AdminTask 对象的 SpnegoTAICommands 组(不推荐使用)
要通过 wsadmin 工具配置安全性,可以使用 Jython 或 Jacl 脚本语言来实现。SpnegoTAICommands 命令组中的命令和参数可用于创建和管理供“简单且受保护的 GSS-API 协商机制” (SPNEGO) 信任关联拦截器 (TAI) 使用的配置。

在 WebSphere® Application Server V6.1 中引入了信任关联拦截器 (TAI),TAI 使用“简单且受保护的 GSS-API 协商机制”(SPNEGO) 来对安全资源的 HTTP 请求进行安全地协商和认证。在 WebSphere Application Server V7.0 中不推荐使用此功能。SPNEGO Web 认证已取代该 TAI,以提供动态重新装入 SPNEGO 过滤器的功能以及对应用程序登录方法启用回退。
depfeatAdminTask 对象的 SpnegoTAICommands 命令组包括以下命令:
addSpnegoTAIProperties
addSpnegoTAIProperties 命令在应用程序服务器的“简单且受保护的 GSS-API 协商机制” (SPNEGO) 信任关联拦截器 (TAI) 配置中添加属性。目标对象
无参数和返回值
- -spnId
- 它是将使用此命令定义的一组定制属性的 SPN 标识。如果您未指定此参数,那么将分配未使用的 SPN 标识。(字符串,可选)
- -host
- 指定由 SPNEGO TAI 用来建立 Kerberos 安全上下文的 SPN 中的主机名部分。(字符串,必需)
- -filter
- 定义由通过给定属性指定的类使用的过滤条件。如果未指定过滤器,那么所有 HTTP 请求都要进行 SPNEGO 认证。(字符串,可选)
- -filterClass
- 指定 SPNEGO TAI 用于选择将对哪些 HTTP 请求进行 SPNEGO 认证的 Java™ 类的名称。如果未指定过滤器类,那么将使用缺省过滤器类 com.ibm.ws.security.spnego.HTTPHeaderFilter。(字符串,可选)
- -noSpnegoPage
- 指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP
响应中的内容,如果(浏览器)客户机应用程序不支持 SPNEGO 认证,那么(浏览器)客户机应用程序将显示该内容。(字符串,可选)。如果您未指定 noSpnegoPage 属性,那么将使用缺省值:
"<html><head><title>SPNEGO authentication is not supported.</title></head>" + "<body>SPNEGO authentication is not supported on this client.</body></html>";
- -ntlmTokenPage
- 指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP 响应中的内容,当拦截器在执行提问应答握手之后接收到的
SPNEGO 令牌包含 NT LAN 管理器 (NTLM) 令牌而不是期望的
SPNEGO 令牌时,(浏览器)客户机应用程序将显示该内容。(字符串,可选)。如果您未指定 ntlmTokenPage 属性,那么将使用缺省值:
"<html><head><title>An NTLM Token was received.</title></head>" + "<body>Your browser configuration is correct, but you have not logged into a supported Windows Domain." + "<p>Please login to the application using the normal login page.</html>";
- -trimUserName
- 指定 SPNEGO TAI 是 (true) 否 (false) 要从 Kerberos 领域名前面的 @ 开始移除主体用户名的后缀。如果此属性设置为 true,那么将移除主体用户名的后缀。如果此属性设置为 false,那么将保留主体名称的后缀。使用的缺省值为 true。(字符串,可选)
示例
批处理方式示例用法:
- 使用 Jacl:
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6
- 使用 Jython 字符串:
AdminTask.addSpnegoTAIProperties ('[-host myhost.ibm.com -filter user-agent%=IE 6]')
- 使用 Jython 列表:
AdminTask.addSpnegoTAIProperties (['-host', 'myhost.ibm.com', '-filter', 'user-agent%=IE', '6'])
交互方式示例用法:
- 使用 Jacl:
$AdminTask addSpnegoTAIProperties -interactive
- 使用 Jython 字符串:
AdminTask.addSpnegoTAIProperties ('[-interactive]')
- 使用 Jython 列表:
AdminTask.addSpnegoTAIProperties ['-interactive'])
deleteSpnegoTAIProperties
deleteSpnegoTAIProperties 命令用于删除 WebSphere Application Server 的“简单且受保护的 GSS-API 协商机制”(SPNEGO) 信任关联拦截器 (TAI) 的配置中的属性。目标对象
None参数和返回值
- -spnId
- 将使用此命令删除的一组定制属性的 SPN 标识。如果您未指定此参数,那么将删除所有 SPNEGO TAI 定制属性。(字符串,可选)
示例
批处理方式示例用法:
- 使用 Jacl:
$AdminTask deleteSpnegoTAIProperties {-spnId 2}
- 使用 Jython 字符串:
AdminTask.deleteSpnegoTAIProperties ('[-spnId 2]')
- 使用 Jython 列表:
AdminTask.deleteSpnegoTAIProperties (['-spnId', '2'])
交互方式示例用法:
- 使用 Jacl:
$AdminTask deleteSpnegoTAIProperties -interactive
- 使用 Jython 字符串:
AdminTask.deleteSpnegoTAIProperties ('[-interactive]')
- 使用 Jython 列表:
AdminTask.deleteSpnegoTAIProperties ['-interactive'])
