Este tema já foi explorado neste blog para a versão 6.0 do Portal. No post de hoje eu gostaria de explorar esta funcionalidade no Portal 6.1.
Na versão 6.1 do Portal o SPNego (componente presente no TAM), funciona como um TAI (trust association interceptor). Desta forma você consegue configurar o portal sem a necessidade de utilizar um software externo de autenticação para estabelecer uma comunicação kerberos com o IIS (Internet Information Server). O módulo kerberos que está no IIS consegue obter um token de confiança entre o Microsoft AD e o Windows.
Para fazer isso a configuração é bem simples. Abaixo segue um passo-a-passo.
1) Enabling and configuring the SPNEGO TAI
Enabling :
Perform the following steps to enable the Simple and Protected GSS-API Negotiation Mechanism trustassociation interceptor:
1. Log on to the WebSphere Application Server administrative console.
2. Click Security > Secure administration, applications, and infrastructure.
3. Click Web security and then click Trust association.
4. Ensure that the Enable trust association checkbox is checked and then click Interceptors.
5. Click New and then type com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl in theInterceptor class name text field.
6. Click OK and then click the Save link to save changes to the master configuration.
Configuring:
1.Log on to the WebSphere Application Server administrative console.
2.Click Security > Secure administration, applications, and infrastructure.
3.Click Web security and then click Trust association.
4.Ensure that the Enable trust association checkbox is checked and then click Interceptors.
5.Click com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl
6.Click Custom properties
7.Click New
8.Name : com.ibm.ws.security.spnego.SPN1.hostName
9.Value : portal61.ibdemo.com
10.Click Save
11.Click new to create a new property :
12.Name : com.ibm.ws.security.spnego.SPN1.filterClass
13.Value : com.ibm.ws.security.spnego.HTTPHeaderFilter
14.Click Save
15.You might have properties in the Custom Properties list as below :
Name = Value
com.ibm.ws.security.spnego.SPN1.hostName = portal61.ibdemo.com
com.ibm.ws.security.spnego.SPN1.filterClass = com.ibm.ws.security.spnego.HTTPHeaderFilter
3 comentários:
Realmente é bem simples e os benefícios são visíveis, principalmente porque muitos dos clientes empresariais usam windows e tem horror em ficar reautenticando na expiração da sessão.
Há algum impacto em performance quando esta ação está habilitada? Há muitos problemas relatados pós configiração?
Não há impacto pelo ponto de vista da aplicação.
Há uma integração com o autenticador com Windows via kerberos e caso o sistema operacional demore para responder, neste caso o portal sentirá a diferença.
Nos casos do seu ambiente estar correto, o portal não sentirá o efeito desta comunicação extra.
Postar um comentário