Bindungen für den Nachrichtenschutz für Kerberos konfigurieren
Zum Konfigurieren von Bindungen für den Nachrichtenschutz mit JAX-WS-Anwendungen müssen Sie eine angepasste Bindung konfigurieren. Führen Sie diese Task aus, um die Bindungen für ein Kerberos-Token gemäß der Definition in der OASIS--Security-Spezifikation für Kerberos Token Profile Version 1.1 zu konfigurieren.
Vorbereitende Schritte
Sie müssen Kerberos für IBM WebSphere Application Server konfigurieren. Weitere Informationen finden Sie in der Beschreibung der Unterstützung des Kerberos-Authentifizierungsverfahrens (KRB5) für die Sicherheit. Außerdem müssen Sie den Kerberos-Tokenrichtliniensatz für JAX-WS-Anwendungen konfigurieren. Weitere Informationen finden Sie im Artikel "Kerberos-Tokenrichtliniensatz für JAX-WS-Anwendungen konfigurieren".
Informationen zu diesem Vorgang
Sie können vorhandene Frameworks, einschließlich der Richtliniensätze und Bindungen, für JAX-WS-Anwendungen nutzen.
- Symmetrisches Zugriffsschutztoken
- Tokengenerator
- Tokenkonsument
- Authentifizierungstoken
- Tokengenerator
- Tokenkonsument
Verwenden Sie die Administrationskonsole, um die anwendungsspezifischen Bindungen für die Verwendung eines Kerberos-Tokens für den Schutz von Web-Service-Nachrichten zu konfigurieren.
Vorgehensweise
- Klicken Sie auf Anwendungen > Anwendungstypen.
- Klicken Sie auf WebSphere-Unternehmensanwendungen > Anwendungsname.
- Klicken Sie unter der Überschrift "Web-Service-Eigenschaften" auf Richtliniensätze und Bindungen für Service-Provider, um die Servicebindungen zu konfigurieren, oder klicken Sie auf Richtliniensätze und Bindungen für Service-Clients, um die Clientbindungen zu konfigurieren.
- Wählen Sie die Ressource aus, die dem Kerberos-Tokenrichtliniensatz zugeordnet werden soll, und wählen Sie anschließend Richtliniensatz zuordnen > Name_des_Richtliniensatzes aus. Informationen zum um Konfigurieren des Kerberos-Tokenrichtliniensatzes finden Sie im Artikel Kerberos-Tokenrichtliniensatz für JAX-WS-Anwendungen konfigurieren.
- Klicken Sie auf Bindungen zuordnen, und wählen Sie die anwendungsspezifische Bindung aus, oder wählen Sie
Neue anwendungsspezifische Bindung aus, um eine neue Bindung zu erstellen. Zum Erstellen einer neuen Bindung führen Sie die folgenden Aktionen aus.
- Geben Sie im Feld Name der Bindungskonfiguration einen Namen für die neue Bindung und optional im Feld Beschreibung eine Beschreibung für die Bindung ein.
- Klicken Sie auf Hinzufügen, und wählen Sie WS-Security aus, um einen neuen Richtliniensatz anzugeben.
- Klicken Sie auf Authentifizierung und Zugriffsschutz > Neu.
- Optional: Definieren Sie ein symmetrisches Zugriffsschutztoken für den Tokengenerator. Wichtig: Wenn Sie ein symmetrisches Zugriffsschutztoken für den Tokengenerator konfigurieren, müssen Sie ein entsprechendes symmetrisches Zugriffsschutztoken für den Tokenkonsumenten definieren.
- Klicken Sie unter der Überschrift "Token für Zugriffsschutz" auf Neu, und wählen Sie Tokengenerator aus.
- Geben Sie im Feld Name den Namen des Zugriffsschutztoken ein.
- Wählen Sie aus den Werten in der Menüliste Tokentyp den Eintrag Angepasst aus.
- Geben Sie im Feld Lokaler Name den lokalen Namenswert ein.
Für die Interoperabilität mit anderen Web-Service-Technologien geben Sie den folgenden lokalen Namen an: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Wenn Interoperabilitätsaspekte für Sie keine Rolle spielen, können Sie auch einen der folgenden lokalen Namenswerte angeben:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Diese alternativen Werte richten sich nach der Spezifikationsstufe des Kerberos-Tokens, das von Key Distribution Center (KDC) generiert wird. Weitere Informationen zur Verwendung dieser Werte finden Sie im Artikel zu den Einstellungen für Zugriffsschutztoken (Generator oder Konsument).
