SPNEGO Web 认证的启用

可以将简单且受保护的 GSS-API 协商机制 (SPNEGO) 作为 WebSphere® Application Server 的 Web 认证器来启用。

SPNEGO Web 认证通过协商 SPNEGO 令牌的使用来提供客户机/服务器单点登录。

要查看此管理控制台页面,单击安全性 > 全局安全性。在“认证”下,展开“Web 和 SIP 安全性”,然后单击 SPNEGO Web 认证

使用应用程序服务器的主机别名

可让您将应用程序服务器的别名主机名解析为实际的主机名,以便执行 SPNEGO 单点登录。如果您没有应用程序服务器的别名主机名,请禁用此功能。另外,如果您具有应用程序服务器的别名主机名,但是无法将别名主机名解析为实际主机名,那么必须禁用此功能。

如果启用此选项,那么您可以在 DNS 中动态添加或修改别名名称,而不必更改应用程序服务器的配置;您不需要通过 SPNEGO 配置来设置别名主机名。当 HTTP 请求达到时,应用程序服务器会执行 DNS 查询,如果别名主机名解析为已为进行 SPNEGO 单点登录而配置的主机名,那么应用程序服务器会继续处理该请求。

应用程序服务器希望实际主机名的 Kerberos 服务主体名称 (SPN) 存在于 Kerberos 密钥表文件中。

如果您具有别名主机名,并且您已禁用此选项,那么在别名主机名的 SPN 存储在密钥表文件中的情况下,可通过 SPNEGO 配置设置别名主机名。

信息
缺省: 已禁用

动态更新 SPNEGO

允许当发生 SPNEGO 更改时就动态更新 SPNEGO 运行时,而不必重新启动应用程序服务器。

注: 如果未选择启用 SPNEGO 选项,那么就会禁用此选项。
信息
缺省: 已禁用

启用 SPNEGO

将简单且受保护的 GSS-API 协商机制 (SPNEGO) 指定为应用程序服务器的 Web 认证器。

信息
缺省: 已禁用

允许继续使用应用程序认证机制

指定首先会将 SPNEGO 作为 Web 认证器用来登录至 WebSphere Application Server。但是,如果登录失败,那么就会使用应用程序认证机制来登录至 WebSphere Application Server

避免故障 避免故障: 仅当接收到 SPNEGO 令牌时,才允许进行回退。如果未发送 SPNEGO 令牌,那么不会进行回退。gotcha

如果未选择启用 SPNEGO 选项,那么就会禁用此选项。

信息
缺省: 已禁用

具有完整路径的 Kerberos 配置文件

Kerberos 配置文件名及其完整路径。可以单击浏览以查找此文件。

Kerberos 客户机配置文件 krb5.confkrb5.ini 包含 Kerberos 配置信息,包括您感兴趣的领域的密钥分发中心 (KDC) 位置。krb5.conf 文件是除 Windows 操作系统之外的所有其他平台使用的缺省名称,而 Windows 操作系统将使用 krb5.ini 文件。

信息
数据类型: String

具有完整路径的 Kerberos 密钥表文件名

Kerberos 密钥表文件名及其完整路径。可以单击浏览以查找此文件。

Kerberos 密钥表文件包含一个或多个 Kerberos 服务主体名称和密钥。缺省密钥表文件是 krb5.keytab。主机通过将其 Kerberos 密钥表文件存储在本地磁盘上来保护这些文件很重要,这使这些文件只能被授权用户读取。请阅读创建 Kerberos 服务主体名称和密钥表文件以了解更多信息。

如果您未指定 Kerberos 密钥表文件,那么将使用 Kerberos 配置文件中所定义的缺省密钥表文件。

信息
数据类型: String

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_kerb_SPNEGO_config
文件名:usec_kerb_SPNEGO_config.html