Konfigurationseinstellungen für die Anmeldezuordnung
Verwenden Sie diese Seite, um die Einstellungen für die JAAS-Anmeldekonfiguration anzugeben, die zum Validieren der Sicherheitstoken in eingehenden Nachrichten verwendet werden soll.
- Klicken Sie auf .
- Klicken Sie unter "Weitere Eigenschaften" auf Anmeldezuordnungen.
- Klicken Sie auf Neu, um eine neue Anmeldezuordnungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration.
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
- Klicken Sie unter "Weitere Eigenschaften" auf Anmeldezuordnungen.
- Klicken Sie auf Neu, um eine neue Anmeldezuordnungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration.
- Klicken Sie auf .
- Klicken Sie unter "Module" auf .
- Klicken Sie unter "Web-Services-Security-Eigenschaften" auf Web-Services: Serversicherheitsbindungen.
- Klicken Sie unter "Anforderungsempfängerbindung" auf Bearbeiten.
- Klicken Sie auf Anmeldezuordnungen.
- Klicken Sie auf Neu, um eine neue Anmeldezuordnungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration.
Authentifizierungsmethode
Die Methode für die Authentifizierung.
- BasicAuth
- Es wird ein Benutzername und ein Kennwort verwendet.
- IDAssertion
- Es wird nur ein Benutzername verwendet, aber beim Empfangsserver muss durch einen TrustedIDevaluator eine zusätzliche Vertrauensebene eingerichtet werden.
- Signature
- Es wird der definierte Name (DN, Distinguished Name) des Unterzeichners verwendet.
- LTPA
- Validiert ein Token.
Name der JAAS-Konfiguration
Gibt den Namen der JAAS-Konfiguration (Java Authentication and Authorization Service) an.
- system.wssecurity.IDAssertion
- Bei Auswahl dieser Konfiguration können Anwendungen der Version 6.x die Zusicherung der Identität (IDAssertion) verwenden, um einen Benutzernamen dem Principal eines Berechtigungsnachweises von WebSphere Application Server zuzuordnen.
- system.wssecurity.Signature
- Wenn Sie diese Konfiguration verwenden, können Anwendungen der Version 6.x einen definierten Namen (DN) in einem signierten Zertifikat einem Principal eines Berechtigungsnachweises in WebSphere Application Server zuordnen.
- system.LTPA_WEB
- Verarbeitet vom Web-Container verwendete Anmeldeanforderungen wie Servlets und JSP-Dateien.
- system.WEB_INBOUND
- Bearbeitet die Anmeldungen für Webanwendungsanforderungen, einschließlich Servlets und JSPs (JavaServer Pages).
- system.RMI_INBOUND
- Bearbeitet die Anmeldungen für eingehende RMI-Anforderungen (Remote Method Invocation).
- system.DEFAULT
- Bearbeitet die Anmeldungen für eingehende Anforderungen interner Authentifizierungen und der meisten anderen Protokolle mit Ausnahme von Webanwendungen und RMI-Anforderungen.
- system.RMI_OUTBOUND
- Verarbeitet RMI-Anforderungen, die an einen anderen Server gesendet werden, wenn die Eigenschaft "com.ibm.CSIOutboundPropagationEnabled" den Wert true hat. Diese Eigenschaft wird in der Anzeige für CSIV2-Authentifizierung festgelegt. Klicken Sie zum Aufrufen dieser Anzeige auf Authentifizierung abgehender CSIv2-Anforderungen. Wählen Sie die Option Weitergabe von Sicherheitsattributen aus, um die Eigenschaft com.ibm.CSIOutboundPropagationEnabled zu setzen. . Erweitern Sie den Eintrag "RMI/IIOP-Sicherheit" und klicken Sie auf
- system.wssecurity.X509BST
- Diese Konfiguration überprüft X.509 Binary Security Token (BST, binäres Sicherheitstoken), indem sie die Gültigkeit des Zertifikats und des Zertifikatspfads prüft.
- system.wssecurity.PKCS7
- Dies Konfiguration überprüft X.509-Zertifikate anhand von Zertifikatswiderruflisten in einem PKCS7-Objekt.
- system.wssecurity.PkiPath
- Diese Konfiguration überprüft ein X.509-Zertifikat mit einem PKI-Pfad (Public Key Infrastructure).
- system.wssecurity.UsernameToken
- Diese Konfiguration überprüft die Basisauthentifizierung (Benutzername und Kennwort).
- Klicken Sie auf .
- Erweitern Sie den Eintrag "Java Authentication and Authorization Service" und klicken Sie auf Systemanmeldungen.
