![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Authentifizierung auf Nachrichtenebene
Definiert die Berechtigungsdaten und sendet diese Daten über das Netz, damit ein empfangender Server sie interpretieren kann.
Wenn Sie Authentifizierungsdaten in einem Netz mit einem Token senden, wird diese Übertragung als Authentifizierung auf Nachrichtenebene eingestuft, weil die Daten zusammen mit der Nachricht in einem Servicekontext gesendet werden.
Ein reiner Java™-Client verwendet Kerberos (KRB5), Basisauthentifizierung oder Generic Security Services Username Password (GSSUP) als Authentifizierungsverfahren für die Konfiguration der Clientidentität.
Ein Servlet kann entweder Kerberos (KRB5) oder die
Basisauthentifizierung (GSSUP) oder das Authentifizierungsverfahren des Servers (LTPA)
verwenden, um Sicherheitsinformationen auf Nachrichtenebene zu senden. Verwenden Sie Kerberos (KRB5) oder LTPA, indem Sie die Berechtigungsnachweise für die Basisauthentifizierung
für das Sicherheitsverfahren des Servers authentifizieren oder diesem zuordnen.
Das in einem tokenbasierten Berechtigungsnachweis enthaltene Sicherheitstoken ist spezifisch für das Authentifizierungsverfahren. Das bedeutet, dass das Token nur vom Authentifizierungsverfahren interpretiert werden kann. Deshalb hat jedes Authentifizierungsverfahren eine eigene Objekt-ID (OID). Die OID und das Client-Token werden an den Server gesendet, damit der Server weiß, welches Verfahren zum Lesen und Validieren des Token anzuwenden ist. Die folgende Liste enthält die OIDs für die einzelnen Verfahren:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
BasicAuth (GSSUP): oid:2.23.130.1.1.1
KRB5: OID: 1.2.840.113554.1.2.2
LTPA: oid:1.3.18.0.2.30.2
SWAM: Keine OID, weil keine Weiterleitung möglich ist
com.ibm.CORBA.authenticationTarget
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
Authentifizierungswiederholungen konfigurieren
Es gibt Situationen, in denen Sie wünschen, dass eine Eingabeaufforderung erneut angezeigt werden soll, wenn Sie Ihre Benutzer-ID und Ihr Kennwort falsch eingegeben haben oder wenn eine Methode im Falle, dass auf dem Client ein bestimmter Fehler erneut auftritt, wiederholt werden soll. Falls Sie den Fehler anhand der Informationen auf Clientseite beheben können, führt das System automatisch und unsichtbar für den Client eine Wiederholung durch, wenn das System entsprechend konfiguriert ist.
- Angabe einer ungültigen Benutzer-ID/Kennwort-Kombination
- Abgelaufener Berechtigungsnachweis im Server
- Es wird keine Stateful-Sitzung im Server gefunden
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
Sofortige Validierung einer Anmeldung mit Basisauthentifizierung
In WebSphere Application Server Version 6.x wird für eine BasicAuth-Anmeldung während der request_login ein Verhalten definiert. In den Releases vor Version 5 verwendet eine BasicAuth-Anmeldung die Kombination aus Benutzer-ID und Kennwort, die mit der Methode loginSource eingegeben wird und erstellt einen BasicAuth-Berechtigungsnachweis. Wenn Benutzer-ID oder Kennwort ungültig ist, stellt das Clientprogramm dies erst bei der ersten Methodenanforderung fest. Wird die Benutzer-ID oder das Kennwort während einer bedienergeführten oder programmgesteuerten Anmeldung eingegeben, werden Benutzer-ID und Kennwort standardmäßig beim Sicherheitsserver authentifiziert. Als Ergebnis wird True oder False zurückgegeben. Bei Rückgabe von False wird die Ausnahme org.omg.SecurityLevel2.LoginFailed an den Client zurückgegeben. Diese Ausnahme zeigt an, dass die Benutzer-ID und das Kennwort ungültig sind. Wird True zurückgegeben, wird die BasicAuth-Berechtigung an den aufrufenden Prozess (Caller) von request_login zurückgegeben. Wenn Sie diese Eigenschaft inaktivieren möchten, geben Sie com.ibm.CORBA.validateBasicAuth=false an. Standardmäßig ist dieses Feature auf True gesetzt. Geben Sie auf der Serverseite diese Eigenschaft in den dynamischen Sicherheitseigenschaften an.