Bindungen für den Nachrichtenschutz für Kerberos konfigurieren

Zum Konfigurieren von Bindungen für den Nachrichtenschutz mit JAX-WS-Anwendungen müssen Sie eine angepasste Bindung konfigurieren. Führen Sie diese Task aus, um die Bindungen für ein Kerberos-Token gemäß der Definition in der OASIS--Security-Spezifikation für Kerberos Token Profile Version 1.1 zu konfigurieren.

Vorbereitende Schritte

Sie müssen Kerberos für IBM WebSphere Application Server konfigurieren. Weitere Informationen finden Sie in der Beschreibung der Unterstützung des Kerberos-Authentifizierungsverfahrens (KRB5) für die Sicherheit. Außerdem müssen Sie den Kerberos-Tokenrichtliniensatz für JAX-WS-Anwendungen konfigurieren. Weitere Informationen finden Sie im Artikel "Kerberos-Tokenrichtliniensatz für JAX-WS-Anwendungen konfigurieren".

Informationen zu diesem Vorgang

Sie können vorhandene Frameworks, einschließlich der Richtliniensätze und Bindungen, für JAX-WS-Anwendungen nutzen.

Sie können ein symmetrisches Zugriffsschutztoken oder ein Authentifizierungstoken konfigurieren. Für die Konfiguration von symmetrischen Zugriffsschutztoken und Authentifizierungstoken werden ähnliche Konfigurationsdaten verwendet. Sie müssen das Authentifizierungstoken jedoch nicht konfigurieren, wenn Sie ein symmetrisches Kerberos-Zugriffsschutztoken verwenden möchten. Konfigurieren Sie die in der folgenden Liste angegebenen Tokengeneratoren und Tokenkonsumenten für den zu verwendenden Tokentyp:
  • Symmetrisches Zugriffsschutztoken
    • Tokengenerator
    • Tokenkonsument
  • Authentifizierungstoken
    • Tokengenerator
    • Tokenkonsument

Verwenden Sie die Administrationskonsole, um die anwendungsspezifischen Bindungen für die Verwendung eines Kerberos-Tokens für den Schutz von Web-Service-Nachrichten zu konfigurieren.

Vorgehensweise

  1. Klicken Sie auf Anwendungen > Anwendungstypen.
  2. Klicken Sie auf WebSphere-Unternehmensanwendungen > Anwendungsname.
  3. Klicken Sie unter der Überschrift "Web-Service-Eigenschaften" auf Richtliniensätze und Bindungen für Service-Provider, um die Servicebindungen zu konfigurieren, oder klicken Sie auf Richtliniensätze und Bindungen für Service-Clients, um die Clientbindungen zu konfigurieren.
  4. Wählen Sie die Ressource aus, die dem Kerberos-Tokenrichtliniensatz zugeordnet werden soll, und wählen Sie anschließend Richtliniensatz zuordnen > Name_des_Richtliniensatzes aus. Informationen zum um Konfigurieren des Kerberos-Tokenrichtliniensatzes finden Sie im Artikel Kerberos-Tokenrichtliniensatz für JAX-WS-Anwendungen konfigurieren.
  5. Klicken Sie auf Bindungen zuordnen, und wählen Sie die anwendungsspezifische Bindung aus, oder wählen Sie Neue anwendungsspezifische Bindung aus, um eine neue Bindung zu erstellen. Zum Erstellen einer neuen Bindung führen Sie die folgenden Aktionen aus.
    1. Geben Sie im Feld Name der Bindungskonfiguration einen Namen für die neue Bindung und optional im Feld Beschreibung eine Beschreibung für die Bindung ein.
    2. Klicken Sie auf Hinzufügen, und wählen Sie WS-Security aus, um einen neuen Richtliniensatz anzugeben.
    3. Klicken Sie auf Authentifizierung und Zugriffsschutz > Neu.
    4. Optional: Definieren Sie ein symmetrisches Zugriffsschutztoken für den Tokengenerator.
      Wichtig: Wenn Sie ein symmetrisches Zugriffsschutztoken für den Tokengenerator konfigurieren, müssen Sie ein entsprechendes symmetrisches Zugriffsschutztoken für den Tokenkonsumenten definieren.
      1. Klicken Sie unter der Überschrift "Token für Zugriffsschutz" auf Neu, und wählen Sie Tokengenerator aus.
      2. Geben Sie im Feld Name den Namen des Zugriffsschutztoken ein.
      3. Wählen Sie aus den Werten in der Menüliste Tokentyp den Eintrag Angepasst aus.
      4. Geben Sie im Feld Lokaler Name den lokalen Namenswert ein.
        Für die Interoperabilität mit anderen Web-Service-Technologien geben Sie den folgenden lokalen Namen an: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Wenn Interoperabilitätsaspekte für Sie keine Rolle spielen, können Sie auch einen der folgenden lokalen Namenswerte angeben:
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Diese alternativen Werte richten sich nach der Spezifikationsstufe des Kerberos-Tokens, das von Key Distribution Center (KDC) generiert wird. Weitere Informationen zur Verwendung dieser Werte finden Sie im Artikel zu den Einstellungen für Zugriffsschutztoken (Generator oder Konsument).