- Geben Sie im Feld Namespace-URI keinen Wert ein.
- Wählen Sie in der Menüliste für "JAAS-Anmeldung" den Wert wss.generate.KRB5BST aus.
Falls Sie bereits ein eigenes JAAS-Anmeldemodul (Java™ Authentication and Authorization Service) definiert haben, können Sie Ihr Anmeldemodul für das angepasste Kerberos-Token auswählen. Zum Definieren eines angepassten JAAS-Anmeldemoduls klicken Sie auf Neue Anwendungsanmeldung > Neu. Geben Sie einen Alias für das neue Modul an, und klicken Sie auf Anwenden. Weitere Informationen finden Sie im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service".Achtung: Die Informationen im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service" beziehen sich zwar auf die Sicherheit und nicht auf Web Services Security, aber die Konfiguration eines Anmeldemoduls für Web Services Security ist dieselbe wie bei der Sicherheit.
- Geben Sie die angepassten Eigenschaften des Tokengenerators für den Zielservicenamen, Host und Realm an.
Die Kombination von Zielservicename und Host bildet den so genannten SPN (Service Principal Name, Name des Service-Principals), der den Principal-Namen des Kerberos-Zielservice darstellt. Der Kerberos-Client fordert das anfängliche Kerberos-AP_REQ-Token für den SPN an. Geben Sie eine der folgenden angepassten Eigenschaften an.Wenn Sie die Kerberos-Tokensicherheit in einer Kerberos-Realm-übergreifenden oder vertrauenswürdigen Realmumgebung verwenden möchten, müssen Sie einen Wert für die Eigenschaft "targetServiceRealm" angeben.
Tabelle 1. Angepasste Eigenschaften des Zielservice. Verwenden Sie diese Eigenschaften, um die Informationen zum Tokengenerator anzugeben. Name Wert Typ com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Geben Sie den Namen des Zielservice an. Erforderlich com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Geben Sie den Hostnamen, der dem Zielservice zugeordnet ist, im folgenden Format an: meinhost.meinunternehmen.com Erforderlich com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Geben Sie den Namen des Realms an, der dem Zielservice zugeordnet ist. 1 Wenn Sie mehrere angepasste Eigenschaft/Name-Paare angeben möchten, klicken Sie auf Neu.
- Klicken Sie auf Anwenden.
- Klicken Sie unter der Überschrift "Weitere Bindungen" auf Callback-Handler.
- Wählen Sie unter der Überschrift "Klassenname" die Option Angepasste Klasse verwenden aus, und geben Sie im zugehörigen Feld den Wert com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler an.
- Geben Sie unter der Überschrift "Basisauthentifizierung" die entsprechenden Wert für
Benutzername, Kennwort und
Kennwort bestätigen an.
Der Benutzername gibt die Standardbenutzer-ID an, die an den Konstruktor des Callback-Handlers übergeben wird, z. B. kerberosuser.
- Geben Sie die angepassten Eigenschaften des Tokengenerators für den Principal-Namen und das Kennwort des Kerberos-Clients
an, um die Kerberos-Anmeldung einzuleiten. Diese angepassten Eigenschaften steuern die Bedienerführung und erstellen das Token auf der Basis des Caches für Berechtigungsnachweise. Geben Sie eine der folgenden angepassten Eigenschaften an.
Tabelle 2. Angepasste Eigenschaften für die Kerberos-Anmeldung. Verwenden Sie diese Eigenschaft, um die Informationen zum Tokengenerator anzugeben. Name Wert Typ com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Diese Eigenschaft aktiviert die Kerberos-Anmeldung, wenn sie den Wert True hat. Der Standardwert ist False. Optional Wenn Sie mehrere angepasste Eigenschaft/Name-Paare angeben möchten, klicken Sie auf Neu.
- Klicken Sie auf Anwenden und OK.
