Tokenkonsumenten mit JAX-RPC für den Schutz der Nachrichtenauthentizität auf Server- oder Zellenebene konfigurieren

Der Tokenkonsument auf Server- oder Zellenebene wird verwendet, um die Informationen anzugeben, die erforderlich sind, um das Sicherheitstoken zu verarbeiten, wenn keine Definition auf Anwendungsebene vorhanden ist.

Vorbereitende Schritte

Machen Sie sich bewusst, dass die Keystore- und Aliasinformationen, die Sie für den Generator angeben, sowie die Keystore- und Aliasinformationen, die Sie für den Konsumenten angeben, für verschiedene Zwecke verwendet werden. Der Hauptunterschied liegt beim Alias für einen X.509-Callback-Handler.

Wenn diese Information zusammen mit einem Verschlüsselungskonsumenten verwendet wird, wird der für den Konsumenten angegebene Alias verwendet, um den privaten Schlüssel für die Entschlüsselung der Nachricht abzurufen. Es ist ein Kennwort erforderlich. Wenn diese Information einem Signaturkonsumenten zugeordnet wird, wird der für den Konsumenten angegebene Alias nur verwendet, um den öffentlichen Schlüssel abzurufen, der verwendet wird, um ein X.509-Zertifikat, das im SOAP-Sicherheitsheader nicht als BinarySecurityToken übergeben wird, aufzulösen. Ein Kennwort ist nicht erforderlich.

Informationen zu diesem Vorgang

WebSphere Application Server stellt Standardwerte für Bindungen bereit. Sie müssen diese Standardwerte für eine Produktionsumgebung ändern.

Sie können den Tokenkonsumenten auf Server- und Zellenebene konfigurieren. Verwenden Sie bei den nachfolgend genannten Schritten die Anweisungen im ersten Schritt für den Zugriff auf die Standardbindungen auf Serverebene und die Anweisungen im zweiten Schritt für den Zugriff auf die Bindungen auf Zellenebene.

Vorgehensweise

  1. Greifen Sie auf die Standardbindungen für die Serverebene zu.
    1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
    2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
      Heterogene Umgebung Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
  2. Klicken Sie auf Sicherheit > Web-Services, um auf die Standardbindungen auf Zellenebene zuzugreifen.
  3. Klicken Sie unter "Standardkonsumentenbindungen" auf Tokenkonsumenten.
  4. Klicken Sie auf Neu, um eine Konfiguration für einen Tokenkonsumenten zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration für einen Tokenkonsumenten, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Name des Tokenkonsumenten einen eindeutigen Namen für die Tokenkonsumentenkonfiguration ein. Beispielsweise können Sie den Namen sig_tcon angeben. Dieses Feld gibt den Namen des Tokenkonsumentenelements an.
  5. Geben Sie im Feld "Name der Tokenkonsumentenklasse" einen Klassennamen ein. Die JAAS-Anmeldemodulimplementierung (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).
    Einschränkung: Die Schnittstelle "com.ibm.wsspi.wssecurity.token.TokenConsumingComponent" wird für JAX-WS-Web-Services nicht verwendet. Wenn Sie JAX-RPC-Web-Services verwenden, ist diese Schnittstelle weiterhin gültig.

    Für den Namen der Tokenkonsumentenklasse muss ein ähnlicher Name wie für den Namen der Tokengeneratorklasse verwendet werden.

    Wenn Ihre Anwendung beispielsweise einen Konsumenten eines Tokens mit X.509-Zertifikat erfordert, können Sie den Klassennamen "com.ibm.wsspi.wssecurity.token.X509TokenGenerator" in der Anzeige "Tokengenerator" und den Klassennamen "com.ibm.wsspi.wssecurity.token.X509TokenConsumer" in diesem Feld eingeben. WebSphere Application Server stellt die folgenden Standardimplementierungen für die Tokenkonsumentenklasse bereit:
    com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer
    Diese Implementierung integriert ein Benutzernamenstoken.
    com.ibm.wsspi.wssecurity.token.X509TokenConsumer
    Diese Implementierung integriert ein Token mit X.509-Zertifikat.
    com.ibm.wsspi.wssecurity.token.LTPATokenConsumer
    Diese Implementierung integriert ein LTPA-Token (Lightweight Third Party Authentication).
    com.ibm.wsspi.wssecurity.token.IDAssertionUsernameTokenConsumer
    Diese Implementierung integriert ein IDAssertionUsername-Token.

    Eine entsprechende Tokengeneratorklasse ist für diese Implementierung nicht vorhanden.

