Simple and Protected GSSAPI Negotiation Mechanism
此功能部件允许 Web 应用程序集成 SPNEGO 1.0 以认证用户(而不是已配置用户注册表)或在认证已配置用户注册表之外认证用户。
启用此功能部件
要启用简单且受保护的 GSSAPI 协商功能部件,请在 server.xml 文件的 featureManager 元素内添加以下元素声明:
<feature>spnego-1.0</feature>
受支持的 Java™ 版本
- JavaSE-1.6
- JavaSE-1.7
- JavaSE-1.8
开发依赖于此功能部件的功能部件
如果您要开发依赖于简单且受保护的 GSSAPI 协商功能部件的功能部件,请在新功能部件的功能部件清单文件的 Subsystem-Content 头中添加以下项:
com.ibm.websphere.appserver.spnego-1.0; type="osgi.subsystem.feature"
此功能部件启用的功能部件
功能部件配置元素
可在 server.xml 文件中使用以下元素以配置简单且受保护的 GSSAPI 协商功能部件:
- authFilter
- 指定表示条件的选择规则,HTTP 请求头必须与这些条件匹配才能确定是否对认证选择该 HTTP 请求。
属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 - authFilter > host
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 matchType - equals
- contains
- notContain
contains 指定匹配类型。 - equals
- Equals
- contains
- Contains
- notContain
- Not contain
name string 指定名称。
- authFilter > remoteAddress
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 ip string 指定 IP 地址。 matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains 指定匹配类型。 - lessThan
- Less than
- equals
- Equals
- greaterThan
- Greater than
- contains
- Contains
- notContain
- Not contain
- authFilter > requestUrl
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 matchType - equals
- contains
- notContain
contains 指定匹配类型。 - equals
- Equals
- contains
- Contains
- notContain
- Not contain
urlPattern string 指定 URL 模式。
- spnego
- 控制简单且受保护的 GSS-API 协商机制的操作。
属性名称 数据类型 缺省值 描述 authFilterRef 对顶级 authFilter 元素的引用(字符串)。 指定认证过滤器参考。 canonicalHostName 布尔型 true 控制是否要使用规范主机名。 disableFailOverToAppAuthType 布尔型 true 指定先使用 SPNEGO 登录 WebSphere Application Server。但是,如果登录失败,那么会使用应用程序认证机制登录 WebSphere Application Server。 includeClientGSSCredentialInSubject 布尔型 true 指定是否应将客户机授权凭证存储在客户机主体集中。 krb5Config string 指定标准 Kerberos 配置路径和名称。指定目录路径时可以使用标准变量替换,如 ${server.config.dir}。 krb5Keytab string 指定标准 Kerberos 密钥表路径和名称。指定目录路径时可以使用标准变量替换,如 ${server.config.dir}。Kerberos 密钥表文件包含类似用户密码的密钥的列表。主机应通过将其 Kerberos 密钥表文件存储在本地磁盘上来保护这些文件。 ntlmTokenReceivedErrorPageURL string 指定资源的 URL,此资源包含 SPNEGO 在 HTTP 响应中包含的内容,浏览器客户端应用程序会显示此 HTTP 响应。 servicePrincipalNames string 指定 Kerberos 服务主体名称的逗号分隔列表。 spnegoNotSupportedErrorPageURL string 指定资源的 URL,此资源包含 SPNEGO 在 HTTP 响应中包含的内容,浏览器客户端应用程序不支持 SPNEGO 认证时会显示此 HTTP 响应。 trimKerberosRealmNameFromPrincipal 布尔型 true 指定 SPNEGO 是否移除 Kerberos 主体名称的后缀(以 Kerberos 域名之前的 @ 开头)。如果此属性设置为 true,那么将移除主体用户名的后缀。如果此属性设置为 false,那么将保留主体名的后缀。 - spnego > authFilter
描述: 指定认证过滤器参考。必需: false数据类型: - spnego > authFilter > host
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 matchType - equals
- contains
- notContain
contains 指定匹配类型。 - equals
- Equals
- contains
- Contains
- notContain
- Not contain
name string 指定名称。
- spnego > authFilter > remoteAddress
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 ip string 指定 IP 地址。 matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains 指定匹配类型。 - lessThan
- Less than
- equals
- Equals
- greaterThan
- Greater than
- contains
- Contains
- notContain
- Not contain
- spnego > authFilter > requestUrl
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 matchType - equals
- contains
- notContain
contains 指定匹配类型。 - equals
- Equals
- contains
- Contains
- notContain
- Not contain
urlPattern string 指定 URL 模式。