[AIX Solaris HP-UX Linux Windows][IBM i]

Authentifizierung auf Nachrichtenebene

Definiert die Berechtigungsdaten und sendet diese Daten über das Netz, damit ein empfangender Server sie interpretieren kann.

Wenn Sie Authentifizierungsdaten in einem Netz mit einem Token senden, wird diese Übertragung als Authentifizierung auf Nachrichtenebene eingestuft, weil die Daten zusammen mit der Nachricht in einem Servicekontext gesendet werden.

Ein reiner Java™-Client verwendet Kerberos (KRB5), Basisauthentifizierung oder Generic Security Services Username Password (GSSUP) als Authentifizierungsverfahren für die Konfiguration der Clientidentität.

[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]Ein Servlet kann entweder Kerberos (KRB5) oder die Basisauthentifizierung (GSSUP) oder das Authentifizierungsverfahren des Servers (LTPA) verwenden, um Sicherheitsinformationen auf Nachrichtenebene zu senden. Verwenden Sie Kerberos (KRB5) oder LTPA, indem Sie die Berechtigungsnachweise für die Basisauthentifizierung für das Sicherheitsverfahren des Servers authentifizieren oder diesem zuordnen.

Das in einem tokenbasierten Berechtigungsnachweis enthaltene Sicherheitstoken ist spezifisch für das Authentifizierungsverfahren. Das bedeutet, dass das Token nur vom Authentifizierungsverfahren interpretiert werden kann. Deshalb hat jedes Authentifizierungsverfahren eine eigene Objekt-ID (OID). Die OID und das Client-Token werden an den Server gesendet, damit der Server weiß, welches Verfahren zum Lesen und Validieren des Token anzuwenden ist. Die folgende Liste enthält die OIDs für die einzelnen Verfahren:

[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]

BasicAuth (GSSUP):  oid:2.23.130.1.1.1
KRB5: OID: 1.2.840.113554.1.2.2
LTPA:    oid:1.3.18.0.2.30.2
SWAM:    Keine OID, weil keine Weiterleitung möglich ist

Anmerkung: SWAM ist in WebSphere Application Server Version 9.0 veraltet und wird in einem der künftigen Releases nicht mehr enthalten sein.
Im Server können die Authentifizierungsverfahren das Token zu interpretieren und einen Berechtigungsnachweis erstellen oder die Daten für die Basisauthentifizierung des Clients authentifizieren und einen Berechtigungsnachweis erstellen. In jedem Fall ist der erstellte Berechtigungsnachweis der empfangene Berechtigungsnachweis, mit dem die Berechtigungsprüfung feststellt, ob der Benutzer die Methode aufrufen darf. Sie können das Authentifizierungsverfahren auf Clientseite mit der folgenden Eigenschaft angeben:
  • [AIX Solaris HP-UX Linux Windows][IBM i][z/OS]com.ibm.CORBA.authenticationTarget
Basisauthentifizierung (BasicAuth) und KRB5 sind derzeit die einzigen gültigen Werte. Sie können den Server über die Administrationskonsole konfigurieren.
Anmerkung: Wenn die Basisauthentifizierung aktiviert ist und der Client nicht entsprechend konfiguriert ist (und keinen Berechtigungsnachweis wie Benutzer-ID und Kennwort übergibt), führt der Server-ORB (Object Request Broker) keine Basisauthentifizierung durch.
[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]

Authentifizierungswiederholungen konfigurieren

Es gibt Situationen, in denen Sie wünschen, dass eine Eingabeaufforderung erneut angezeigt werden soll, wenn Sie Ihre Benutzer-ID und Ihr Kennwort falsch eingegeben haben oder wenn eine Methode im Falle, dass auf dem Client ein bestimmter Fehler erneut auftritt, wiederholt werden soll. Falls Sie den Fehler anhand der Informationen auf Clientseite beheben können, führt das System automatisch und unsichtbar für den Client eine Wiederholung durch, wenn das System entsprechend konfiguriert ist.

Einige dieser Fehler sind im Folgenden aufgeführt:
  • Angabe einer ungültigen Benutzer-ID/Kennwort-Kombination
  • Abgelaufener Berechtigungsnachweis im Server
  • Es wird keine Stateful-Sitzung im Server gefunden
Standardmäßig ist die Wiederholung der Authentifizierung aktiviert. Die Authentifizierung wird drei Mal wiederholt, bevor der Fehler an den Client zurückgegeben wird. Verwenden Sie die Eigenschaft "com.ibm.CORBA.authenticationRetryEnabled" (True oder False), um die Authentifizierungswiederholungen zu aktivieren oder zu inaktivieren. Mit der Eigenschaft "com.ibm.CORBA.authenticationRetryCount" können Sie die Anzahl der Wiederholungen festlegen.
[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]

Sofortige Validierung einer Anmeldung mit Basisauthentifizierung

In WebSphere Application Server Version 6.x wird für eine BasicAuth-Anmeldung während der request_login ein Verhalten definiert. In den Releases vor Version 5 verwendet eine BasicAuth-Anmeldung die Kombination aus Benutzer-ID und Kennwort, die mit der Methode loginSource eingegeben wird und erstellt einen BasicAuth-Berechtigungsnachweis. Wenn Benutzer-ID oder Kennwort ungültig ist, stellt das Clientprogramm dies erst bei der ersten Methodenanforderung fest. Wird die Benutzer-ID oder das Kennwort während einer bedienergeführten oder programmgesteuerten Anmeldung eingegeben, werden Benutzer-ID und Kennwort standardmäßig beim Sicherheitsserver authentifiziert. Als Ergebnis wird True oder False zurückgegeben. Bei Rückgabe von False wird die Ausnahme org.omg.SecurityLevel2.LoginFailed an den Client zurückgegeben. Diese Ausnahme zeigt an, dass die Benutzer-ID und das Kennwort ungültig sind. Wird True zurückgegeben, wird die BasicAuth-Berechtigung an den aufrufenden Prozess (Caller) von request_login zurückgegeben. Wenn Sie diese Eigenschaft inaktivieren möchten, geben Sie com.ibm.CORBA.validateBasicAuth=false an. Standardmäßig ist dieses Feature auf True gesetzt. Geben Sie auf der Serverseite diese Eigenschaft in den dynamischen Sicherheitseigenschaften an.

Anmerkung: Setzen Sie com.ibm.CORBA.validateBasicAuth=false, wenn Sie eine Verbindung zu einem z/OS-Server herstellen möchten. Diese Funktion kann derzeit in verteilten Clients, die Verbindungen zu einem z/OS-Server herstellen möchten, nicht verwendet werden, weil der Sicherheitsserver mit dem Principal "UNAUTHENTICATED" gesucht wird, was auf z/OS-Systemen nicht unterstützt wird.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_csiv2mes
Dateiname:rsec_csiv2mes.html