  6. Wählen Sie eine Option für den Zertifikatspfad aus. Der Zertifikatspfad gibt die Zertifikatswiderrufliste (CRL) an, die für die Generierung eines Sicherheitstoken des Typs PKCS#7 mit CRL verwendet wird. WebSphere Application Server stellt die folgenden Optionen für den Zertifikatspfad bereit:
    Ohne
    Bei Auswahl dieser Option wird der Zertifikatspfad nicht angegeben.
    Jedem vertrauen
    Bei Auswahl dieser Option wird jedes Zertifikat anerkannt. Wenn das empfangene Token konsumiert wurde, wird der Zertifikatspfad nicht validiert.
    Dedizierte Signaturdaten
    Bei Auswahl dieser Option können Sie einen Trust-Anchor und einen Zertifikatsspeicher angeben. Wenn Sie den Trust-Anchor oder den Zertifikatsspeicher eines anerkannten Zertifikats auswählen, müssen Sie vor dem Definieren des Zertifikatspfads den Zertifikatssammelspeicher konfigurieren. Informationen zum Definieren eines Zertifikatssammelspeichers auf Server- oder Zellenebene finden Sie im Artikel Zertifikatssammelspeicher auf Server- oder Zellenebene konfigurieren.
    1. Wählen Sie im Feld "Trust-Anchor" einen Trust-Anchor aus. WebSphere Application Server stellt zwei Beispiel-Trust-Anchor bereit. Sie sollten jedoch für eine Produktionsumgebung eigene Trust-Anchor konfigurieren. Informationen zum Konfigurieren eines Trust-Anchors finden Sie im Artikel Trust-Anchor auf Server- oder Zellenebene konfigurieren.
    2. Wählen Sie im Feld "Zertifikatssammelspeicher" einen Zertifikatssammelspeicher aus. WebSphere Application Server stellt einen Beispielzertifikatssammelspeicher bereit. Wenn Sie Ohne auswählen, wird kein Zertifikatssammelspeicher angegeben. Informationen zum Angeben einer Liste von Zertifikatsspeichern mit nicht anerkannten Zwischenzertifikatsdateien, die noch validiert werden müssen, finden Sie im Artikel Trusted-ID-Evaluator auf Server- oder Zellenebene konfigurieren.
  7. Wählen Sie im Feld "Trusted-ID-Evaluator" einen Trusted-ID-Evaluator aus. Dieses Feld gibt den Verweis auf den Klassennamen des Trusted-ID-Evaluator an, der in der Anzeige "Trusted-ID-Evaluator" definiert wurde. Mit dem Trusted-ID-Evaluator wird festgestellt, ob die empfangene ID vertrauenswürdig ist. Wenn Sie die Option Ohne auswählen, wird der Trusted-ID-Evaluator in dieser Tokenkonsumentenkonfiguration nicht referenziert. Informationen zum Konfigurieren eines Trusted-ID-Evaluator finden Sie im Artikel Trusted-ID-Evaluator auf Server- oder Zellenebene konfigurieren.
  8. Wählen Sie die Option Nonce prüfen aus, wenn ein Nonce in ein Benutzernamenstoken auf der Generatorseite eingefügt wird. Ein Nonce ist eine eindeutige verschlüsselte Nummer, die in eine Nachricht eingebettet wird, um wiederholte, unbefugte Hackerattacken auf Benutzernamenstoken zu verhindern. Die Option Nonce prüfen ist verfügbar, wenn Sie ein Benutzernamenstoken für den Tokenkonsumenten angeben und auf Generatorseite ein Nonce in das Benutzernamenstoken eingefügt wird.
  9. Wählen Sie die Option Zeitmarke prüfen aus, wenn eine Zeitmarke in ein Benutzernamenstoken auf der Generatorseite eingefügt wird. Die Option Zeitmarke prüfen ist verfügbar, wenn Sie ein Benutzernamenstoken für den Tokenkonsumenten angeben und auf Generatorseite eine Zeitmarke in das Benutzernamenstoken eingefügt wird.