      5. Geben Sie im Feld Namespace-URI keinen Wert ein.
      6. Wählen Sie in der Menüliste für "JAAS-Anmeldung" den Wert wss.generate.KRB5BST aus.
        Falls Sie bereits ein eigenes JAAS-Anmeldemodul (Java™ Authentication and Authorization Service) definiert haben, können Sie Ihr Anmeldemodul für das angepasste Kerberos-Token auswählen. Zum Definieren eines angepassten JAAS-Anmeldemoduls klicken Sie auf Neue Anwendungsanmeldung > Neu. Geben Sie einen Alias für das neue Modul an, und klicken Sie auf Anwenden. Weitere Informationen finden Sie im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service".
        Achtung: Die Informationen im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service" beziehen sich zwar auf die Sicherheit und nicht auf Web Services Security, aber die Konfiguration eines Anmeldemoduls für Web Services Security ist dieselbe wie bei der Sicherheit.
      7. Geben Sie die angepassten Eigenschaften des Tokengenerators für den Zielservicenamen, Host und Realm an.
        Die Kombination von Zielservicename und Host bildet den so genannten SPN (Service Principal Name, Name des Service-Principals), der den Principal-Namen des Kerberos-Zielservice darstellt. Der Kerberos-Client fordert das anfängliche Kerberos-AP_REQ-Token für den SPN an. Geben Sie eine der folgenden angepassten Eigenschaften an.
        Tabelle 1. Angepasste Eigenschaften des Zielservice. Verwenden Sie diese Eigenschaften, um die Informationen zum Tokengenerator anzugeben.
        Name Wert Typ
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Geben Sie den Namen des Zielservice an. Erforderlich
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Geben Sie den Hostnamen, der dem Zielservice zugeordnet ist, im folgenden Format an: meinhost.meinunternehmen.com Erforderlich
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Geben Sie den Namen des Realms an, der dem Zielservice zugeordnet ist. 1
        Wenn Sie die Kerberos-Tokensicherheit in einer Kerberos-Realm-übergreifenden oder vertrauenswürdigen Realmumgebung verwenden möchten, müssen Sie einen Wert für die Eigenschaft "targetServiceRealm" angeben.

        Wenn Sie mehrere angepasste Eigenschaft/Name-Paare angeben möchten, klicken Sie auf Neu.

      8. Klicken Sie auf Anwenden.
      9. Klicken Sie unter der Überschrift "Weitere Bindungen" auf Callback-Handler.
      10. Wählen Sie unter der Überschrift "Klassenname" die Option Angepasste Klasse verwenden aus, und geben Sie im zugehörigen Feld den Wert com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler an.
      11. Geben Sie unter der Überschrift "Basisauthentifizierung" die entsprechenden Wert für Benutzername, Kennwort und Kennwort bestätigen an.

