WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

WS-Security implementieren

Konfigurieren Sie die Authentifizierung, die XML-Verschlüsselung, die XML-Signatur und die Ablaufzeit der Nachrichten über den Editor für Richtliniensätze und Richtliniensatzbindungen.

Mit dem Editor für Richtliniensätze und Richtliniensatzbindungen in der WebSphere Message Broker Explorer werden die folgenden Aspekte von WS-Security konfiguriert:

Authentifizierung

Die folgenden Token werden unterstützt:
  • Benutzername
  • X.509
  • SAML-Zusicherungen
  • Kerberos-Tickets
  • Binäre LTPA-Token
Authentifizierung unter Verwendung von Username-Token konfigurieren:
  1. Klicken Sie im WebSphere Message Broker Explorer mit der rechten Maustaste auf den Broker, mit dem Sie arbeiten möchten, und klicken Sie dann auf Eigenschaften.
  2. Wählen Sie im Fenster Eigenschaften die Registerkarte 'Sicherheit' aus und klicken Sie auf Richtliniensätze.
  3. Erstellen Sie einen Richtliniensatz und fügen Sie Username-Authentifizierungstoken hinzu; vergleichen Sie hierzu Editor für Richtliniensätze und Richtliniensatzbindungen: Authentifizierungstoken.
  4. Konfigurieren Sie außerdem alle X.509-Authentifizierungstoken, die im zugeordneten Richtliniensatz definiert sind; siehe Editor für Richtliniensätze und Richtliniensatzbindungen: Authentifizierungs- und Schutztoken.
  5. Konfigurieren Sie ein Sicherheitsprofil (siehe Nachrichtenflusssicherheit und Sicherheitsprofile).
  6. Ordnen Sie den Richtliniensatz einem Nachrichtenfluss oder Knoten zu (siehe Nachrichtenflüssen und Knoten Richtliniensätze und Bindungen zuordnen).
Authentifizierung unter Verwendung von X.509-Token konfigurieren:
  1. Bei Verwendung eines Broker-Truststore für das gesicherte Zertifikat müssen Sie diesen konfigurieren (siehe Laufzeiteigenschaften des Schlüsselspeichers und Zertifikatsspeichers auf Brokerebene anzeigen und festlegen bzw. Laufzeiteigenschaften des Schlüsselspeichers und des Zertifikatsspeicher auf Ausführungsgruppenebene anzeigen und festlegen, je nachdem, wo Laufzeiteigenschaften für Keystore und Truststore festgelegt werden sollen).
  2. Erstellen Sie einen Richtliniensatz und fügen Sie Username- und X.509-Authentifizierungstoken hinzu; vergleichen Sie hierzu Editor für Richtliniensätze und Richtliniensatzbindungen: Authentifizierungstoken.
  3. Konfigurieren Sie den Zertifikatsmodus für den Broker-Truststore oder externen Sicherheitsprovider; siehe Editor für Richtliniensätze und Richtliniensatzbindungen: Authentifizierungs- und Schutztoken.
  4. Bei Verwendung eines externen Sicherheitsproviders müssen Sie ein Sicherheitsprofil konfigurieren (siehe Nachrichtenflusssicherheit und Sicherheitsprofile).
  5. Ordnen Sie den Richtliniensatz einem Nachrichtenfluss oder Knoten zu (siehe Nachrichtenflüssen und Knoten Richtliniensätze und Bindungen zuordnen).
Authentifizierung mit SAML-Zusicherungen konfigurieren:
  1. Klicken Sie in WebSphere Message Broker Explorer mit der rechten Maustaste auf den Broker, mit dem Sie arbeiten möchten, und klicken Sie dann auf Eigenschaften.
