Caller-Konfiguration für ein Benutzernamenstoken ohne Registry-Interaktion konfigurieren
Damit ein Benutzernamenstoken mit einer Caller-Konfiguration authentifiziert werden kann, ohne dass ein Zugriff auf die WebSphere-Registry erforderlich ist, können Sie die Authentifizierungsmethode des Benutzernamenstokenskonsumenten ersetzen und den Caller so konfigurieren, dass er eine alternative JAAS-Anmeldekonfiguration verwendet.
Informationen zu diesem Vorgang
Diese Informationen gelten nur für Java API for XML Web Services (JAX-WS).
Standardmäßig ist UNTConsumeLoginModule, der Web Services Security-Benutzernamenstokenkonsument in JAX-WS, so definiert, dass der Benutzername und das Kennwort, die im Token enthalten sind, immer anhand der WebSphere-Registry validiert werden. Mit den von der GenericSecurityTokenFactory bereitgestellten SPIs können Sie diese Authentifizierungsmethode durch eine eigene Methode ersetzen. Weitere Informationen finden Sie unter Authentifizierungsmethode des Konsumenten des Benutzernamenstokens mit einem JAAS-Anmeldemodul in einem Stack ersetzen.
Wenn den WS-Security-Vorgaben für einen Service-Provider eine Caller-Konfiguration hinzugefügt wird, werden der Benutzername und das Kennwort, die im Benutzernamenstoken enthalten sind, auch anhand der WebSphere-Registry validiert. Werden ein Benutzername und ein Kennwort angegeben, werden beide anhand der WebSphere-Registry validiert. Wird nur ein Benutzername angegeben, muss dieser in der WebSphere-Registry vorhanden sind. Diese Validierungen finden im Modul "com.ibm.ws.security.server.lm.ltpaLoginModule" statt. Dieses Modul ist, wie im folgende Beispiel gezeigt, Teil des wss.caller-JAAS-Konfigurationsstack (Java™ Authentication and Authorization Service):
com.ibm.ws.wssecurity.impl.auth.module.PreCallerLoginModule
com.ibm.ws.wssecurity.impl.auth.module.UNTCallerLoginModule...
com.ibm.ws.wssecurity.impl.auth.module.WSWSSLoginModule
com.ibm.ws.security.server.lm.ltpaLoginModule
com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule
Die Verwendung der JAAS-Konfiguration für den Caller ohne die Anmeldemodule ltpaLoginModule und wsMapDefaultInboundLoginModule wird von der WebSphere-WS-Security-Laufzeit nicht unterstützt.
Damit Sie ein Benutzernamenstoken mit einer Caller-Konfiguration ohne Zugriff auf die WebSphere-Registry verwenden können, müssen Sie verhindern, dass die Module UNTConsumeLoginModule und ltpaLoginModule auf die Registry zugreifen, und Sie müssen alternative Module bereitstellen.