- Optional: Kehren Sie zur Anzeige "Authentifizierung und Zugriffsschutz" zurück, um ein
symmetrisches Zugriffsschutztoken für den Tokenkonsumenten zu definieren. Zum Zurückkehren zur Anzeige "Authentifizierung und Zugriffsschutz" klicken Sie unterhalb des Nachrichtenabschnitts der Anzeige auf den Link Authentifizierung und
Zugriffsschutz. Wichtig: Wenn Sie ein symmetrisches Zugriffsschutztoken für den Tokenkonsumenten konfigurieren, müssen Sie sicherstellen, dass auch ein entsprechendes symmetrisches Zugriffsschutztoken für den Tokengenerator definiert wurde.
- Klicken Sie unter der Überschrift "Token für Zugriffsschutz" auf Neu, und wählen Sie Tokenkonsument aus.
- Geben Sie im Feld Name den Namen des Zugriffsschutztoken ein.
- Wählen Sie aus den Werten in der Menüliste Tokentyp den Eintrag Angepasst aus.
- Geben Sie im Feld Lokaler Name den lokalen Namenswert ein.
Für die Interoperabilität mit anderen Web-Service-Technologien geben Sie den folgenden lokalen Namen an: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Wenn Interoperabilitätsaspekte für Sie keine Rolle spielen, können Sie auch einen der folgenden lokalen Namenswerte angeben:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Diese alternativen Werte richten sich nach der Spezifikationsstufe des Kerberos-Tokens, das von Key Distribution Center (KDC) generiert wird. Weitere Informationen zur Verwendung dieser Werte finden Sie im Artikel zu den Einstellungen für Zugriffsschutztoken (Generator oder Konsument).
- Geben Sie im Feld Namespace-URI keinen Wert ein.
- Wählen Sie im Dropdown-Menü für "JAAS-Anmeldung" den Wert wss.consume.KRB5BST aus.
Falls Sie bereits ein eigenes JAAS-Anmeldemodul (Java Authentication and Authorization Service) definiert haben, können Sie dieses Anmeldemodul für das angepasste Kerberos-Token auswählen. Zum Definieren eines angepassten JAAS-Anmeldemoduls klicken Sie auf Neue Anwendungsanmeldung > Neu. Geben Sie einen Alias für das neue Modul an, und klicken Sie auf Anwenden. Weitere Informationen finden Sie im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service".Achtung: Die Informationen im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service" beziehen sich zwar auf die Sicherheit und nicht auf Web Services Security, aber die Konfiguration eines Anmeldemoduls für Web Services Security ist dieselbe wie bei der Sicherheit.
- Klicken Sie auf Anwenden.
- Klicken Sie unter der Überschrift "Weitere Bindungen" auf Callback-Handler.
- Wählen Sie unter der Überschrift "Klassenname" die Option Angepasste Klasse verwenden aus, und geben Sie im zugehörigen Feld den Wert com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler an.
- Klicken Sie auf Anwenden und OK.
- Optional: Kehren Sie zur Anzeige "Authentifizierung und Zugriffsschutz" zurück, um eine
Authentifizierungstokenkonfiguration für den Tokengenerator zu definieren. Zum Zurückkehren zur Anzeige "Authentifizierung und Zugriffsschutz" klicken Sie unterhalb des Nachrichtenabschnitts der Anzeige auf den Link Authentifizierung und
Zugriffsschutz.
Authentifizierungstoken werden in Nachrichten gesendet, um eine Identität zu beweisen oder zuzusichern.
Wichtig: Wenn Sie ein Authentifizierungstoken für den Tokengenerator konfigurieren, müssen Sie ein entsprechendes Authentifizierungstoken für den Tokenkonsumenten definieren.- Klicken Sie unter der Überschrift "Authentifizierungstoken" auf Neu, und wählen Sie Tokengenerator aus.
- Geben Sie im Feld Name den Namen des Authentifizierungstokens ein.
- Wählen Sie aus den Werten in der Menüliste Tokentyp den Eintrag Angepasst aus.
- Geben Sie im Feld Lokaler Name den lokalen Namenswert ein.