        Der Benutzername gibt die Standardbenutzer-ID an, die an den Konstruktor des Callback-Handlers übergeben wird, z. B. kerberosuser.

      12. Geben Sie die angepassten Eigenschaften des Tokengenerators für den Principal-Namen und das Kennwort des Kerberos-Clients an, um die Kerberos-Anmeldung einzuleiten.
        Diese angepassten Eigenschaften steuern die Bedienerführung und erstellen das Token auf der Basis des Caches für Berechtigungsnachweise. Geben Sie eine der folgenden angepassten Eigenschaften an.
        Tabelle 2. Angepasste Eigenschaften für die Kerberos-Anmeldung. Verwenden Sie diese Eigenschaft, um die Informationen zum Tokengenerator anzugeben.
        Name Wert Typ
        com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Diese Eigenschaft aktiviert die Kerberos-Anmeldung, wenn sie den Wert True hat. Der Standardwert ist False. Optional

        Wenn Sie mehrere angepasste Eigenschaft/Name-Paare angeben möchten, klicken Sie auf Neu.

      13. Klicken Sie auf Anwenden und OK.
      Wenn Sie im nächsten Schritt zur Anzeige "Authentifizierung und Zugriffsschutz" zurückkehren, wurde das neue Zugriffsschutztoken für den Tokengenerator definiert. Wenn Sie die Konfiguration dieses neuen Tokens bearbeiten möchten, klicken Sie in der Anzeige auf den Namen des Tokens.
    5. Optional: Kehren Sie zur Anzeige "Authentifizierung und Zugriffsschutz" zurück, um ein symmetrisches Zugriffsschutztoken für den Tokenkonsumenten zu definieren. Zum Zurückkehren zur Anzeige "Authentifizierung und Zugriffsschutz" klicken Sie unterhalb des Nachrichtenabschnitts der Anzeige auf den Link Authentifizierung und Zugriffsschutz.
      Wichtig: Wenn Sie ein symmetrisches Zugriffsschutztoken für den Tokenkonsumenten konfigurieren, müssen Sie sicherstellen, dass auch ein entsprechendes symmetrisches Zugriffsschutztoken für den Tokengenerator definiert wurde.
      1. Klicken Sie unter der Überschrift "Token für Zugriffsschutz" auf Neu, und wählen Sie Tokenkonsument aus.
      2. Geben Sie im Feld Name den Namen des Zugriffsschutztoken ein.
      3. Wählen Sie aus den Werten in der Menüliste Tokentyp den Eintrag Angepasst aus.
      4. Geben Sie im Feld Lokaler Name den lokalen Namenswert ein.
        Für die Interoperabilität mit anderen Web-Service-Technologien geben Sie den folgenden lokalen Namen an: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Wenn Interoperabilitätsaspekte für Sie keine Rolle spielen, können Sie auch einen der folgenden lokalen Namenswerte angeben:
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Diese alternativen Werte richten sich nach der Spezifikationsstufe des Kerberos-Tokens, das von Key Distribution Center (KDC) generiert wird. Weitere Informationen zur Verwendung dieser Werte finden Sie im Artikel zu den Einstellungen für Zugriffsschutztoken (Generator oder Konsument).