  10. Geben Sie den lokalen Namen des Wertetyps für das integrierte Token an. Gibt den lokalen Namen des Wertetyps für ein Sicherheitstoken an, auf das die Schlüssel-ID verweist. Dieses Attribut ist gültig, wenn als Schlüsseldatentyp Schlüssel-ID ausgewählt wird. Informationen zum Angeben des Informationstyps finden Sie im Artikel Schlüsseldaten für die Konsumentenbindung mit JAX-RPC auf Server- oder Zellenebene konfigurieren. WebSphere Application Server enthält vordefinierte lokale Namen für Wertetypen für das Benutzernamenstoken und das Sicherheitstoken für X.509-Zertifikate. Verwenden Sie für Benutzernamenstokens und Sicherheitstoken mit X.509-Zertifikat die nachfolgend angegebenen lokalen Namen. Wenn Sie einen der folgenden lokalen Namen angeben, ist die Angabe des URI für den Wertetyp nicht erforderlich:
    Benutzernamenstoken
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    X.509-Zertifikatstoken
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    X.509-Zertifikate in einem PKIPath
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    Liste von X.509-Zertifikaten und CRLs im Format PKCS#7
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    Anmerkung: Wenn Sie Lightweight Third Party Authentication (LTPA) oder Tokenweitergabe (LTPA_PROPAGATION) angeben möchten, müssen Sie den lokalen Namen des Wertetyps und den URI angeben. Für LTPA geben Sie LTPA für den lokalen Namen und http://www.ibm.com/websphere/appserver/tokentype/5.0.2 für den URI an. Für die Weitergabe von LTPA-Token geben Sie LTPA_PROPAGATION für den lokalen Namen und http://www.ibm.com/websphere/appserver/tokentype für den URI an.
    Wenn beispielsweise ein X.509-Zertifikatstoken angegeben ist, können Sie http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 als lokalen Namen verwenden. Wenn Sie den lokalen Namen eines anderen Token angeben, müssen Sie einen Qname für den Wertetyp angeben. Beispiel: uri=http://www.ibm.com/custom, localName=CustomToken
  11. Geben Sie im URI-Feld den Wertetyp des URI (Uniform Resource Identifier) ein. Gibt den Namespace-URI des Wertetyps für ein Sicherheitstoken an, auf das die Schlüssel-ID verweist. Dieses Attribut ist gültig, wenn in der Anzeige "Schlüsseldaten" für den Standardgenerator als Schlüsseldatentyp Schlüssel-ID ausgewählt wird. Wenn Sie den Tokenkonsumenten für Benutzernamenstoken oder ein Sicherheitstoken mit X.509-Zertifikat angeben, müssen Sie diese Option nicht angeben. Falls Sie ein anderes Token verwenden, müssen Sie den QName-URI für den Wertetyp angeben.
  12. Klicken Sie auf OK und anschließend auf Speichern, um die Konfiguration zu speichern. Nachdem Sie die Konfiguration für den Tokengenerator gespeichert haben, können Sie eine JAAS-Konfiguration (Java Authentication and Authorization Service) für den Tokenkonsumenten angeben.
  13. Klicken Sie auf den Namen der Tokengeneratorkonfiguration.
  14. Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Konfiguration.
  15. Wählen Sie im Feld "Name der JAAS-Konfiguration" eine Konfiguration aus.

