WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Nachrichtenflusssicherheit und Sicherheitsprofile

WebSphere Message Broker stellt einen Sicherheitsmanager für die Implementierung der Nachrichtenflusssicherheit zur Verfügung. Dieser gewährleistet auf Grundlage einer Identität, die mit der Nachrichteninstanz weitergeleitet wird, die Sicherheit einer Nachricht während ihrer Verarbeitung vom Anfang bis zum Ende eines Nachrichtenflusses.

Informationen zu den unterstützten externen Sicherheitsprovidern und der Funktionsweise des Sicherheitsmanagers des Nachrichtenflusses finden Sie im Abschnitt Übersicht über Nachrichtenflusssicherheit. Informationen zu den Tokentypen, die von SOAP-Knoten und externen Sicherheitsprovidern unterstützt werden, finden Sie unter Identität.

Wenn es sich bei einem Nachrichtenfluss um einen Web-Service handelt, der mithilfe von SOAP-Knoten implementiert wurde, und die Identität aus den WS-Security-SOAP-Headern entnommen werden soll, dann sind die SOAP-Knoten der Policy Enforcement Point (PEP, Richtliniendurchsetzungspunkt) und der externe, in den Sicherheitsprofilen definierte Provider ist der Policy Decision Point (PDP, Richtlinienentscheidungspunkt).

Zur Implementierung der Nachrichtenflusssicherheit auf Basis der in WS_Security-Tokens weitergeleiteten Identität ist folgende Konfiguration erforderlich.

Alternativ zur Nachrichtenflusssicherheit und einem externen PDP kann der Truststore des Brokers als lokaler PDP für die X.509- Zertifikatauthentifizierung verwendet werden. Sie müssen den Broker-Truststore konfigurieren, um die WS-Security ausschließlich über den lokalen Broker signieren und verschlüsseln zu lassen. Einzelheiten hierzu finden Sie unter Laufzeiteigenschaften des Schlüsselspeichers und Zertifikatsspeichers auf Brokerebene anzeigen und festlegen und Laufzeiteigenschaften des Schlüsselspeichers und des Zertifikatsspeicher auf Ausführungsgruppenebene anzeigen und festlegen.

Die SOAP-Knoten unterstützen die WS-Security auf Kerberos-Basis. Wenn Sie Kerberos für die Sicherheit einsetzen, stellt die WS-Security-Verarbeitung des SOAP-Knotens eine direkte Verbindung zur Kerberos-Infrastruktur des Hosts her. Der Broker-Host muss für Kerberos konfiguriert sein und die Datei krb.conf zur Definition des Kerberos Key Distribution Center (KDC) und das Standardbereichs bereitstellen. Darüber hinaus muss eine Kerberos-keytab-Datei (Chiffrierschlüsseldatei) konfiguriert werden. Weitere Informationen zur Konfiguration von Kerberos finden Sie in der Host-Dokumentation zu Kerberos.

Zur Verwendung der Kerberos-WS-Security in SOAP-Knoten müssen Sie in der Anzeige für den Nachrichtenstufenschutz einen Richtliniensatz und Bindungen erstellen und Kerberos-Tokens zur symmetrischen Verschlüsselung angeben; vergleichen Sie hierzu Editor für Richtliniensätze und Richtliniensatzbindungen: Nachrichtenstufenschutz. Konfigurieren Sie auch die erforderlichen Einstellungen in der Anzeige zu den Kerberos-Einstellungen, wie in Editor für Richtliniensätze und Richtliniensatzbindungen: Anzeige für Kerberos-Einstellungen beschrieben, und ordnen Sie diesen Richtliniensatz und die Bindungen anschließend dem SOAP-Knoten zu. Sie können SOAP-Knoten auch einem Sicherheitsprofil zuordnen, das nur die Weitergabe festlegt, damit Kerberos für folgende Aufgaben verwendet werden kann:
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:20:21


KonzeptthemaKonzeptthema | Version 8.0.0.5 | ac56090_