modifySpnegoTAIProperties
modifySpnegoTAIProperties 命令用于修改 WebSphere Application Server 的“简单且受保护的 GSS-API 协商机制”(SPNEGO) 信任关联拦截器 (TAI) 的配置中的属性。目标对象
None参数和返回值
- -spnId
- 将使用此命令定义的一组定制属性的 SPN 标识。(字符串,必需)
- -host
- 指定由 SPNEGO TAI 用来建立 Kerberos 安全上下文的 SPN 中的主机名部分。(字符串,可选)
- -filter
- 定义由通过给定属性指定的类使用的过滤条件。(字符串,可选)
- -filterClass
- 指定 SPNEGO TAI 用于选择将对哪些 HTTP 请求进行 SPNEGO 认证的 Java 类的名称。如果未指定类,那么所有 HTTP 请求都要进行 SPNEGO 认证。(字符串,可选)
- -noSpnegoPage
- 指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP 响应中的内容,如果(浏览器)客户机应用程序不支持 SPNEGO 认证,那么(浏览器)客户机应用程序将显示该内容。(字符串,可选)
- -ntlmTokenPage
- 指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP 响应中的内容,当拦截器在执行提问应答握手之后接收到的 SPNEGO 令牌包含 NT LAN 管理器 (NTLM) 令牌而不是期望的 SPNEGO 令牌时,(浏览器)客户机应用程序将显示该内容。(字符串,可选)
- -trimUserName
- 指定 SPNEGO TAI 是 (true) 否 (false) 要从 Kerberos 领域名前面的 “@” 开始移除主体用户名的后缀。如果此属性设置为 true,那么将移除主体用户名的后缀。如果此属性设置为 false,那么将保留主体名称的后缀。使用的缺省值为 true。(字符串,可选)
示例
批处理方式示例用法:
- 使用 Jacl:
$AdminTask modifySpnegoTAIPROPERTIES -spnId 1 -filter host==myhost.company.com
- 使用 Jython 字符串:
AdminTask.modifySpnegoTAIPROPERTIES ('[-spnId 1 -filter host==myhost.company.com]')
- 使用 Jython 列表:
AdminTask.modifySpnegoTAIPROPERTIES (['-spnId', '1', '-filter', 'host==myhost.company.com'])
交互方式示例用法:
- 使用 Jacl:
$AdminTask modifySpnegoTAIProperties -interactive
- 使用 Jython 字符串:
AdminTask.modifySpnegoTAIProperties ('[-interactive]')
- 使用 Jython 列表:
AdminTask.modifySpnegoTAIProperties ['-interactive'])
showSpnegoTAIProperties
showSpnegoTAIProperties 命令用于显示 WebSphere Application Server 的“简单且受保护的 GSS-API 协商机制”(SPNEGO) 信任关联拦截器 (TAI) 的配置中的属性。目标对象
None参数和返回值
- -spnId
- 将使用此命令显示的一组定制属性的服务主体名称 (SPN) 标识。如果您未指定此参数,那么将显示所有 SPNEGO TAI 定制属性。(字符串,可选)
示例
批处理方式示例用法:
- 使用 Jacl:
$AdminTask showSpnegoTAIProperties -spnId 1
- 使用 Jython 字符串:
AdminTask.showSpnegoTAIProperties ('[-spnId 1]')
- 使用 Jython 列表:
AdminTask.showSpnegoTAIProperties (['-spnId', '1'])
交互方式示例用法:
- 使用 Jacl:
$AdminTask showSpnegoTAIProperties -interactive
- 使用 Jython 字符串:
AdminTask.showSpnegoTAIProperties ('[-interactive]')
- 使用 Jython 列表:
AdminTask.showSpnegoTAIProperties ['-interactive'])
createKrbConfigFile
createKrbConfigFile 命令用于创建 Kerberos 配置文件以与 WebSphere Application Server 的“简单且受保护的 GSS-API 协商机制”(SPNEGO) 信任关联拦截器 (TAI) 配合使用。目标对象
None参数和返回值
- -krbPath
- 提供 Kerberos 配置(krb5.ini 或 krb5.conf)文件的标准文件系统位置。(字符串,必需)
- -realm
- 提供 Kerberos 领域名称。SPNEGO TAI 使用此属性的值来形成通过属性 com.ibm.ws.security.spnego.SPN<id>.hostname 指定的每台主机的 Kerberos 服务主体名称。(字符串,必需)
- -kdcHost
- 提供 Kerberos 密钥分发中心 (KDC) 的主机名。(字符串,必需)
- -kdcPort
- 提供 KDC 的端口号。如果未指定值,那么缺省值为 88。(字符串,可选)
- -dns
- 提供用来生成标准主机名的缺省域名服务 (DNS)。(字符串,必需)
- -keytabPath
- 提供 Kerberos 密钥表文件的文件系统位置。(字符串,必需)
- -encryption
- 标识受支持的加密类型的列表,各个类型用空格分隔。指定的值用于 default_tkt_enctypes 和 default_tgs_enctypes。如果未指定类型,那么缺省加密类型为 des-cbc-md5 和 rc4-hmac。(字符串,可选)
示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask createKrbConfigFile -interactive
- 使用 Jython 字符串:
AdminTask.createKrbConfigFile ('[-interactive]')
- 使用 Jython 列表:
AdminTask.createKrbConfigFile ['-interactive'])