  2. Wählen Sie im Fenster Eigenschaften die Registerkarte 'Sicherheit' aus und klicken Sie auf Richtliniensätze.
  3. Erstellen Sie einen Richtliniensatz und fügen Sie Token für die SAMS-Durchgriffsfunktion 1.1 oder 2.0 hinzu; vergleichen Sie hierzu Editor für Richtliniensätze und Richtliniensatzbindungen: Authentifizierungstoken. Die SAML-Durchgriffsfunktion führt keine Bestätigung des Betreffs durch, sondern die Zusicherung wird einfach als Token zur Verarbeitung durch den externen Sicherheitstoken-Server bereitgestellt, der im Sicherheitsprofil angegeben ist, das dem Knoten zugeordnet ist.
  4. Konfigurieren Sie ein Sicherheitsprofil. Das Sicherheitsprofil muss für die Verwendung eines WS-Trust v1.3 STS konfiguriert werden. Der Abschnitt Nachrichtenflusssicherheit und Sicherheitsprofile enthält weitere Informationen hierzu.
  5. Ordnen Sie den Richtliniensatz einem Nachrichtenfluss oder Knoten zu (siehe Nachrichtenflüssen und Knoten Richtliniensätze und Bindungen zuordnen).
Authentifizierung unter Verwendung von Kerberos-Tickets konfigurieren:
  1. Klicken Sie in WebSphere Message Broker Explorer mit der rechten Maustaste auf den Broker, mit dem Sie arbeiten möchten, und klicken Sie dann auf Eigenschaften.
  2. Wählen Sie im Fenster Eigenschaften die Registerkarte 'Sicherheit' aus und klicken Sie auf Richtliniensätze.
  3. Erstellen Sie einen Richtliniensatz und fügen Sie den Kerberos-Tokentyp als symmetrischen Token hinzu; vergleichen Sie hierzu Editor für Richtliniensätze und Richtliniensatzbindungen: Nachrichtenstufenschutz.
  4. Ordnen Sie den Richtliniensatz einem Nachrichtenfluss oder Knoten zu (siehe Nachrichtenflüssen und Knoten Richtliniensätze und Bindungen zuordnen).
  5. Konfigurieren Sie die Kerberos-Datei keytab des Hosts. Weitere Informationen zur Kerberos-Konfiguration finden Sie in der Dokumentation zum Hostsystem Ihres Brokers. Lesen Sie für Windows z. B. die Informationen im Handbuch "Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability" unter http://technet.microsoft.com/en-us/library/.
Authentifizierung unter Verwendung von binären LTPA-Token konfigurieren:
  1. Klicken Sie in WebSphere Message Broker Explorer mit der rechten Maustaste auf den Broker, mit dem Sie arbeiten möchten, und klicken Sie dann auf Eigenschaften.
  2. Wählen Sie im Fenster Eigenschaften die Registerkarte 'Sicherheit' aus und klicken Sie auf Richtliniensätze.
  3. Erstellen Sie einen Richtliniensatz und fügen Sie LTPA-Token hinzu; vergleichen Sie hierzu Editor für Richtliniensätze und Richtliniensatzbindungen: Authentifizierungstoken. Das binäre LTPA-Token wird an den externen Sicherheitstoken-Server (STS) übergeben, der in dem dem Knoten zugeordneten Sicherheitsprofil angegeben ist.
  4. Konfigurieren Sie ein Sicherheitsprofil. Das Sicherheitsprofil muss für die Verwendung eines WS-Trust v1.3 STS konfiguriert werden. Der Abschnitt Nachrichtenflusssicherheit und Sicherheitsprofile enthält weitere Informationen hierzu.
  5. Ordnen Sie den Richtliniensatz einem Nachrichtenfluss oder Knoten zu (siehe Nachrichtenflüssen und Knoten Richtliniensätze und Bindungen zuordnen).

