Kerberos-Tokenrichtliniensatz für JAX-WS-Anwendungen konfigurieren

Verwenden Sie diesen Artikel, um den Kerberos-Tokenrichtliniensatz für JAX-WS-Anwendungen zu konfigurieren.

Vorbereitende Schritte

Vor der Ausführung dieser Task müssen Sie die Kerberos-Konfigurationsdaten für IBM® WebSphere Application Server angeben. Weitere Informationen finden Sie in der Beschreibung der Unterstützung des Kerberos-Authentifizierungsverfahrens (KRB5) für die Sicherheit.

Das Konfigurationsmodell für das Kerberos-Token ermöglicht Ihnen die Wahl zwischen den folgenden vorhandenen Frameworks für WebSphere Application Server:
  • Für JAX-RPC-Anwendungen werden der Implementierungsdeskriptor und Bindungen in der Konfiguration verwendet. JAX-RPC-Anwendungen enthalten den Implementierungsdeskriptor für ein angepasstes Kerberos-Token, das mit Authentifizierungstoken konfiguriert wird.
  • Für JAX-WS-Anwendungen verwendet die Konfiguration einen Richtliniensatz und Bindungen. Die JAX-WS-Anwendung wird über eine angepasste Richtlinie dem Kerberos-Token zugeordnet, das mit Authentifizierungs- und/oder Nachrichtenschutztoken konfiguriert wird.
Anmerkung: Fixpacks, die Aktualisierungen für Software Development Kit (SDK) enthalten, können uneingeschränkte Richtliniendateien überschreiben. Sichern Sie die uneingeschränkten Richtliniendateien, bevor Sie ein Fixpack anwenden und diese Dateien nach der Anwendung des Fixpacks erneut anwenden.

Informationen zu diesem Vorgang

Führen Sie die folgenden Schritte aus, um den Kerberos-Tokenrichtliniensatz für JAX-WS-Anwendungen über die Administrationskonsole von WebSphere Application Server zu konfigurieren. In diesen Schritten wird mit der Konfigurationsanzeige "Hauptrichtlinie" auf die Administrationskonsolanzeige verwiesen, die nach der Ausführung der ersten fünf Schritte verfügbar ist.

Vorgehensweise

  1. Klicken Sie auf Services > Richtliniensätze, und klicken Sie anschließend auf Anwendungsrichtliniensätze > Neu, um einen neuen Richtliniensatz zu erstellen.
  2. Geben Sie einen Namen und eine Kurzbeschreibung für den neuen Richtliniensatz an, und klicken Sie anschließend auf Anwenden.
  3. Klicken Sie unter der Überschrift "Richtlinien" auf Hinzufügen, und wählen Sie anschließend den Sicherheitsrichtlinientyp WS-Security aus.
  4. Klicken Sie auf OK und anschließend auf Speichern, um die neue Konfiguration direkt in der Masterkonfiguration zu speichern.
  5. Klicken Sie im Feld Richtlinien auf WS-Security, und klicken Sie anschließend in der Anzeige "WS-Security" auf Hauptrichtlinie, um die Hauptrichtlinie für den Kerberos-Tokenrichtliniensatz zu konfigurieren.
  6. Wählen Sie unter der Überschrift "Schlüsselsymmetrie" die Option Symmetrische Token verwenden für den Nachrichtenschutz aus.
  7. Klicken Sie auf Symmetrische Signatur- und Verschlüsselungsrichtlinien, um den angepassten Kerberos-Tokentyp zu konfigurieren, oder wählen Sie das Kontrollkästchen Zugriffsschutz auf Nachrichtenebene ab, wenn Sie lediglich ein Authentifizierungstoken konfigurieren möchten.
    Wichtig: Sie müssen die Richtlinie für Anforderungstoken nicht konfigurieren, wenn Sie das Kerberos-Token für Nachrichtenschutz konfigurieren. Wenn Sie nur das Authentifizierungstoken konfigurieren, fahren Sie mit dem nächsten Schritt fort. Wenn Sie die Anforderungstokenrichtlinie für das Authentifizierungstoken nicht konfigurieren, fahren Sie mit dem nächsten Schritt fort.
  8. Konfigurieren Sie in der Konfigurationsanzeige "Hauptrichtlinie" die Richtlinie für das Anforderungstoken, wenn Sie das Authentifizierungstoken konfigurieren.
    1. Klicken Sie unter der Überschrift "Richtliniendetails" auf Richtlinien für Anforderungstoken.
    2. Klicken Sie auf Tokentyp hinzufügen, und wählen Sie Angepasst aus.
    3. Geben Sie den Namen des angepassten Tokens im Feld Name des angepassten Tokens ein.
    4. Geben Sie im Feld Lokaler Abschnitt den Wert für den lokalen Abschnitt ein. Für die Interoperabilität mit anderen Web-Service-Technologien geben Sie den folgenden lokalen Abschnitt an: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Wenn Interoperabilitätsaspekte für Sie keine Rolle spielen, können Sie auch einen der folgenden lokalen Namenswerte angeben:
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