- ClientContainer
- Gibt die Anmeldekonfiguration an, die von der ClientContainer-Anwendung verwendet wird. Diese Anwendung verwendet die CallbackHandler-API, die im Implementierungsdeskriptor des Client-Containers definiert ist.
- WSLogin
- Gibt an, ob alle Anwendungen die WSLogin-Konfiguration verwenden sollen, um die Authentifizierung für die WebSphere Application Server-Sicherheitslaufzeit durchzuführen.
- DefaultPrincipalMapping
- Gibt die Anmeldekonfiguration an, die Java-2-Connector verwenden, um Benutzer Principals zuzuordnen, die unter "Dateneinträge für J2C-Authentifizierung" definiert sind.
- Klicken Sie auf .
- Klicken Sie unter "Java™ Authentication and Authorization Service" auf Anwendungsanmeldungen.
Sie dürfen keine der vordefinierten Konfigurationen für System- oder Anwendungsanmeldungen entfernen. Sie können diesen Konfigurationen Modulklassennamen hinzufügen und die Reihenfolge festlegen, in der WebSphere Application Server die einzelnen Module lädt.
Klassenname für Callback-Handler-Factory
Der Name der Factory für die CallbackHandler-Klasse.
In diesem Feld müssen Sie die Klasse com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory implementieren.
URI des Tokentyps
Der Namespace-URI, der den Typ der akzeptierten Sicherheitstoken angibt.
Wenn binäre Sicherheitstoken akzeptiert werden, muss der Wert das Attribut ValueType im Element enthalten. Das Element ValueType gibt den Typ des Sicherheitstoken und dessen Namespace an. Wenn XML-Token (Extensible Markup Language) akzeptiert werden, gibt der Wert den Namen des Elements der höchsten ebene des XML-Token an.
Falls im Feld "Authentifizierungsmethode" eines der reservierten Wörter angegeben wurde, wird dieses Feld ignoriert.
Information | Wert |
---|---|
Datentyp | Unicode-Zeichen außer Nicht-ASCII-Zeichen, aber einschließlich des Nummernzeichens (#), des Prozentzeichens (%) und der eckigen Klammern ([ ]). |
Lokaler Name des Tokentyps
Der lokale Name für den Typ des Sicherheitstoken, z. B. X509v3.
Wenn binäre Sicherheitstoken akzeptiert werden, muss der Wert das Attribut ValueType im Element enthalten. Das Attribut ValueType gibt den Typ des Sicherheitstoken und dessen Namespace an. Wenn XML-Token (Extensible Markup Language) akzeptiert werden, gibt der Wert den Namen des Elements der höchsten ebene des XML-Token an.
Falls im Feld "Authentifizierungsmethode" eines der reservierten Wörter angegeben wurde, wird dieses Feld ignoriert.
Maximale Nonce-Lebensdauer
Verfallsdatum für Nonce-Zeitmarke. Nonce ist ein generierter Zufallswert.
Sie müssen im Feld "Maximale Nonce-Lebensdauer" einen Mindestwert von 300 Sekunden angeben. Der Maximalwert darf jedoch nicht den auf Zellen- oder Serverebene angegebenen Wert für "Cachezeitlimit für Nonce" überschreiten.
- Klicken Sie auf .
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
Wenn Sie die Methode "BasicAuth", aber keinen Wert für das Feld "Maximale Nonce-Lebensdauer" angeben, sucht die Laufzeitumgebung von Web Services Security nach diesem Wert auf Serverebene. Sollte auf Serverebene kein Wert definiert sein, wird zur Laufzeit der Wert auf Zellenebene gesucht. Wird weder auf Server- noch auf Zellenebene ein Wert gefunden, wird der Standardwert von 300 Sekunden verwendet.
Information | Wert |
---|---|
Standardeinstellung | 300 Sekunden |
Einstellmöglichkeiten | 300 Sekunden bis Cachezeitlimits für Nonce |
Zeitliche Abweichung für Nonce
Gibt die zeitliche Abweichung an, die WebSphere Application Server berücksichtigen muss, wenn die Aktualität der Nachricht geprüft wird. Nonce ist ein generierter Zufallswert.
- Klicken Sie auf .
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
Sie müssen im Feld "Zeitliche Abweichung für Nonce" einen Mindestwert von 0 Sekunden angeben. Der Maximalwert darf jedoch nicht die Anzahl der in der Anzeige "Anmeldezuordnungen" im Feld "Maximale Nonce-Lebensdauer" angegebenen Sekunden überschreiten.
Information | Wert |
---|---|
Standardeinstellung | 0 Sekunden |
Einstellmöglichkeiten | 0 Sekunden bis maximale Nonce-Lebensdauer |