Für die Interoperabilität mit anderen Web-Service-Technologien geben Sie den folgenden lokalen Namen an: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Wenn Interoperabilitätsaspekte für Sie keine Rolle spielen, können Sie auch einen der folgenden lokalen Namenswerte angeben:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Diese alternativen Werte richten sich nach der Spezifikationsstufe des Kerberos-Tokens, das von Key Distribution Center (KDC) generiert wird. Weitere Informationen zur Verwendung dieser Werte finden Sie im Artikel zu den Einstellungen für Authentifizierungstoken für Generatoren oder Konsumenten.
- Geben Sie im Feld Namespace-URI keinen Wert ein.
- Wählen Sie in der Menüliste für "JAAS-Anmeldung" den Wert wss.generate.KRB5BST aus.
Falls Sie bereits ein eigenes JAAS-Anmeldemodul (Java Authentication and Authorization Service) definiert haben, können Sie dieses Anmeldemodul für das angepasste Kerberos-Token auswählen. Zum Definieren eines angepassten JAAS-Anmeldemoduls klicken Sie auf Neue Anwendungsanmeldung > Neu. Geben Sie einen Alias für das neue Modul an, und klicken Sie auf Anwenden. Weitere Informationen finden Sie im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service".Achtung: Die Informationen im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service" beziehen sich zwar auf die Sicherheit und nicht auf Web Services Security, aber die Konfiguration eines Anmeldemoduls für Web Services Security ist dieselbe wie bei der Sicherheit.
- Geben Sie die angepassten Eigenschaften des Tokengenerators für den Zielservicenamen, Host und Realm an.
Die Kombination von Zielservicename und Host bildet den so genannten SPN (Service Principal Name, Name des Service-Principals), der den Principal-Namen des Kerberos-Zielservice darstellt. Der Kerberos-Client fordert das anfängliche Kerberos-AP_REQ-Token für den SPN an. Geben Sie eine der folgenden angepassten Eigenschaften an.
Tabelle 3. Angepasste Eigenschaften des Zielservice. Verwenden Sie diese Eigenschaften, um die Informationen zum Tokengenerator anzugeben. Name Wert Typ com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Geben Sie den Namen des Zielservice an. Erforderlich com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Geben Sie den Hostnamen, der dem Zielservice zugeordnet ist, im folgenden Format an: meinhost.meinunternehmen.com Erforderlich com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Geben Sie den Namen des Realms an, der dem Zielservice zugeordnet ist. Optional Wenn Sie mehrere angepasste Eigenschaft/Name-Paare angeben möchten, klicken Sie auf Neu.
- Klicken Sie auf Anwenden.
- Klicken Sie unter der Überschrift "Weitere Bindungen" auf Callback-Handler.
- Wählen Sie unter der Überschrift "Klassenname" die Option Angepasste Klasse verwenden aus, und geben Sie im zugehörigen Feld den Wert com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler an.
- Geben Sie unter der Überschrift "Basisauthentifizierung" die entsprechenden Wert für
Benutzername, Kennwort und
Kennwort bestätigen an.
Der Benutzername gibt die Standardbenutzer-ID an, die an den Konstruktor des Callback-Handlers übergeben wird. Beispiel: kerberosuser
- Geben Sie die angepassten Eigenschaften des Tokengenerators für den Principal-Namen und das Kennwort des Kerberos-Clients
an, um die Kerberos-Anmeldung einzuleiten. Diese angepassten Eigenschaften steuern die Bedienerführung und erstellen das Token auf der Basis des Caches für Berechtigungsnachweise. Geben Sie die folgenden angepassten Name/Wert-Paare an.Wenn Sie Web Services Security in einer Kerberos-Realm-übergreifenden Umgebung oder einer anerkannten Kerberos-Realmumgebung implementieren, müssen Sie einen Wert für die Eigenschaft "clientRealm" angeben.
Tabelle 4. Angepasste Eigenschaften für die Kerberos-Anmeldung. Verwenden Sie die angepassten Eigenschaften, um die Informationen zum Tokengenerator anzugeben. Name Wert Typ com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Diese Eigenschaft aktiviert die Kerberos-Anmeldung, wenn sie den Wert True hat. Der Standardwert ist False. Optional com.ibm.wsspi.wssecurity.krbtoken.clientRealm Geben Sie den Namen des Kerberos-Realms an, der dem Client zugeordnet ist. 2 Wenn eine Anwendung ein Kerberos-V5-AP_REQ-Token für jede Web-Service-Anforderungsnachricht generiert oder konsumiert, setzen Sie die angepasste Eigenschaft com.ibm.wsspi.wssecurity.kerberos.attach.apreq in den Tokengenerator- und Tokenkonsumentenbindungen für die Anwendung auf true.