      Diese alternativen Werte richten sich nach der Spezifikationsstufe des Kerberos-AP-REQ-Tokens, das von Key Distribution Center (KDC) generiert wird. Weitere Informationen zur Verwendung dieser Werte finden Sie im Artikel "Einstellungen für den Tokentyp".

    5. Geben Sie im Feld Namespace-URI keinen Wert ein, wenn Sie ein Kerberos-Token generieren.
    6. Klicken Sie auf OK und anschließend auf Speichern, um die Konfiguration direkt in der Masterkonfiguration zu speichern.
    Dieser Schritt schließt den Konfigurationsprozess für die Anforderungstokenrichtlinie für das Authentifizierungstoken ab. Sie müssen die nächsten beiden Schritte nicht ausführen. Führen Sie die nächsten Schritte aus, um die Richtlinien für Verschlüsselung und symmetrische Signatur zu konfigurieren.
  9. Kehren Sie in die Konfigurationsanzeige "Hauptrichtlinie" für den Anwendungsrichtliniensatz zurück, und klicken Sie auf Symmetrische Signatur- und Verschlüsselungsrichtlinien, um die Richtlinien für Verschlüsselung und symmetrische Signatur zu konfigurieren.
    1. Klicken Sie unter der Überschrift "Nachrichtenintegrität" auf die Menüliste Aktion für das Feld Tokentyp für Signatur und Validierung von Nachrichten, und wählen Sie Angepasst aus.
    2. Wählen Sie unter der Überschrift "Nachrichtenvertraulichkeit" die Option Dasselbe Token für Vertraulichkeit und Integrität verwenden aus.
    3. Klicken Sie auf OK und anschließend auf Speichern, um die Konfigurationsänderungen zu speichern.
    4. Klicken Sie unter der Überschrift "Nachrichtenintegrität" auf die Menüliste Aktion für das Feld Tokentyp für Signatur und Validierung von Nachrichten, und wählen Sie Richtlinie des ausgewählten Typs bearbeiten aus.
    5. Bearbeiten Sie den angepassten Tokentyp für die Signatur und Verschlüsselung, indem Sie den lokalen Abschnitt für das angepasste Kerberos-Token angeben.

      Geben Sie beispielsweise http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als Wert für den lokalen Abschnitt an. Geben Sie keinen Wert für "Namespace-URI" an.

