大多数情况下,领域是您的用大写字母表示的域名。例如,如果一台机器具有域名 test.austin.ibm.com,那么它的 Kerberos 领域名通常为 AUSTIN.IBM.COM。
- 在过滤条件字段中输入过滤条件。 过滤条件是 SPNEGO 使用的 Java™ 类所使用的过滤参数。它将定义对所用的实现类有意义的任意条件。
请阅读使用管理控制台来启用和配置 SPNEGO Web 认证,以了解有关过滤条件的更多信息。
- 在过滤器类字段中,输入 SPNEGO 用来选择哪些 HTTP 请求将进行 SPNEGO 认证的 Java 类的名称。 如果未指定此参数,将使用缺省过滤器类 com.ibm.ws.security.spnego.HTTPHeaderFilter。
- 可选: 在 SPNEGO 不受支持错误页面 URL 字段中,可选择性地输入资源的 URL,该资源包含 SPNEGO 将包括在 HTTP 响应中的内容,如果(浏览器)客户机应用程序不支持 SPNEGO 认证,那么将显示该内容。 此属性可以指定 Web 资源 (http://) 或文件资源 (file://)。
- 可选: 在接收到 NTLM 令牌错误页面 URL 字段中,可选择性地指定资源的 URL,该资源包含 SPNEGO 将包括在 HTTP 响应中的内容,此内容会由(浏览器)客户机应用程序显示。 如果在提问/应答握手期间,浏览器客户端发送了 NT LAN 管理器 (NTLM) 令牌而不是期望的 SPNEGO 令牌,那么(浏览器)客户机应用程序将显示此 HTTP 响应。
此属性可以指定 Web 资源 (http://) 或文件资源 (file://)。
- 可选: 选择调整主体名称中的 Kerberos 领域,以指定 SPNEGO 是否应该移除主体用户名的后缀(从 Kerberos 领域名前面的 @ 开始)。 如果选择了此选项,那么将除去主体用户名的后缀。如果未选择此属性,那么将保留主体名称的后缀。此选项的缺省值是选择此属性。
- 可选: 选择对 Kerberos 凭证启用委派,以指示 Kerberos 委派的凭证是否应该由 SPNEGO 存储。 此选项还允许应用程序检索已存储的凭证并将它们传播到其他应用程序下游,以便进行其他的 SPNEGO 认证。注: 如果启用了此选项(缺省情况下此选项处于已启用状态),那么 GSS 凭证不是可序列化的,并且无法传播到下游服务器。将抽取客户机 Kerberos 委派凭证并创建基本 KRBAuthnToken。该 KRBAuthnToken 包含客户机 Kerberos 委派并且可以传播到下游服务器。
如果要将该 KRBAuthnToken 传播到下游服务器,那么客户机凭单授予凭单 (TGT) 必须包含可寻址和可转发的选项。如果找到客户机 TGT 的地址,那么下游服务器在传播该地址之后没有客户机 GSS 委派凭证。
可以使用 KRBAuthnToken.getGSSCredential() 方法从 KRBAuthnToken 中抽取客户机委派 GSS 凭证。
- 单击确定。
结果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_add_filter
文件名:tsec_SPNEGO_add_filter.html