Wenn Sie mehrere angepasste Eigenschaft/Name-Paare angeben möchten, klicken Sie auf Neu.
- Klicken Sie auf Anwenden und OK.
- Optional: Kehren Sie zur Anzeige "Authentifizierung und Zugriffsschutz" zurück, um eine
Authentifizierungstokenkonfiguration für den Tokenkonsumenten zu definieren. Zum Zurückkehren zur Anzeige "Authentifizierung und Zugriffsschutz" klicken Sie unterhalb des Nachrichtenabschnitts der Anzeige auf den Link Authentifizierung und
Zugriffsschutz. Wichtig: Wenn Sie ein Authentifizierungstoken für den Tokenkonsumenten konfigurieren, müssen Sie sicherstellen, dass auch ein entsprechendes Authentifizierungstoken für den Tokengenerator definiert wurde.
- Klicken Sie unter der Überschrift "Authentifizierungstoken" auf Neu, und wählen Sie Tokenkonsument aus.
- Geben Sie im Feld Name den Namen des Authentifizierungstokens ein.
- Wählen Sie aus den Werten in der Menüliste Tokentyp den Eintrag Angepasst aus.
- Geben Sie im Feld Lokaler Name den lokalen Namenswert ein.
Für die Interoperabilität mit anderen Web-Service-Technologien geben Sie den folgenden lokalen Namen an: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Wenn Interoperabilitätsaspekte für Sie keine Rolle spielen, können Sie auch einen der folgenden lokalen Namenswerte angeben:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Diese alternativen Werte richten sich nach der Spezifikationsstufe des Kerberos-Tokens, das von Key Distribution Center (KDC) generiert wird. Weitere Informationen zu den Situationen, in denen die einzelnen Werte verwendet werden, finden Sie unter dem Link zum Artikel mit den Einstellungen für Authentifizierungstoken für Generatoren oder Konsumenten.
- Geben Sie im Feld Namespace-URI keinen Wert ein.
- Wählen Sie im Dropdown-Menü für "JAAS-Anmeldung" den Wert wss.consume.KRB5BST aus.
Falls Sie bereits ein eigenes JAAS-Anmeldemodul (Java Authentication and Authorization Service) definiert haben, können Sie dieses Anmeldemodul für das angepasste Kerberos-Token auswählen. Zum Definieren eines angepassten JAAS-Anmeldemoduls klicken Sie auf Neue Anwendungsanmeldung > Neu. Geben Sie einen Alias für das neue Modul an, und klicken Sie auf Anwenden. Weitere Informationen finden Sie im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service".Achtung: Die Informationen im Artikel "Einstellungen des Anmeldemoduls für Java Authentication and Authorization Service" beziehen sich zwar auf die Sicherheit und nicht auf Web Services Security, aber die Konfiguration eines Anmeldemoduls für Web Services Security ist dieselbe wie bei der Sicherheit.
- Klicken Sie auf Anwenden.
- Klicken Sie unter der Überschrift "Weitere Bindungen" auf Callback-Handler.
- Wählen Sie unter der Überschrift "Klassenname" die Option Angepasste Klasse verwenden aus, und geben Sie im zugehörigen Feld den Wert com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler an.
- Klicken Sie auf Anwenden und OK.
Nächste Schritte
Sie können optional Schlüsselbindungen für den Schutz von Anforderungsnachrichten und den Schutz von Antwortnachrichten definieren. Wenn Sie sich für die Ableitung eines Schlüssels aus dem Kerberos-Token entscheiden, konfigurieren Sie die Informationen für den abgeleiteten Schlüssel, wenn Sie die Schlüsseldaten für Signatur und Verschlüsselung konfigurieren.
Kehren Sie zu den Schritten im Artikel "Kerberos-Token für Web Services Security konfigurieren" zurück, um sicherzustellen, dass Sie die Schritte für die Konfiguration des Kerberos-Tokens ausgeführt haben.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confkerbbinding
Dateiname:twbs_confkerbbinding.html