Allgemeine Beispielbindungen für JAX-WS-Anwendungen
Zu Testzwecken können Sie in der Administrationskonsole Beispielbindungen verwenden. Die Konfigurationen, die Sie festlegen, werden auf der Zellen- oder Serverebene reflektiert.
WebSphere Application Server Version 7.0 enthält Provider- und Clientbeispielbindungen für Testzwecke. In den Bindungen stellt das Produkt Beispielwerte für die Unterstützung von Token unterschiedlichen Typs bereit, z. B. X.509-Token, Benutzrnamenstoken, LTPA-Token und Kerberbos-Token. Die Bindungen enthalten auch Beispielwerte für Nachrichtenschutzinformationen für Tokentypen wie X.509 und SecureConversion (sicherer Datenaustausch). Es können sowohl Provider- als auch Clientbeispielbindungen auf die einem Systemrichtliniensatz oder Anwendungsrichtliniensatz zugeordneten Anwendungen aus dem lokalen Standardrepository angewendet werden.
Verwenden Sie diese Provider- und Clientbeispielbindungen in ihrem Standardzustand nicht in Produktionsumgebungen. Sie müssen diese Bindungen an Ihre Sicherheitsanforderungen anpassen, bevor Sie sie in einer Produktionsumgebung verwenden. Dazu erstellen Sie eine Kopie der Bindungen und nehmen dann an der Kopie die erforderlichen Änderungen vor. Für die Gewährleistung der Sicherheit müssen Sie beispielsweise die Schlüssel- und Keystore-Einstellungen ändern und die Bindungseinstellungen an Ihre Umgebung anpassen.

- Standardbindungen auf Serverebene
- Standardbindungen auf Sicherheitsdomänenebene
- Standardbindungen auf globaler Sicherheitsebene (Zelle)
Allgemeine Clientbeispielbindungen
- Die Beispielkonfiguration für die Generierung von Signaturdaten hat den Namen
asymmetric-signingInfoRequest und enthält die folgende Konfiguration:
- Referenzen auf die Signierschlüsseldaten gen_signkeyinfo.
- Abschnittsreferenzkonfiguration, die die Umsetzungskonfiguration mit dem Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# enthält.
- Signierschlüsseldaten gen_signkeyinfo, die die folgende Konfiguration enthalten:
- Sicherheitstokenreferenz
- Generator für asymmetrische Signatur für Zugriffsschutztoken mit dem Namen gen_signx509token:
- Enthält den Tokentyp X.509 V3 Token v1.0.
- Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.generate.x509.
- X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore
unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsigsender.ks mit den folgenden Eigenschaften auf:
- Keystore-Typ: JKS
- Keystore-Kennwort: client
- Der Aliasname des anerkannten Zertifikats ist soapca.
- Aliasname des persönlichen Zertifikats: soaprequester
- Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
- Signaturmethode http://www.w3.org/2000/09/xmldsig#rsa-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für die Generierung von Signaturdaten hat den Namen
symmetric-signingInfoRequest und enthält die folgende Konfiguration:
- Referenzen auf die Signierschlüsseldaten gen_signsctkeyinfo.
- Abschnittsreferenzkonfiguration, die die Umsetzungskonfiguration mit dem Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# enthält.
- Signierschlüsseldaten gen_signsctkeyinfo, die die folgende Konfiguration enthalten:
- Sicherheitstokenreferenz
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Generator für Zugriffsschutztoken mit dem Namen gen_scttoken:
- Enthält den Tokentyp Secure Conversation Token Version 1.3.
- Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.generate.sct.
- WS-Trust-Callback-Handler
- Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen asymmetric-encryptionInfoRequest und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten gen_enckeyinfo
- Chiffrierschlüsseldaten mit dem Namen gen_enckeyinfo, die die folgende Konfiguration enthalten:
- Schlüsselkennung
- Generator für asymmetrische Veschlüsselung für Zugriffsschutztoken mit dem Namen gen_encx509token:
- Keystore-Typ: JCEKS
- Keystore-Kennwort: client
- Aliasname des anerkannten Zertifikats: soapca
- Aliasname des persönlichen Zertifikats: bob
- Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
- X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks auf.
