AdminTask 对象的 SpnegoTAICommands 组(不推荐使用)
要通过 wsadmin 工具配置安全性,可以使用 Jython 或 Jacl 脚本编制语言来实现。 SpnegoTAICommands 命令组中的命令和参数可用于创建和管理供“简单且受保护的 GSS-API 协商机制” (SPNEGO) 信任关联拦截器 (TAI) 使用的配置。
不推荐使用的功能部件:
在 WebSphere® Application Server V6.1 中引入了信任关联拦截器 (TAI) , TAI 使用 "简单且受保护的 GSS-API 协商机制" (SPNEGO) 来安全地协商和认证安全资源的 HTTP 请求。 在 WebSphere Application Server V7.0 中不推荐使用此功能。 SPNEGO Web 认证已取代该 TAI,以提供动态重新装入 SPNEGO 过滤器的功能以及对应用程序登录方法启用回退。
AdminTask 对象的 SpnegoTAICommands 命令组包括以下命令:
addSpnegoTAIProperties
addSpnegoTAIProperties 命令在应用程序服务器的简单且受保护的 GSS-API 协商机制 (SPNEGO) 信任关联拦截器 (TAI) 配置中添加属性。目标对象
无参数和返回值
- -spnId
- 它是将使用此命令定义的一组定制属性的 SPN 标识。 如果您未指定此参数,那么将分配未使用的 SPN 标识。 (字符串,可选)
- -host
- 指定由 SPNEGO TAI 用来建立 Kerberos 安全上下文的 SPN 中的主机名部分。 (字符串,必需)
- -filter
- 定义由通过给定属性指定的类使用的过滤条件。 如果未指定过滤器,那么所有 HTTP 请求都要进行 SPNEGO 认证。 (字符串,可选)
- -filterClass
- 指定 SPNEGO TAI 用于选择哪些 HTTP 请求将接受 SPNEGO 认证的 Java™ 类的名称。 如果未指定过滤器类,那么将使用缺省过滤器类 com.ibm.ws.security.spnego.HTTPHeaderFilter。 (字符串,可选)
- -noSpnegoPage
- 指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP
响应中的内容,如果(浏览器)客户机应用程序不支持 SPNEGO 认证,那么(浏览器)客户机应用程序将显示该内容。 (字符串,可选)。如果您未指定 noSpnegoPage 属性,那么将使用缺省值:
"<html><head><title>SPNEGO authentication is not supported.</title></head>" + "<body>SPNEGO authentication is not supported on this client.</body></html>"; - -ntlmTokenPage
- 指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP 响应中的内容,当拦截器在执行提问应答握手之后接收到的
SPNEGO 令牌包含 NT LAN 管理器 (NTLM) 令牌而不是期望的
SPNEGO 令牌时,(浏览器)客户机应用程序将显示该内容。 (字符串,可选)。如果您未指定 ntlmTokenPage 属性,那么将使用缺省值:
"<html><head><title>An NTLM Token was received.</title></head>" + "<body>Your browser configuration is correct, but you have not logged into a supported Windows Domain." + "<p>Please login to the application using the normal login page.</html>"; - -trimUserName
- 指定 SPNEGO TAI 是 (true) 否 (false) 要从 Kerberos 领域名前面的
@开始移除主体用户名的后缀。 如果此属性设置为 true,那么将移除主体用户名的后缀。 如果此属性设置为 false,那么将保留主体名称的后缀。 使用的缺省值为 true。 (字符串,可选)
示例
批处理方式示例用法:
- 使用 Jacl:
$AdminTask addSpnegoTAIProperties -host myhost.ibm.com -filter user-agent%=IE 6 - 使用 Jython 字符串:
AdminTask.addSpnegoTAIProperties ('[-host myhost.ibm.com -filter user-agent%=IE 6]') - 使用 Jython 列表:
AdminTask.addSpnegoTAIProperties (['-host', 'myhost.ibm.com', '-filter', 'user-agent%=IE', '6'])
交互方式示例用法:
- 使用 Jacl:
$AdminTask addSpnegoTAIProperties -interactive - 使用 Jython 字符串:
AdminTask.addSpnegoTAIProperties ('[-interactive]') - 使用 Jython 列表:
AdminTask.addSpnegoTAIProperties ['-interactive'])
deleteSpnegoTAIProperties
deleteSpnegoTAIProperties 命令用于删除 WebSphere Application Server的简单且受保护的 GSS-API 协商机制 (SPNEGO) 信任关联拦截器 (TAI) 配置中的属性。目标对象
无参数和返回值
- -spnId
- 将使用此命令删除的一组定制属性的 SPN 标识。 如果您未指定此参数,那么将删除所有 SPNEGO TAI 定制属性。 (字符串,可选)
示例
批处理方式示例用法:
- 使用 Jacl:
$AdminTask deleteSpnegoTAIProperties {-spnId 2} - 使用 Jython 字符串:
AdminTask.deleteSpnegoTAIProperties ('[-spnId 2]') - 使用 Jython 列表:
AdminTask.deleteSpnegoTAIProperties (['-spnId', '2'])
交互方式示例用法:
- 使用 Jacl:
$AdminTask deleteSpnegoTAIProperties -interactive - 使用 Jython 字符串:
AdminTask.deleteSpnegoTAIProperties ('[-interactive]') - 使用 Jython 列表:
AdminTask.deleteSpnegoTAIProperties ['-interactive'])