      5. Geben Sie im Feld Namespace-URI keinen Wert ein.
      6. Wählen Sie im Dropdown-Menü für "JAAS-Anmeldung" den Wert wss.consume.KRB5BST aus.
        Falls Sie bereits ein eigenes JAAS-Anmeldemodul (Java Authentication and Authorization Service) definiert haben, können Sie dieses Anmeldemodul für das angepasste Kerberos-Token auswählen. Zum Definieren eines angepassten JAAS-Anmeldemoduls klicken Sie auf Neue Anwendungsanmeldung > Neu. Geben Sie einen Alias für das neue Modul an, und klicken Sie auf Anwenden. Weitere Informationen finden Sie im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service".
        Achtung: Die Informationen im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service" beziehen sich zwar auf die Sicherheit und nicht auf Web Services Security, aber die Konfiguration eines Anmeldemoduls für Web Services Security ist dieselbe wie bei der Sicherheit.
      7. Klicken Sie auf Anwenden.
      8. Klicken Sie unter der Überschrift "Weitere Bindungen" auf Callback-Handler.
      9. Wählen Sie unter der Überschrift "Klassenname" die Option Angepasste Klasse verwenden aus, und geben Sie im zugehörigen Feld den Wert com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler an.
      10. Klicken Sie auf Anwenden und OK.
      Wenn Sie im nächsten Schritt zur Anzeige "Authentifizierung und Zugriffsschutz" zurückkehren, sehen Sie, dass ein neues Zugriffsschutztoken für den Tokenkonsumenten definiert wurde. Wenn Sie die Konfiguration dieses neuen Tokens bearbeiten möchten, klicken Sie in der Anzeige auf den Namen des Tokens.
    6. Optional: Kehren Sie zur Anzeige "Authentifizierung und Zugriffsschutz" zurück, um eine Authentifizierungstokenkonfiguration für den Tokengenerator zu definieren. Zum Zurückkehren zur Anzeige "Authentifizierung und Zugriffsschutz" klicken Sie unterhalb des Nachrichtenabschnitts der Anzeige auf den Link Authentifizierung und Zugriffsschutz.

      Authentifizierungstoken werden in Nachrichten gesendet, um eine Identität zu beweisen oder zuzusichern.

      Wichtig: Wenn Sie ein Authentifizierungstoken für den Tokengenerator konfigurieren, müssen Sie ein entsprechendes Authentifizierungstoken für den Tokenkonsumenten definieren.
      1. Klicken Sie unter der Überschrift "Authentifizierungstoken" auf Neu, und wählen Sie Tokengenerator aus.
      2. Geben Sie im Feld Name den Namen des Authentifizierungstokens ein.
      3. Wählen Sie aus den Werten in der Menüliste Tokentyp den Eintrag Angepasst aus.
      4. Geben Sie im Feld Lokaler Name den lokalen Namenswert ein.
        Für die Interoperabilität mit anderen Web-Service-Technologien geben Sie den folgenden lokalen Namen an: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Wenn Interoperabilitätsaspekte für Sie keine Rolle spielen, können Sie auch einen der folgenden lokalen Namenswerte angeben:
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Diese alternativen Werte richten sich nach der Spezifikationsstufe des Kerberos-Tokens, das von Key Distribution Center (KDC) generiert wird. Weitere Informationen zur Verwendung dieser Werte finden Sie im Artikel zu den Einstellungen für Authentifizierungstoken für Generatoren oder Konsumenten.

      5. Geben Sie im Feld Namespace-URI keinen Wert ein.
      6. Wählen Sie in der Menüliste für "JAAS-Anmeldung" den Wert wss.generate.KRB5BST aus.
        Falls Sie bereits ein eigenes JAAS-Anmeldemodul (Java Authentication and Authorization Service) definiert haben, können Sie dieses Anmeldemodul für das angepasste Kerberos-Token auswählen. Zum Definieren eines angepassten JAAS-Anmeldemoduls klicken Sie auf Neue Anwendungsanmeldung > Neu. Geben Sie einen Alias für das neue Modul an, und klicken Sie auf Anwenden. Weitere Informationen finden Sie im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service".
        Achtung: Die Informationen im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service" beziehen sich zwar auf die Sicherheit und nicht auf Web Services Security, aber die Konfiguration eines Anmeldemoduls für Web Services Security ist dieselbe wie bei der Sicherheit.
      7. Geben Sie die angepassten Eigenschaften des Tokengenerators für den Zielservicenamen, Host und Realm an.
        Die Kombination von Zielservicename und Host bildet den so genannten SPN (Service Principal Name, Name des Service-Principals), der den Principal-Namen des Kerberos-Zielservice darstellt. Der Kerberos-Client fordert das anfängliche Kerberos-AP_REQ-Token für den SPN an. Geben Sie eine der folgenden angepassten Eigenschaften an.
        Tabelle 3. Angepasste Eigenschaften des Zielservice. Verwenden Sie diese Eigenschaften, um die Informationen zum Tokengenerator anzugeben.
        Name Wert Typ
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Geben Sie den Namen des Zielservice an. Erforderlich
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Geben Sie den Hostnamen, der dem Zielservice zugeordnet ist, im folgenden Format an: meinhost.meinunternehmen.com Erforderlich
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Geben Sie den Namen des Realms an, der dem Zielservice zugeordnet ist. Optional

