Callback-Handler-Konfigurationseinstellungen für JAX-RPC

Auf dieser Seite können Sie angeben, wie das in den Web-Services-Security-Header für JAX-RPC von SOAP-Nachrichten eingefügte Sicherheitstoken abgerufen wird. Für die Tokenbeschaffung gibt es ein modular aufgebautes Framework, das die Schnittstelle javax.security.auth.callback.CallbackHandler von JAAS (Java Authentication and Authorization Service) nutzt, um das Sicherheitstoken anzufordern.

Fehler vermeiden Fehler vermeiden: Bevor Sie Werte für die Eigenschaften Keystore und Schlüssel auf dieser Seite angeben, müssen Sie sich bewusst machen, dass die Keystore- und Aliasinformationen, die Sie für den Generator angeben, sowie die Keystore- und Aliasinformationen, die Sie für den Konsumenten angeben, für verschiedene Zwecke verwendet werden. Der Hauptunterschied liegt beim Alias für einen X.509-Callback-Handler: gotcha
Generator
Wenn diese Information zusammen mit einem Verschlüsselungsgenerator verwendet wird, wird der für den Generator angegebene Alias verwendet, um den öffentlichen Schlüssel für die Verschlüsselung der Nachricht abzurufen. Ein Kennwort ist nicht erforderlich. Der Alias, der für einen Callback-Handler angegeben wird, der einem Verschlüsselungsgenerator zugeordnet ist, muss ohne Kennwort zugänglich sein. Das bedeutet, dass der Alias keine zugehörigen privaten Schlüsseldaten im Keystore haben darf. Wenn diese Information zusammen mit einem Signaturgenerator verwendet wird, wird der für den Generator angegebene Alias verwendet, um den privaten Schlüssel für die Unterzeichnung der Nachricht abzurufen. Es ist ein Kennwort erforderlich.
Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole für den Callback-Handler auf Zellenebene anzuzeigen:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf Tokengeneratoren > Name_des_Tokengenerators.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole für den Callback-Handler auf Serverebene anzuzeigen:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
  3. Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf Tokengeneratoren > Name_des_Tokengenerators.
  4. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole für den Callback-Handler auf Anwendungsebene anzuzeigen:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
  2. Klicken Sie unter "Module" auf Module verwalten URI-Name.
  3. Unter "Eigenschaften von Web Services Security" können Sie auf die Informationen zum Callback-Handler für die folgenden Bindungen zugreifen:
    • Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.Klicken Sie unter "Weitere Eigenschaften" auf Tokengenerator. Klicken Sie auf Neu, um eine neue Tokengeneratorkonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
    • Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Tokengenerator. Klicken Sie auf Neu, um eine neue Tokengeneratorkonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.

Klassenname des Callback-Handler

Gibt den Namen der Implementierungsklasse für den Callback-Handler an, mit der ein Sicherheitstoken-Framework implementiert wird.

Die angegebene Callback-Handler-Klasse muss die Klasse javax.security.auth.callback.CallbackHandler implementieren. Die Implementierung der JAAS-Schnittstelle javax.security.auth.callback.CallbackHandler muss mit der folgenden Syntax einen Konstruktor bereitstellen:
MyCallbackHandler(String Benutzername, char[] Kennwort,
    java.util.Map Eigenschaften)
Für die Variablen gilt Folgendes:
Benutzername
Gibt den Benutzernamen an, der an die Konfiguration übergeben wird.
Kennwort
Gibt das Kennwort an, das an die Konfiguration übergeben wird.
Eigenschaften
Gibt die übrigen Konfigurationseigenschaften an, die an die Konfiguration übergeben werden.
Der Anwendungsserver stellt die folgenden Standardimplementierungen für Callback-Handler bereit:
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
Dieser Callback-Handler fordert den Benutzernamen und das Kennwort in einem Anmeldedialog an. Wenn Sie in dieser Anzeige den Benutzernamen und das Kennwort angeben, wird jedoch keine Eingabeaufforderung angezeigt. Der Anwendungsserver gibt den in dieser Anzeige angegebenen Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
Dieser Callback-Handler setzt keine Eingabeaufforderung ab und gibt den in dieser Anzeige angegebenen Benutzernamen und das Kennwort zurück. Diesen Callback-Handler können Sie verwenden, wenn der Web-Service die Rolle eines Clients hat.
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind, setzt der Anwendungsserver jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind, setzt der Anwendungsserver jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
Mit diesem Callback-Handler können Sie das LTPA-Sicherheitstoken aus dem Subjekt des RunAs-Aufrufs anfordern. Dieses Token wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Wenn der Benutzername und das Kennwort jedoch in dieser Anzeige angegeben sind, authentifiziert der Anwendungsserver diese beiden Angaben, um das LTPA-Sicherheitstoken anzufordern. Verwenden Sie diesen Callback-Handler nur, wenn der Web-Service für den Anwendungsserver die Rolle eines Clients hat. Sie sollten diesen Callback-Handler nicht für einen Java EE-Anwendungsclient verwenden.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
Mit diesem Callback-Handler können Sie das X.509-Zertifikat erstellen, das als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt wird. Für diesen Callback-Handler sind ein Keystore und eine Schlüsseldefinition erforderlich.
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PKCS#7 codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Sie müssen im Zertifikatssammelspeicher eine Liste der entzogenen Zertifikate (CRL, Certificate Revocation List) angeben. Die CRL wird mit dem X.509-Zertifikat im Format PKCS#7 codiert.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PkiPath codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Der Callback-Handler unterstützt keine CRL. Deshalb wird auch kein Zertifikatssammelspeicher benötigt oder verwendet.

