使用 SPNEGO TAI 创建 HTTP 请求的单点登录(不推荐)

使用“简单且受保护的 GSS-API 协商机制” (SPNEGO) 信任关联拦截器 (TAI) 为 WebSphere® Application Server 创建 HTTP 请求的单点登录时,需要执行若干项不同但相关的功能,一旦完成这些功能,就仅允许 HTTP 用户在其桌面上进行登录和认证一次,并允许从 WebSphere Application Server 接收自动认证。

开始之前

不推荐使用的功能部件 不推荐使用的功能部件:

在 WebSphere Application Server V6.1 中引入了一个信任关联拦截器 (TAI),TAI 使用“简单且受保护的 GSS-API 协商机制” (SPNEGO) 来对安全资源的 HTTP 请求进行安全地协商和认证。在 WebSphere Application Server 7.0 中,已不推荐使用此功能。SPNEGO Web 认证已取代该 TAI,以提供动态重新装入 SPNEGO 过滤器的功能以及对应用程序登录方法启用回退。

depfeat

开始本任务前,请完成以下核对表:

  • [Windows]正在运行 Active Directory 域控制器及关联的 Kerberos 密钥分发中心 (KDC) 的 Microsoft Windows Server。
  • [Windows]支持 SPNEGO 认证机制(在 IETF RFC 2478 中定义)的 Microsoft Windows 域成员(客户机),例如,浏览器或 Microsoft .NET 客户机。Microsoft Internet Explorer V5.5 或更高版本和 Mozilla Firefox V1.0 可作为此类客户机。
    要点: 需要正在运行的域控制器,并且该域至少具有一个客户端机器。不支持尝试直接通过域控制器使用 SPNEGO
  • 域成员具有可登录该域的用户。具体说来,需要操作正常的、包括以下各项的 Microsoft Windows Active Directory 域:
    • 域控制器
    • 客户机工作站
    • 可登录客户机工作站的用户
  • 具有正在运行的 WebSphere Application Server 并启用了应用程序安全性的服务器平台。
  • Active Directory 上的用户必须能够使用本机 WebSphere Application Server 认证机制来访问 WebSphere Application Server 保护的资源。
  • 域控制器和 WebSphere Application Server 主机的本地时间应相同。
  • 确保客户机、Microsoft Active Directory 和 WebSphere Application Server 上的时钟已同步,误差不超过 5 分钟。
  • 注意,确保在客户机应用程序机器上对客户端浏览器启用了 SPNEGO(本任务的步骤 2 中对此进行了详细说明)。

关于此任务

此机器排列的目标是允许用户成功访问 WebSphere Application Server 资源,这样不必重新认证,即可实现 Microsoft Windows 桌面单点登录功能。

在配置此环境的成员以建立 Microsoft Windows 单点登录时,应该对三个不同机器执行特定活动:
  • 正在运行 Active Directory 域控制器及关联的 Kerberos 密钥分发中心 (KDC) 的 Microsoft Windows Server
  • Microsoft Windows 域成员(客户机应用程序),例如,浏览器或 Microsoft .NET 客户机。
  • 具有正在运行的 WebSphere Application Server 的服务器平台。

对指示的机器执行以下步骤以使用 SPNEGO 创建 HTTP 请求的单点登录

过程

  1. 域控制器机器 - 对正在运行 Active Directory 域控制器及关联的 Kerberos 密钥分发中心 (KDC) 的 Microsoft Windows Server 进行配置 此配置活动有以下步骤:
    要点: 域控制器操作必须导致下列结果:
    • 已在 Microsoft Active Directory 中创建一个用户帐户,并已将该帐户映射至 Kerberos 服务主体名称。
    • 已创建一个 Kerberos 密钥表文件 (krb5.keytab) 并使它可供 WebSphere Application Server 使用。Kerberos 密钥表文件包含 WebSphere Application Server 用来对 Microsoft Active Directory 中的用户和 Kerberos 帐户进行认证的 Kerberos 服务主体密钥。
  2. 客户机应用程序机器 - 配置客户机应用程序。 客户端应用程序负责生成 SPNEGO 令牌供 SPNEGO TAI 使用。通过将 Web 浏览器配置为使用 SPNEGO 认证来开始此配置过程。请参阅将客户端浏览器配置为使用 SPNEGO TAI(不推荐),以了解浏览器所需的详细步骤。
  3. WebSphere Application Server 机器 - 通过执行下列任务来配置并启用应用程序服务器及关联的 SPNEGO TAI:
  4. 可选: 使用远程 HTTP Server - 要使用远程服务器,您必须完成以下步骤,此处假定您配置了 JVM 属性并在定义 SPNEGO TAI 的应用程序服务器中启用了 SPNEGO TAI(如前三个步骤中所述)。
    1. 对远程代理服务器完成创建由 WebSphere Application Server SPNEGO TAI 使用的 Kerberos 服务主体和密钥表文件(不推荐)中的步骤。
    2. 将在步骤 1 中创建的前一个密钥表文件与在步骤 4a 中创建的密钥表文件合并。请参阅 使用 ktab 命令来管理 Kerberos 密钥表文件 以获取更多信息。
    3. 使用 addSpnegoTAIProperties wsadmin 命令任务为远程代理服务器创建 SPN。有关更多信息,请参阅AdminTask 对象的 SpnegoTAICommands 组(不推荐使用)
    4. 重新启动 WebSphere Application Server。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_tai
文件名:tsec_SPNEGO_tai.html