Simple and Protected GSSAPI Negotiation Mechanism
Dieses Feature ermöglicht Webanwendungen die Integration von SPNEGO 1.0 anstelle der oder zusätzlich zur konfigurierten Benutzerregistry für die Authentifizierung von Benutzern.
Dieses Feature aktivieren
Zum Aktivieren des Features "Simple and Protected GSSAPI Negotiation Mechanism" fügen Sie die folgende Elementdeklaration im Element "featureManager" in Ihrer Datei server.xml hinzu:
<feature>spnego-1.0</feature>
Unterstützte Java™-Versionen
- JavaSE-1.6
- JavaSE-1.7
- JavaSE-1.8
Ein Feature entwickeln, das von diesem Feature abhängt
Wenn Sie ein Feature entwickeln, das vom Feature "Simple and Protected GSSAPI Negotiation Mechanism" abhängig ist, schließen Sie das folgende Element in den Header "Subsystem-Content" in der Featuremanifestdatei für Ihr Feature ein:
com.ibm.websphere.appserver.spnego-1.0; type="osgi.subsystem.feature"
Features, die dieses Feature aktiviert
Featurekonfigurationselement
Sie können die folgendenElemente in Ihrer Datei server.xml verwenden, um das Feature "Simple and Protected GSSAPI Negotiation Mechanism" zu konfigurieren:
- authFilter
- Gibt eine Auswahlregel an, die Bedingungen darstellt, die mit den HTTP-Anforderungsheadern verglichen werden, um festzustellen, ob die HTTP-Anforderung für die Authentifizierung ausgewählt wird.
Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. - authFilter > host
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
name string Gibt den Namen an.
- authFilter > remoteAddress
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. ip string Gibt die IP-Adresse an. matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains Gibt den Abgleichstyp an. - lessThan
- Kleiner als
- equals
- Gleich
- greaterThan
- Größer als
- contains
- Enthält
- notContain
- Enthält nicht
- authFilter > requestUrl
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
urlPattern string Gibt das URL-Muster an.
- authFilter > userAgent
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung agent string Gibt den Benutzeragenten an. id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
- authFilter > webApp
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
name string Gibt den Namen an.
- spnego
- Steuert die Operationen des Simple and Protected GSS-API Negotiation Mechanism.
Attributname Datentyp Standardwert Beschreibung authFilterRef Referenz auf das authFilter-Element (string) der höchsten Ebene. Gibt die Referenz des Authentifizierungsfilters an. canonicalHostName boolean true Steuert, ob der kanonische Hostname verwendet werden soll. disableFailOverToAppAuthType boolean true Gibt an, dass zuerst SPNEGO für die Anmeldung bei WebSphere Application Server verwendet wird. Wenn die Anmeldung jedoch fehlschlägt, wird der Authentifizierungsmechanismus der Anwendung für die Anmeldung an WebSphere Application Server verwendet. includeClientGSSCredentialInSubject boolean true Gibt an, ob die Berechtigungsnachweise für Clientdelegierung in einem Clientsubjekt gespeichert werden sollen. krb5Config string Gibt den vollständig qualifizierten Kerberos-Konfigurationspfad und -namen an. Bei der Angabe des Verzeichnispfads können Standardvariablensubstitutionen wie ${server.config.dir} verwendet werden. krb5Keytab string Gibt den vollständig qualifizierten Kerberos-Chiffrierschlüsselpfad und -namen an. Bei der Angabe des Verzeichnispfads können Standardvariablensubstitutionen wie ${server.config.dir} verwendet werden. Die Kerberos-Chiffrierschlüsseldatei enthält eine Liste der Schlüssel, die Benutzerkennwörtern entsprechen. Es ist wichtig, dass die Hosts ihre Kerberos-Chiffrierschlüsseldateien durch Speichern auf der lokalen Platte schützen. ntlmTokenReceivedErrorPageURL string Gibt die URL einer Ressource an, die den Inhalt enthält, den SPEGNO in die HTTP-Antwort einfügt, die von der Browser-Clientanwendung angezeigt wird. servicePrincipalNames string Gibt eine durch Kommas getrennte Liste mit Kerberos-Service-Principalnamen an. spnegoNotSupportedErrorPageURL string Gibt die URL einer Ressource an, die den Inhalt enthält, den SPEGNO in die HTTP-Antwort einfügt, die von der Browser-Clientanwendung angezeigt wird, wenn die SPNEGO-Authentifizierung nicht unterstützt wird. trimKerberosRealmNameFromPrincipal boolean true Gibt an, ob SPNEGO das Suffix des Kerberos-Principal-Benutzernamens ab dem @ vor dem Kerberos-Realmnamen entfernt. Ist dieses Attribut auf true gesetzt, wird das Suffix des Principal-Benutzernamens entfernt. Das Suffix des Principal-Namens bleibt erhalten, wenn dieses Attribut auf false gesetzt ist. - spnego > authFilter
Beschreibung: Gibt die Referenz des Authentifizierungsfilters an.Erforderlich: falseDatentyp: - spnego > authFilter > host
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
name string Gibt den Namen an.
- spnego > authFilter > remoteAddress
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. ip string Gibt die IP-Adresse an. matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains Gibt den Abgleichstyp an. - lessThan
- Kleiner als
- equals
- Gleich
- greaterThan
- Größer als
- contains
- Enthält
- notContain
- Enthält nicht
- spnego > authFilter > requestUrl
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
urlPattern string Gibt das URL-Muster an.
- spnego > authFilter > userAgent
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung agent string Gibt den Benutzeragenten an. id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
- spnego > authFilter > webApp
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
name string Gibt den Namen an.