        Wenn Sie mehrere angepasste Eigenschaft/Name-Paare angeben möchten, klicken Sie auf Neu.

      8. Klicken Sie auf Anwenden.
      9. Klicken Sie unter der Überschrift "Weitere Bindungen" auf Callback-Handler.
      10. Wählen Sie unter der Überschrift "Klassenname" die Option Angepasste Klasse verwenden aus, und geben Sie im zugehörigen Feld den Wert com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler an.
      11. Geben Sie unter der Überschrift "Basisauthentifizierung" die entsprechenden Wert für Benutzername, Kennwort und Kennwort bestätigen an.

        Der Benutzername gibt die Standardbenutzer-ID an, die an den Konstruktor des Callback-Handlers übergeben wird. Beispiel: kerberosuser

      12. Geben Sie die angepassten Eigenschaften des Tokengenerators für den Principal-Namen und das Kennwort des Kerberos-Clients an, um die Kerberos-Anmeldung einzuleiten.
        Diese angepassten Eigenschaften steuern die Bedienerführung und erstellen das Token auf der Basis des Caches für Berechtigungsnachweise. Geben Sie die folgenden angepassten Name/Wert-Paare an.
        Tabelle 4. Angepasste Eigenschaften für die Kerberos-Anmeldung. Verwenden Sie die angepassten Eigenschaften, um die Informationen zum Tokengenerator anzugeben.
        Name Wert Typ
        com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Diese Eigenschaft aktiviert die Kerberos-Anmeldung, wenn sie den Wert True hat. Der Standardwert ist False. Optional
        com.ibm.wsspi.wssecurity.krbtoken.clientRealm Geben Sie den Namen des Kerberos-Realms an, der dem Client zugeordnet ist. 2
        Wenn Sie Web Services Security in einer Kerberos-Realm-übergreifenden Umgebung oder einer anerkannten Kerberos-Realmumgebung implementieren, müssen Sie einen Wert für die Eigenschaft "clientRealm" angeben.

        Wenn eine Anwendung ein Kerberos-V5-AP_REQ-Token für jede Web-Service-Anforderungsnachricht generiert oder konsumiert, setzen Sie die angepasste Eigenschaft com.ibm.wsspi.wssecurity.kerberos.attach.apreq in den Tokengenerator- und Tokenkonsumentenbindungen für die Anwendung auf true.

        Wenn Sie mehrere angepasste Eigenschaft/Name-Paare angeben möchten, klicken Sie auf Neu.