Die Callback-Handler-Implementierung ruft das erforderliche Sicherheitstoken ab und übergibt es an den Tokengenerator. Der Tokengenerator fügt das Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht ein. Der Tokengenerator ist gleichzeitig der Plug-in-Punkt für das modular aufgebaute Sicherheitstoken-Framework. Service-Provider können ihre eigene Implementierung bereitstellen. Diese muss jedoch das die Schnittstelle com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verwenden. Die Implementierung des JAAS-Anmeldemoduls (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen bzw. das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).

Zusicherung der Identität verwenden

Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben.

Diese Option gibt an, dass nur die Identität des ursprünglichen Senders erforderlich ist und in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt wird. Bei einem Generator für Benutzernamenstoken sendet der Anwendungsserver beispielsweise nur den Benutzernamen des ursprünglichen Aufrufers. Bei einem X.509-Tokengenerator sendet der Anwendungsserver nur das Originalausstellerzertifikat.

RunAs-ID verwenden

Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben und für die Zusicherung der Identität bei einem untergeordneten Aufruf anstelle der ID des ursprünglich Aufrufenden die RunAs-ID verwenden möchten.

Diese Option ist nur gültig, wenn Sie den Generator für Benutzernamenstoken als Tokengenerator konfiguriert haben.

Benutzer-ID für Basisauthentifizierung

Gibt den Benutzernamen an, der an die Konstruktoren der Callback-Handler-Implementierung übergeben wird.

Der Benutzername und das Kennwort für die Basisauthentifizierung werden verwendet, wenn Sie eine der folgenden von diesem Produkt bereitgestellten Standard-Callback-Handler-Implementierungen auswählen:
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

Diese Implementierungen sind ausführlich im Abschnitt Klassenname des Callback-Handlers beschrieben.

Kennwort für Basisauthentifizierung

Gibt das Kennwort an, das an die Konstruktoren des Callback-Handlers übergeben wird.

Der Keystore und die zugehörige Konfiguration werden verwendet, wenn Sie eine der folgenden von diesem Produkt bereitgestellten Standard-Callback-Handler-Implementierungen auswählen:
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatspfad zu erstellen.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatspfad zu erstellen.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
Der Keystore wird verwendet, um das X.509-Zertifikat abzurufen.

Keystore

Wählen Sie Ohne aus, wenn für diese Konfiguration kein Keystore benötigt wird.

Wählen Sie Vordefinierter Keystore aus, um vordefinierte Keystores mit dem Namen der Keystorekonfiguration auswählen zu können.

Wählen Sie Benutzerdefinierter Keystore aus, wenn Sie benutzerdefinierte Keystores verwenden möchten.

Die folgenden Informationen müssen angegeben werden:

Name der Keystorekonfiguration

Gibt den Namen der Keystorekonfiguration an, die in den Keystoreeinstellungen für sichere Kommunikation definiert ist.

Kennwort für Keystore

Gibt das Kennwort für den Zugriff auf die Keystoredatei an.

Keystorepfad

Gibt die Position der Keystoredatei an.

Verwenden Sie im Pfadnamen ${USER_INSTALL_ROOT}. Diese Variable wird durch den Produktpfad auf Ihrer Maschine ersetzt. Wenn Sie den von dieser Variablen verwendeten Pfad ändern möchten, klicken Sie auf Umgebung > WebSphere-Variablen und anschließend auf USER_INSTALL_ROOT.

Keystoretyp

Gibt den Typ des Keystoredateiformats an.

Für dieses Feld können Sie einen der folgenden Werte auswählen:
JKS
Geben Sie diese Option an, wenn für den Keystore das JKS-Format (Java Keystore Store) verwendet wird.
JCEKS
Geben Sie diese Option an, wenn die Java™ Cryptography Extension im SDK (Software Development Kit) konfiguriert ist. Die Standard-JCE von IBM ist im Anwendungsserver konfiguriert. Diese Option bietet mit der 3DES-Verschlüsselung einen stärkeren Schutz für gespeicherte private Schlüssel.
[z/OS]JCERACFKS
[z/OS]Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
PKCS11KS (PKCS11)
Verwenden Sie diese Option, wenn Ihre Keystoredateien das PKCS#11-Dateiformat verwenden. Keystoredateien, die dieses Format verwenden, können RSA-Schlüssel (Rivest Shamir Adleman) auf der Verschlüsselungshardware enthalten oder Schlüssel chiffrieren, die für die Gewährleistung des Zugriffsschutzes Schlüssel chiffrieren.
PKCS12KS (PKCS12)
Verwenden Sie diese Option, wenn Ihre Keystoredateien das PKCS#12-Dateiformat verwenden.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_callback
Dateiname:uwbs_callback.html