Angepasste Richtlinien und Bindungen für Sicherheitstoken mit wsadmin-Scripting konfigurieren
Verwenden Sie die Befehle "setPolicyType" und "setBinding" für das Objekt "AdminTask", um Sicherheitstoken für angepasste Richtlinien- und Bindungskonfigurationen anzugeben.
Vorbereitende Schritte
Erstellen Sie einen neuen angepassten Richtliniensatz.
Informationen zu diesem Vorgang
In den folgenden Szenarien werden die angepassten Richtlinien und Bindungen so konfiguriert, dass ein Kerberos-Token verwendet wird, das auf der OASIS-Spezifikation "Kerberos Token Profile Version 1.1" basiert. Sie können die Befehle "setPolicyType" und "setBinding" auch für die Konfiguration anderer binärer Sicherheitstoken verwenden, wie z. B. Benutzernamenstoken (UsernameToken), LTPA-Token (Lightweight Third-Party Authentication) und SecureConversation-Token.
Vorgehensweise
- Konfigurieren Sie angepasste Richtlinien für Sicherheitstoken.
- Starten Sie das Scripting-Tool "wsadmin" mit der Scripting-Sprache Jython. Weitere Informationen finden Sie im Artikel "wsadmin-Scripting-Client starten".
- Zeigen Sie die Eigenschaften der gewünschten Richtlinie an. Verwenden Sie den Befehl "getPolicyType", wie im folgenden Beispiel gezeigt, um detaillierte Eigenschaftsinformationen für den Richtlinientyp "WS-Security" anzuzeigen:
AdminTask.getPolicyType('-policySet AuthenticationTokenService -policyType WSSecurity')
Der Befehl "getPolicyType" gibt, wie in der folgenden Beispielausgabe gezeigt, ein Eigenschaftenobjekt zurück, das Name/Wert-Paare für die einzelnen Eigenschaften enthält:'[ [SupportingTokens.request:krb_token.CustomToken.IncludeToken http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient] [enabled true] [type WSSecurity] [description [Policies for sending security tokens and providing message confidentiality and integrity, based on the OASIS Web Service Security and Token Profiles specifications.]] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.uri ] [provides ] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] ]'
- Geben Sie das Authentifizierungstoken für den Richtlinientyp an. Verwenden Sie den Befehl "setPolicyType", um den URI (Uniform Resource Identifier) des Authentifizierungstokens für Services als Wert der Eigenschaft SupportingTokens.request:krb_token.CustomToken.WssCustomToken.uri anzugeben. Verwenden Sie die Syntax [ ], um eine leere Zeichenfolge anzugeben. Der folgende Beispielbefehl gibt eine leere Zeichenfolge als Wert für das Authentifizierungstoken an:
AdminTask.setPolicyType('-policySet AuthenticationTokenService -policyType WSSecurity -attributes "[ [SupportingTokens.request:krb_token.CustomToken.IncludeToken http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient] [enabled true] [type WSSecurity] [description [Policies for sending security tokens and providing message confidentiality and integrity, based on the OASIS Web Services Security and Token Profiles specifications.]] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.uri []] [provides []] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] ]"')
- Konfigurieren Sie angepasste Bindungen für Sicherheitstoken.
- Starten Sie das wsadmin-Scripting-Tool.
- Zeigen Sie die Eigenschaften der gewünschten Bindungen an. Verwenden Sie den Befehl "getBinding", wie im folgenden Beispiel gezeigt, um detaillierte Eigenschaftsinformationen für die gewünschte Bindung anzuzeigen:
AdminTask.getBinding('-policyType WSSecurity -bindingLocation "" -bindingName AuthenticationTokenService')
Der Befehl "getBinding" gibt, wie in der folgenden Beispielausgabe gezeigt, ein Eigenschaftenobjekt zurück, das Name/Wert-Paare für die einzelnen Eigenschaften enthält:'[ [application.securityinboundbindingconfig.tokenconsumer_0.properties_0.name com.ibm.wsspi.wssecurity.krbtoken.serviceSPN] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri ] [application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.classname com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler] [application.name application][application.securityinboundbindingconfig.tokenconsumer_0.properties_0.value HTTP/derekho1.firehorse.austin.ibm.com] [application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname system.wss.consume.KRB5BST] [application.securityinboundbindingconfig.tokenconsumer_0.name con_krbtoken][application.securityinboundbindingconfig.tokenconsumer_0.classname com.ibm.ws.wssecurity.wssapi.token.impl.CommonTokenConsumer] [application.securityinboundbindingconfig.tokenconsumer_0.securitytokenreference.reference request:krb_token] ]'
- Geben Sie das Authentifizierungstoken für den Richtlinientyp an. Verwenden Sie den Befehl "setBinding", um den URI (Uniform Resource Identifier) des Authentifizierungstokens für Services als Wert der Eigenschaft application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri anzugeben. Verwenden Sie die Syntax [ ], um eine leere Zeichenfolge anzugeben. Der folgende Beispielbefehl gibt eine leere Zeichenfolge als Wert für das Authentifizierungstoken an:
AdminTask.setBinding('-policyType WSSecurity -bindingLocation "" -bindingName AuthenticationTokenService -attributes "[ [application.securityinboundbindingconfig.tokenconsumer_0.properties_0.name com.ibm.wsspi.wssecurity.krbtoken.serviceSPN] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri []] [application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.classname com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler] [application.name application][application.securityinboundbindingconfig.tokenconsumer_0.properties_0.value HTTP/derekho1.firehorse.austin.ibm.com] [application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname system.wss.consume.KRB5BST][application.securityinboundbindingconfig.tokenconsumer_0.name con_krbtoken][application.securityinboundbindingconfig.tokenconsumer_0.classname com.ibm.ws.wssecurity.wssapi.token.impl.CommonTokenConsumer] [application.securityinboundbindingconfig.tokenconsumer_0.securitytokenreference.reference request:krb_token] ]"')
Ergebnisse
Wenn die Befehle "setPolicyType" und "setBinding" den Wert true zurückgeben, hat das System die Richtlinien- und Bindungskonfigurationen erfolgreich aktualisiert.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7secpolicy
Dateiname:txml_7secpolicy.html