    Dieses Feld gibt den Namen der Konfiguration des JAAS-Systems für die Anwendungsanmeldung an. Sie können zusätzliche JAAS-System und -Anwendungskonfigurationen angeben, indem Sie auf Sicherheit > Globale Sicherheit klicken. Klicken Sie auf Java™ Authentication and Authorization Service und anschließend auf Anwendungsanmeldungen > Neu oder auf Systemanmeldungen > Neu.

    [AIX Solaris HP-UX Linux Windows][z/OS]Weitere Informationen zu den JAAS-Konfigurationen finden Sie im Artikel Einstellungen für die JAAS-Konfiguration.

    Sie dürfen keine der vordefinierten Konfigurationen für System- oder Anwendungsanmeldungen entfernen. Sie können diesen Konfigurationen jedoch Modulklassennamen hinzufügen und die Reihenfolge festlegen, in der WebSphere Application Server die einzelnen Module lädt. WebSphere Application Server stellt die folgenden vordefinierten JAAS-Konfigurationen bereit:
    ClientContainer
    Diese Option gibt die Anmeldekonfiguration an, die von den Client-Container-Anwendungen verwendet wird. Die Konfiguration verwendet die CallbackHandler-API, die im Implementierungsdeskriptor für den Client-Container definiert ist. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Anwendungsanmeldungen auf.
    WSLogin
    Diese Option gibt an, ob alle Anwendungen die WSLogin-Konfiguration verwenden können, um die Authentifizierung für die Sicherheitslaufzeitumgebung durchzuführen. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Anwendungsanmeldungen auf.
    DefaultPrincipalMapping
    Diese Option gibt die Anmeldekonfiguration an, die von Java-2-Connectors verwendet wird, um Benutzer Principals zuzuordnen, die in den Dateneinträgen für die J2C-Authentifizierung definiert sind. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Anwendungsanmeldungen auf.
    system.wssecurity.IDAssertion
    Bei Auswahl dieser Option können Anwendungen der Version 5.x die Zusicherung der Identität (IDAssertion) verwenden, um einen Benutzernamen dem Principal eines Berechtigungsnachweises von WebSphere Application Server zuzuordnen. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.wssecurity.Signature
    Wenn Sie diese Option verwenden, können Anwendungen der Version 5.x einen definierten Namen (DN) in einem signierten Zertifikat einem Principal eines Berechtigungsnachweises in WebSphere Application Server zuordnen. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.LTPA_WEB
    Diese Option verarbeitet vom Web-Container verwendete Anmeldeanforderungen wie Servlets und JSP-Dateien. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.WEB_INBOUND
    Diese Option verarbeitet die Anmeldeanforderungen für Webanwendungen, einschließlich Servlets und JavaServer Pages (JSP). Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1.1 verwendet. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.RMI_INBOUND
    Diese Option verarbeitet Anmeldungen für eingehende RMI-Anforderungen (Remote Method Invocation). Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1.1 verwendet. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.DEFAULT
    Diese Option verarbeitet die Anmeldungen für eingehende Anforderungen interner Authentifizierungen und der meisten anderen Protokolle mit Ausnahme von Webanwendungen und RMI-Anforderungen. Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1.1 verwendet. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.RMI_OUTBOUND
    Bei Auswahl dieser Option werden RMI-Anforderungen verarbeitet, die an einen anderen Server gesendet werden, wenn die Eigenschaft com.ibm.CSIOutboundPropagationEnabled auf true gesetzt ist. Diese Eigenschaft wird in der Anzeige für CSIV2-Authentifizierung festgelegt. Klicken Sie zum Aufrufen dieser Anzeige auf Sicherheit > Globale Sicherheit. Klicken Sie unter "Authentifizierung" auf RMI/IIOP-Sicherheit und anschließend auf Abgehende Authentifizierung gemäß CSIv2. Wählen Sie die Option Weitergabe von Sicherheitsattributen aus, um die Eigenschaft com.ibm.CSIOutboundPropagationEnabled zu setzen. Zum Ändern dieser JAAS-Anmeldekonfiguration verwenden Sie die Anzeige für JAAS-Systemanmeldungen.
    system.wssecurity.X509BST
    Diese Option überprüft X.509 Binary Security Token (BST, binäres Sicherheitstoken), indem sie die Gültigkeit des Zertifikats und des Zertifikatspfads prüft. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.wssecurity.PKCS7
    Diese Konfiguration überprüft X.509-Zertifikate anhand von Zertifikatswiderruflisten in einem PKCS7-Objekt. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.wssecurity.PkiPath
    Diese Option überprüft ein X.509-Zertifikat mit einem PKI-Pfad (Public Key Infrastructure). Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.wssecurity.UsernameToken
    Diese Option überprüft die Basisauthentifizierung (Benutzername und Kennwort). Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.wssecurity.IDAssertionUsernameToken
    Bei Auswahl dieser Konfiguration können Anwendungen der Version 6 und höher die Zusicherung der Identität (IDAssertion) verwenden, um einen Benutzernamen dem Principal eines Berechtigungsnachweises von WebSphere Application Server zuzuordnen. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.WSS_INBOUND
    Diese Option gibt die Anmeldekonfiguration für eingehende Anforderungen oder Konsumentenanforderungen für die Weitergabe von Sicherheitstoken mit Web Services Security an. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    system.WSS_OUTBOUND
    Diese Option gibt die Anmeldekonfiguration für abgehende Anforderungen oder Generatoranforderungen für die Weitergabe von Sicherheitstoken mit Web Services Security an. Zum Ändern dieser Konfiguration rufen Sie die Anzeige "JAAS-Konfiguration" für Systemanmeldungen auf.
    Ohne
    Wenn Sie diese Option auswählen, geben Sie keine JAAS-Anmeldekonfiguration an.
  16. Klicken Sie auf OK und anschließend auf Speichern, um die Konfiguration zu speichern.

Ergebnisse

Sie haben den Tokenkonsumenten auf Server- oder Zellenebene konfiguriert.

Nächste Schritte

Sie müssen eine ähnliche Tokengeneratorkonfiguration auf Server- oder Zellenebene konfigurieren.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconssvrcell
Dateiname:twbs_configtokenconssvrcell.html