    6. Klicken Sie auf OK und anschließend auf den Link Speichern, um die Konfigurationsänderungen zu speichern.
  10. Kehren Sie zur Konfigurationsanzeige "Hauptrichtlinie" für den Anwendungsrichtliniensatz zurück, und klicken Sie auf Algorithmen für symmetrische Token, um das Token für die symmetrischen Token zu konfigurieren.
    1. Wählen Sie in der Menüliste Algorithmussuite die Algorithmussuite aus, die Sie für die symmetrischen Token verwenden möchten. Wählen Sie die AES-Algorithmen (Advanced Encryption Standard) für ein Kerberos-Token aus, das mit RFC-4120 kompatibel ist.
      Die folgenden Algorithmen für das Wrapping symmetrischer Schlüssel (oder Verschlüsselung privater Schlüssel) sind verfügbar:
      • Wrapping von Triple-DES-Schlüsseln: http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • Wrapping von AES-Schlüsseln (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
      • Wrapping von AES-Schlüsseln (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256
      Einschränkung: Zur Verwendung des 256–Bit-AES-Verschlüsselungsalgorithmus müssen Sie die nicht eingeschränkten Standortrichtliniendateien anwenden. Beachten Sie zur Einhaltung der Konformität die Konformitätstipps für Basic Security Profile.

      [AIX Solaris HP-UX Linux Windows]Bevor Sie diese Richtliniendateien herunterladen, müssen Sie das hierarchische Dateisystem des Produkts im Schreib-/Lesemodus anhängen. Sichern Sie die vorhandenen Richtliniendateien, bevor Sie sie überschreiben, für den Fall, dass sie die ursprünglichen Dateien zu einem späteren Zeitpunkt wiederherstellen möchten. Die vorhandenen Richtliniendateien local_policy.jar und US_export_policy.jar befinden sich im Verzeichnis WAS_HOME/java/jre/lib/security/.

      [z/OS]Bevor Sie diese Richtliniendateien herunterladen, müssen Sie das hierarchische Dateisystem des Produkts im Schreib-/Lesemodus anhängen. Sichern Sie die vorhandenen Richtliniendateien, bevor Sie sie überschreiben, für den Fall, dass sie die ursprünglichen Dateien zu einem späteren Zeitpunkt wiederherstellen möchten. Die vorhandenen Richtliniendateien local_policy.jar und US_export_policy.jar befinden sich im Verzeichnis WAS_HOME/java/lib/security/.

      Wichtig: In Ihrem Herkunftsland gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
      Die Standortrichtliniendateien mit den nicht eingeschränkten Verschlüsselungsklassen für Anwendungsserverplattformen, die IBM Developer Kit, Java™ Technology Edition Version 5, verwenden, können Sie wie folgt herunterladen:
      1. Rufen Sie die IBM developerWorks-Website "Security Information" auf.
      2. Klicken Sie auf Java 5.
      3. Klicken Sie auf IBM SDK Policy files.

        Die Website mit den nicht eingeschränkten JCE-Richtliniendateien für SDK 5 erscheint.

      4. Geben Sie Ihre Benutzer-ID und das Kennwort ein, oder registrieren Sie sich bei IBM, um die Richtliniendateien herunterzuladen. Die Richtliniendateien werden auf Ihre Workstation heruntergeladen.
      5. Hängen Sie Ihr hierarchisches Produktdateisystem erneut im Lesezugriff an.

      Weitere Informationen zu den Komponenten der Algorithmussuite finden Sie im Artikel zu den Einstellungen für Algorithmen.

    2. Wählen Sie Exklusive Kanonisierung oder Inklusive Kanonisierung in der Menüliste Kanonisierungsalgorithmus aus. Weitere Informationen finden Sie im Artikel zur digitalen XML-Signatur.
    3. Wählen Sie in der Menüliste XPath-Version den Eintrag XPath 1.0 oder XPathfilter 2.0 aus.

Nächste Schritte

Konfigurieren Sie die Bindungen für den Nachrichtenschutz für Kerberos für JAX-WS-Anwendungen. Weitere Informationen hierzu finden Sie im Artikel Bindungen für den Nachrichtenschutz für Kerberos konfigurieren.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confkerbprofilejaxws
Dateiname:twbs_confkerbprofilejaxws.html