Vertraulichkeit

Vertraulichkeit wird durch XML-Verschlüsselung gewährleistet und erfordert X.509-Token oder Kerberos-Tickets.

XML-Verschlüsselung unter Verwendung von X.509-Token konfigurieren:
  1. Bei Verwendung eines Broker-Truststore für das gesicherte Zertifikat müssen Sie diesen konfigurieren (siehe Laufzeiteigenschaften des Schlüsselspeichers und Zertifikatsspeichers auf Brokerebene anzeigen und festlegen bzw. Laufzeiteigenschaften des Schlüsselspeichers und des Zertifikatsspeicher auf Ausführungsgruppenebene anzeigen und festlegen, je nachdem, wo Laufzeiteigenschaften für Keystore und Truststore festgelegt werden sollen).
  2. Klicken Sie in WebSphere Message Broker Explorer mit der rechten Maustaste auf den Broker, mit dem Sie arbeiten möchten, und klicken Sie dann auf Eigenschaften.
  3. Wählen Sie im Fenster Eigenschaften die Registerkarte Sicherheit aus und klicken Sie auf Richtliniensätze.
  4. Erstellen Sie einen Richtliniensatz, aktivieren Sie die XML-Verschlüsselung, erstellen Sie Verschlüsselungstoken und wählen Sie die zu verwendenden Verschlüsselungsalgorithmen aus; siehe Editor für Richtliniensätze und Richtliniensatzbindungen: Nachrichtenstufenschutz.
  5. Definieren Sie, welche Teile einer Nachricht verschlüsselt werden sollen; siehe Editor für Richtliniensätze und Richtliniensatzbindungen: Nachrichtenteilschutz.
  6. Konfigurieren Sie außerdem die Verschlüsselung des Nachrichtenbereichs; siehe Editor für Richtliniensätze und Richtliniensatzbindungen: Nachrichtenteilrichtlinien.
  7. Konfigurieren Sie den Schlüsselspeicher und Truststore; siehe Editor für Richtliniensätze und Richtliniensatzbindungen: Schlüsselinformationen.
  8. Ordnen Sie den Richtliniensatz einem Nachrichtenfluss oder einem Knoten zu (siehe Nachrichtenflüssen und Knoten Richtliniensätze und Bindungen zuordnen).
XML-Verschlüsselung unter Verwendung von Kerberos-Tickets konfigurieren:
  1. Konfigurieren Sie den Host für Kerberos über die Konfigurationsdatei krb.conf. Dieser Schritt ist für alle Betriebssysteme einschließlich Windows erforderlich.
  2. Stellen Sie dem Broker die Berechtigungsnachweise für den Kerberos-Client zur Verfügung, damit er auf das Kerberos Key Distribution Center (KDC) zugreifen kann. Diese Berechtigungsnachweise (die für SOAPRequest-Knoten benötigt werden) können Sie entweder in der Baumstruktur für Eigenschaften des Brokers bereitstellen oder über den Befehl mqsisetdbparms. Die Berechtigungsnachweise werden nach Priorität eingesetzt:
    • Die Eigenschaft propagation des Knoten-Sicherheitsprofils ist auf True gesetzt und das Benutzernamens- und Kennworttoken für die Eigenschaftenbaumstruktur sind vorhanden. Sollten das Benutzernamens- und Kennworttoken nicht vorhanden sein, wird eine Ausnahmebedingung ausgegeben.
    • mqsisetdbparms kerberos::<Realm>::<Name der Ausführungsgruppe>
    • mqsisetdbparms kerberos::<Realm>
    • mqsisetdbparms kerberos::kerberos
  3. Klicken Sie in WebSphere Message Broker Explorer mit der rechten Maustaste auf den Broker, mit dem Sie arbeiten möchten, und klicken Sie dann auf Eigenschaften.
  4. Wählen Sie im Fenster Eigenschaften die Registerkarte Sicherheit aus und klicken Sie auf Richtliniensätze.
  5. Erstellen Sie einen Richtliniensatz und fügen Sie den erforderlichen Kerberos-Tokentyp als symmetrischen Token hinzu; vergleichen Sie hierzu Editor für Richtliniensätze und Richtliniensatzbindungen: Nachrichtenstufenschutz.

Integrität

Integrität wird durch XML-Signatur gewährleistet und erfordert X.509-Token oder Kerberos-Tickets.