      13. Klicken Sie auf Anwenden und OK.
      Wenn Sie im nächsten Schritt zur Anzeige "Authentifizierung und Zugriffsschutz" zurückkehren, sehen Sie, dass ein neues Authentifizierungstoken für den Tokengenerator definiert wurde. Wenn Sie die Konfiguration dieses neuen Tokens bearbeiten möchten, klicken Sie in der Anzeige auf den Namen des Tokens.
    7. Optional: Kehren Sie zur Anzeige "Authentifizierung und Zugriffsschutz" zurück, um eine Authentifizierungstokenkonfiguration für den Tokenkonsumenten zu definieren. Zum Zurückkehren zur Anzeige "Authentifizierung und Zugriffsschutz" klicken Sie unterhalb des Nachrichtenabschnitts der Anzeige auf den Link Authentifizierung und Zugriffsschutz.
      Wichtig: Wenn Sie ein Authentifizierungstoken für den Tokenkonsumenten konfigurieren, müssen Sie sicherstellen, dass auch ein entsprechendes Authentifizierungstoken für den Tokengenerator definiert wurde.
      1. Klicken Sie unter der Überschrift "Authentifizierungstoken" auf Neu, und wählen Sie Tokenkonsument aus.
      2. Geben Sie im Feld Name den Namen des Authentifizierungstokens ein.
      3. Wählen Sie aus den Werten in der Menüliste Tokentyp den Eintrag Angepasst aus.
      4. Geben Sie im Feld Lokaler Name den lokalen Namenswert ein.
        Für die Interoperabilität mit anderen Web-Service-Technologien geben Sie den folgenden lokalen Namen an: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Wenn Interoperabilitätsaspekte für Sie keine Rolle spielen, können Sie auch einen der folgenden lokalen Namenswerte angeben:
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Diese alternativen Werte richten sich nach der Spezifikationsstufe des Kerberos-Tokens, das von Key Distribution Center (KDC) generiert wird. Weitere Informationen zu den Situationen, in denen die einzelnen Werte verwendet werden, finden Sie unter dem Link zum Artikel mit den Einstellungen für Authentifizierungstoken für Generatoren oder Konsumenten.

      5. Geben Sie im Feld Namespace-URI keinen Wert ein.
      6. Wählen Sie im Dropdown-Menü für "JAAS-Anmeldung" den Wert wss.consume.KRB5BST aus.
        Falls Sie bereits ein eigenes JAAS-Anmeldemodul (Java Authentication and Authorization Service) definiert haben, können Sie dieses Anmeldemodul für das angepasste Kerberos-Token auswählen. Zum Definieren eines angepassten JAAS-Anmeldemoduls klicken Sie auf Neue Anwendungsanmeldung > Neu. Geben Sie einen Alias für das neue Modul an, und klicken Sie auf Anwenden. Weitere Informationen finden Sie im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service".
        Achtung: Die Informationen im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service" beziehen sich zwar auf die Sicherheit und nicht auf Web Services Security, aber die Konfiguration eines Anmeldemoduls für Web Services Security ist dieselbe wie bei der Sicherheit.
      7. Klicken Sie auf Anwenden.
      8. Klicken Sie unter der Überschrift "Weitere Bindungen" auf Callback-Handler.
      9. Wählen Sie unter der Überschrift "Klassenname" die Option Angepasste Klasse verwenden aus, und geben Sie im zugehörigen Feld den Wert com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler an.
      10. Klicken Sie auf Anwenden und OK.
      Wenn Sie im nächsten Schritt zur Anzeige "Authentifizierung und Zugriffsschutz" zurückkehren, sehen Sie, dass ein neues Authentifizierungstoken für den Tokenkonsumenten definiert wurde. Wenn Sie die Konfiguration dieses neuen Tokens bearbeiten möchten, klicken Sie in der Anzeige auf den Namen des Tokens.

Nächste Schritte

Sie können optional Schlüsselbindungen für den Schutz von Anforderungsnachrichten und den Schutz von Antwortnachrichten definieren. Wenn Sie sich für die Ableitung eines Schlüssels aus dem Kerberos-Token entscheiden, konfigurieren Sie die Informationen für den abgeleiteten Schlüssel, wenn Sie die Schlüsseldaten für Signatur und Verschlüsselung konfigurieren.

Kehren Sie zu den Schritten im Artikel "Kerberos-Token für Web Services Security konfigurieren" zurück, um sicherzustellen, dass Sie die Schritte für die Konfiguration des Kerberos-Tokens ausgeführt haben.

1 Optional: Wenn die Eigenschaft "targetServiceRealm" nicht angegeben ist, wird der Standardrealmname aus der Kerberos-Konfigurationsdatei als Realmname verwendet.
2 Optional: Die Eigenschaft "clientRealm" ist für eine Umgebung mit einem einzelnen Kerberos-Realm optional.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confkerbbinding
Dateiname:twbs_confkerbbinding.html