Simple and Protected GSSAPI Negotiation Mechanism
這項特性可讓 Web 應用程式整合 SPNEGO 1.0,以替代或搭配所配置的使用者登錄,進行使用者鑑別。
啟用這項特性
如果要啟用「簡易且受保護的 GSSAPI 協議機制」特性,請在 server.xml 檔的 featureManager 元素內,新增下列的元素宣告:
<feature>spnego-1.0</feature>
支援的 Java™ 版本
- JavaSE-1.6
- JavaSE-1.7
- JavaSE-1.8
開發相依於這項特性的特性
如果您要開發的特性相依於「簡易且受保護的 GSSAPI 協議機制」特性,請將下列項目包含在您新特性的特性資訊清單檔 Subsystem-Content 標頭中:
com.ibm.websphere.appserver.spnego-1.0; type="osgi.subsystem.feature"
特性配置元素
您可以在 server.xml 檔中使用下列元素,來配置「簡易且受保護的 GSSAPI 協議機制」特性:
- authFilter
- 指定選取規則,以代表要與 HTTP 要求標頭比對的條件,來判斷是否選取該 HTTP 要求來進行鑑別。
屬性名稱 資料類型 預設值 說明 id string 唯一的配置 ID。 - authFilter > host
說明: 唯一的配置 ID。必要: false資料類型: 屬性名稱 資料類型 預設值 說明 id string 唯一的配置 ID。 matchType - equals
- contains
- notContain
contains 指定相符類型。 - equals
- 等於
- contains
- 包含
- notContain
- 不包含
name string 指定名稱。
- authFilter > remoteAddress
說明: 唯一的配置 ID。必要: false資料類型: 屬性名稱 資料類型 預設值 說明 id string 唯一的配置 ID。 ip string 指定 IP 位址。 matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains 指定相符類型。 - lessThan
- 小於
- equals
- 等於
- greaterThan
- 大於
- contains
- 包含
- notContain
- 不包含
- authFilter > requestUrl
說明: 唯一的配置 ID。必要: false資料類型: 屬性名稱 資料類型 預設值 說明 id string 唯一的配置 ID。 matchType - equals
- contains
- notContain
contains 指定相符類型。 - equals
- 等於
- contains
- 包含
- notContain
- 不包含
urlPattern string 指定 URL 型樣。
- spnego
- 控制「簡易且受保護的 GSS-API 協議機制」的作業。
屬性名稱 資料類型 預設值 說明 authFilterRef 最上層 authFilter 元素的參照(字串)。 指定鑑別過濾器參照。 canonicalHostName boolean true 控制是否要使用標準主機名稱。 disableFailOverToAppAuthType boolean true 指定要先使用 SPNEGO 來登入 WebSphere Application Server。不過,如果登入失敗,則使用應用程式鑑別機制來登入 WebSphere Application Server。 includeClientGSSCredentialInSubject boolean true 指定是否應將用戶端委派認證儲存在用戶端主旨中。 krb5Config string 指定完整的 Kerberos 配置路徑和名稱。指定目錄路徑時,可以使用標準變數替代項目,例如 ${server.config.dir}。 krb5Keytab string 指定完整的 Kerberos 金鑰表路徑和名稱。指定目錄路徑時,可以使用標準變數替代項目,例如 ${server.config.dir}。Kerberos keytab 檔包含類似於使用者密碼的金鑰清單。對各部主機而言,將 Kerberos keytab 檔儲存在本端磁碟加以保護,非常重要。 ntlmTokenReceivedErrorPageURL string 指定資源的 URL,這個資源含有 SPNEGO 要包含在 HTTP 回應中的內容,以供瀏覽器用戶端應用程式顯示。 servicePrincipalNames string 指定 Kerberos 服務主體名稱清單,並以逗點區隔。 spnegoNotSupportedErrorPageURL string 指定資源的 URL,這個資源含有 SPNEGO 要包含在 HTTP 回應中的內容,一旦瀏覽器用戶端應用程式不支援 SPNEGO 鑑別,就可以顯示該內容。 trimKerberosRealmNameFromPrincipal boolean true 指定 SPNEGO 是否移除 Kerberos 主體使用者名稱的字尾,這個字尾從位於 Kerberos 網域範圍名稱前面的 @ 開始。如果這個屬性設為 true,會移除主體使用者名稱的字尾。如果這個屬性設為 false,會保留主體名稱的字尾。 - spnego > authFilter
說明: 指定鑑別過濾器參照。必要: false資料類型: - spnego > authFilter > host
說明: 唯一的配置 ID。必要: false資料類型: 屬性名稱 資料類型 預設值 說明 id string 唯一的配置 ID。 matchType - equals
- contains
- notContain
contains 指定相符類型。 - equals
- 等於
- contains
- 包含
- notContain
- 不包含
name string 指定名稱。
- spnego > authFilter > remoteAddress
說明: 唯一的配置 ID。必要: false資料類型: 屬性名稱 資料類型 預設值 說明 id string 唯一的配置 ID。 ip string 指定 IP 位址。 matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains 指定相符類型。 - lessThan
- 小於
- equals
- 等於
- greaterThan
- 大於
- contains
- 包含
- notContain
- 不包含
- spnego > authFilter > requestUrl
說明: 唯一的配置 ID。必要: false資料類型: 屬性名稱 資料類型 預設值 說明 id string 唯一的配置 ID。 matchType - equals
- contains
- notContain
contains 指定相符類型。 - equals
- 等於
- contains
- 包含
- notContain
- 不包含
urlPattern string 指定 URL 型樣。