modifySpnegoTAIProperties
modifySpnegoTAIProperties 命令修改 WebSphere Application Server的简单且受保护的 GSS-API 协商机制 (SPNEGO) 信任关联拦截器 (TAI) 配置中的属性。目标对象
无参数和返回值
- -spnId
- 将使用此命令定义的一组定制属性的 SPN 标识。 (字符串,必需)
- -host
- 指定由 SPNEGO TAI 用来建立 Kerberos 安全上下文的 SPN 中的主机名部分。 (字符串,可选)
- -filter
- 定义由通过给定属性指定的类使用的过滤条件。 (字符串,可选)
- -filterClass
- 指定 SPNEGO TAI 用于选择哪些 HTTP 请求将接受 SPNEGO 认证的 Java 类的名称。 如果未指定类,那么所有 HTTP 请求都要进行 SPNEGO 认证。 (字符串,可选)
- -noSpnegoPage
- 指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP 响应中的内容,如果(浏览器)客户机应用程序不支持 SPNEGO 认证,那么(浏览器)客户机应用程序将显示该内容。 (字符串,可选)
- -ntlmTokenPage
- 指定资源的 URL,该资源包含 SPNEGO TAI 将包括在 HTTP 响应中的内容,当拦截器在执行提问应答握手之后接收到的 SPNEGO 令牌包含 NT LAN 管理器 (NTLM) 令牌而不是期望的 SPNEGO 令牌时,(浏览器)客户机应用程序将显示该内容。 (字符串,可选)
- -trimUserName
- 指定 SPNEGO TAI 是 (true) 否 (false) 要从 Kerberos 领域名前面的
@
开始移除主体用户名的后缀。 如果此属性设置为 true,那么将移除主体用户名的后缀。 如果此属性设置为 false,那么将保留主体名称的后缀。 使用的缺省值为 true。 (字符串,可选)
示例
批处理方式示例用法:
- 使用 Jacl:
$AdminTask modifySpnegoTAIPROPERTIES -spnId 1 -filter host==myhost.company.com - 使用 Jython 字符串:
AdminTask.modifySpnegoTAIPROPERTIES ('[-spnId 1 -filter host==myhost.company.com]') - 使用 Jython 列表:
AdminTask.modifySpnegoTAIPROPERTIES (['-spnId', '1', '-filter', 'host==myhost.company.com'])
交互方式示例用法:
- 使用 Jacl:
$AdminTask modifySpnegoTAIProperties -interactive - 使用 Jython 字符串:
AdminTask.modifySpnegoTAIProperties ('[-interactive]') - 使用 Jython 列表:
AdminTask.modifySpnegoTAIProperties ['-interactive'])
showSpnegoTAIProperties
showSpnegoTAIProperties 命令显示 WebSphere Application Server的简单且受保护的 GSS-API 协商机制 (SPNEGO) 信任关联拦截器 (TAI) 配置中的属性。目标对象
无参数和返回值
- -spnId
- 将使用此命令显示的一组定制属性的服务主体名称 (SPN) 标识。 如果您未指定此参数,那么将显示所有 SPNEGO TAI 定制属性。 (字符串,可选)
示例
批处理方式示例用法:
- 使用 Jacl:
$AdminTask showSpnegoTAIProperties -spnId 1 - 使用 Jython 字符串:
AdminTask.showSpnegoTAIProperties ('[-spnId 1]') - 使用 Jython 列表:
AdminTask.showSpnegoTAIProperties (['-spnId', '1'])
交互方式示例用法:
- 使用 Jacl:
$AdminTask showSpnegoTAIProperties -interactive - 使用 Jython 字符串:
AdminTask.showSpnegoTAIProperties ('[-interactive]') - 使用 Jython 列表:
AdminTask.showSpnegoTAIProperties ['-interactive'])
createKrbConfigFile
createKrbConfigFile 命令创建 Kerberos 配置文件,以便与 WebSphere Application Server的 "简单且受保护的 GSS-API 协商机制" (SPNEGO) 信任关联拦截器 (TAI) 配合使用。目标对象
无参数和返回值
- -krbPath
- 提供 Kerberos 配置(krb5.ini 或 krb5.conf)文件的标准文件系统位置。 (字符串,必需)
- -realm
- 提供 Kerberos 领域名称。 The value of this attribute is used by the SPNEGO TAI to form the Kerberos service principal name for each of the hosts specified with the property com.ibm.ws.security.spnego.SPN<id>.hostname (String, required)
- -kdcHost
- 提供 Kerberos 密钥分发中心 (KDC) 的主机名。 (字符串,必需)
- -kdcPort
- 提供 KDC 的端口号。 如果未指定值,那么缺省值为 88。 (字符串,可选)
- -dns
- 提供用来生成标准主机名的缺省域名服务 (DNS)。 (字符串,必需)
- -keytabPath
- 提供 Kerberos 密钥表文件的文件系统位置。 (字符串,必需)
- -encryption
- 标识受支持的加密类型的列表,各个类型用空格分隔。 指定的值用于 default_tkt_enctypes 和 default_tgs_enctypes。 缺省加密类型 (如果未指定) 为 c4-hmac。 (字符串,可选)
示例
交互方式示例用法:
- 使用 Jacl:
$AdminTask createKrbConfigFile -interactive - 使用 Jython 字符串:
AdminTask.createKrbConfigFile ('[-interactive]') - 使用 Jython 列表:
AdminTask.createKrbConfigFile ['-interactive'])