XML-Signatur unter Verwendung von X.509-Token konfigurieren:
  1. Bei Verwendung eines Broker-Truststore für das gesicherte Zertifikat müssen Sie diesen konfigurieren (siehe Laufzeiteigenschaften des Schlüsselspeichers und Zertifikatsspeichers auf Brokerebene anzeigen und festlegen bzw. Laufzeiteigenschaften des Schlüsselspeichers und des Zertifikatsspeicher auf Ausführungsgruppenebene anzeigen und festlegen, je nachdem, wo Laufzeiteigenschaften für Keystore und Truststore festgelegt werden sollen).
  2. Klicken Sie in WebSphere Message Broker Explorer mit der rechten Maustaste auf den Broker, mit dem Sie arbeiten möchten, und klicken Sie dann auf Eigenschaften.
  3. Wählen Sie im Fenster Eigenschaften die Registerkarte 'Sicherheit' aus und klicken Sie auf Richtliniensätze.
  4. Erstellen Sie einen Richtliniensatz, aktivieren Sie die XML-Signatur und erstellen Sie Signaturtoken; siehe Editor für Richtliniensätze und Richtliniensatzbindungen: Nachrichtenstufenschutz.
  5. Definieren Sie, welche Teile einer Nachricht signiert werden sollen; siehe Editor für Richtliniensätze und Richtliniensatzbindungen: Nachrichtenteilschutz.
  6. Konfigurieren Sie außerdem die Signatur des Nachrichtenbereichs; siehe Editor für Richtliniensätze und Richtliniensatzbindungen: Nachrichtenteilrichtlinien.
  7. Konfigurieren Sie den Schlüsselspeicher und Truststore; siehe Editor für Richtliniensätze und Richtliniensatzbindungen: Schlüsselinformationen.
  8. Ordnen Sie den Richtliniensatz einem Nachrichtenfluss oder einem Knoten zu (siehe Nachrichtenflüssen und Knoten Richtliniensätze und Bindungen zuordnen).
XML-Signatur unter Verwendung von Kerberos-Tickets konfigurieren:
  1. Konfigurieren Sie den Host für Kerberos über die Konfigurationsdatei krb.conf. Dieser Schritt ist für alle Betriebssysteme einschließlich Windows erforderlich.
  2. Stellen Sie dem Broker die Berechtigungsnachweise für den Kerberos-Client zur Verfügung, damit er auf das Kerberos Key Distribution Center (KDC) zugreifen kann. Diese Berechtigungsnachweise (die für SOAPRequest-Knoten benötigt werden) können Sie entweder in der Baumstruktur für Eigenschaften des Brokers bereitstellen oder über den Befehl mqsisetdbparms. Die Berechtigungsnachweise werden nach folgender Priorität eingesetzt:
    • Die Eigenschaft propagation des Knoten-Sicherheitsprofils ist auf True gesetzt und das Benutzernamens- und Kennworttoken für die Eigenschaftenbaumstruktur sind vorhanden. Sollten das Benutzernamens- und Kennworttoken nicht vorhanden sein, wird eine Ausnahmebedingung ausgegeben.
    • mqsisetdbparms kerberos::<Realm>::<Name der Ausführungsgruppe>
    • mqsisetdbparms kerberos::<Realm>
    • mqsisetdbparms kerberos::kerberos
  3. Klicken Sie in WebSphere Message Broker Explorer mit der rechten Maustaste auf den Broker, mit dem Sie arbeiten möchten, und klicken Sie dann auf Eigenschaften.
  4. Wählen Sie im Fenster Eigenschaften die Registerkarte Sicherheit aus und klicken Sie auf Richtliniensätze.
  5. Erstellen Sie einen Richtliniensatz und fügen Sie den erforderlichen Kerberos-Tokentyp als symmetrischen Token hinzu; vergleichen Sie hierzu Editor für Richtliniensätze und Richtliniensatzbindungen: Nachrichtenstufenschutz.

Nachrichtenablauf

Informationen zur Konfiguration der Ablaufzeit von Nachrichten finden Sie im Abschnitt Editor für Richtliniensätze und Richtliniensatzbindungen: Verfall der Nachricht.
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:20:25


TaskthemaTaskthema | Version 8.0.0.5 | ac60160_