- Schlüsselverschlüsselungsverfahren: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen symmetric-encryptionInfoRequest und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten gen_encsctkeyinfo
- Chiffrierschlüsseldaten gen_encsctkeyinfo, die die folgende Konfiguration enthalten:
- Sicherheitstokenreferenz
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Generator für Zugriffsschutztoken gen_scttoken, der die folgende Konfiguration enthält:
- Enthält den Tokentyp Secure Conversation Token v1.3.
- Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.generate.sct.
- WS-Trust-Callback-Handler
- Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
- Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen asymmetric-signingInfoResponse und enthält die folgende Konfiguration:
- Referenzen auf die Signierschlüsseldaten con_signkeyinfo.
- Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
- Signierschlüsseldaten mit dem Namen con_signkeyinfo, die die folgende Konfiguration enthalten:
- Konsument für asymmetrische Signatur für Zugriffsschutztoken mit dem Namen con_signx509token:
- Enthält den Tokentyp X.509 V3 Token v1.0.
- Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.consume.x509.
- X.509-Callback-Handler:
- Verweist auf einen Zertifikatsspeicher mit dem Namen DigSigCertStore.
- Verweist auf einen Trust-Anchor-Speicher mit dem Namen DigSigTrustAnchor.
- Konsument für asymmetrische Signatur für Zugriffsschutztoken mit dem Namen con_signx509token:
- Signaturmethode http://www.w3.org/2000/09/xmldsig#rsa-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen symmetric-signingInfoResponse und enthält die folgende Konfiguration:
- Referenzen auf die Signierschlüsseldaten con_sctsignkeyinfo.
- Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
- Signierschlüsseldaten mit dem Namen con_sctsignkeyinfo, die die folgende Konfiguration enthalten:
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Konsument für Zugriffsschutztoken mit dem Namen con_scttoken:
- Enthält den Tokentyp Secure Conversation Token v1.3.
- Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.consume.sct.
- WS-SecureConversation-Callback-Handler
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen asymmetric-encryptionInfoResponse und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten dec_keyinfo
- Chiffrierschlüsseldaten mit dem Namen dec_keyinfo, die die folgende Konfiguration enthalten:
- Konsument für asymmetrische Veschlüsselung für Zugriffsschutztoken mit dem Namen con_encx509token:
- Enthält den Tokentyp X.509 V3 Token v1.0.
- Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.consume.x509.
- X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore
unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks mit den folgenden Eigenschaften auf:
- Keystore-Typ: JCEKS
- Keystore-Kennwort: client
- Der Aliasname des anerkannten Zertifikats ist soapca.
- Aliasname des persönlichen Zertifikats: alice
- Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
- Konsument für asymmetrische Veschlüsselung für Zugriffsschutztoken mit dem Namen con_encx509token:
- Schlüsselverschlüsselungsverfahren: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen symmetric-encryptionInfoResponse und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten dec_sctkeyinfo
- Chiffrierschlüsseldaten mit dem Namen dec_sctkeyinfo, die die folgende Konfiguration enthalten:
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Konsument für Zugriffsschutztoken mit dem Namen con_scttoken:
- Enthält den Tokentyp Secure Conversation Token v1.3.
- Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.consume.sct.
- WS-SecureConversation-Callback-Handler
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
- Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_signkrb5token und enthält die folgende Konfiguration:
- Angepasster Tokentyp für das Kerberos-v5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
- JAAS-Anmeldung wss.generate.KRB5BST
- Folgende angepasste Eigenschaften:
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceName, der Name des Kerberos-Zielservice
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost, der Hostname, der dem Namen des Kerberos-Zielservice zugeordnet ist
Sie müssen die korrekten Werte für Ihre Umgebung angeben, bevor Sie diese Konfiguration verwenden.
- Callback-Handler für angepasste Kerberos-Token. Sie müssen die korrekten Werte für Principal und Kennwort des Kerberos-Clients angeben.
- Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_signltpaproptoken und enthält die folgende Konfiguration:
- Tokentyp LTPA-Weitergabetoken:
- Enthält LTPA_PROPAGATION als lokalen Abschnittswert.
- Enthält http://www.ibm.com/websphere/appserver/tokentype als Wert für den Namespace-URI.
- Enthält die JAAS-Anmeldung wss.generate.ltpaProp.
- Verwendet den Callback-Handler für LTPA-Token.
- Tokentyp LTPA-Weitergabetoken:
- Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_signltpatoken und enthält die folgende Konfiguration:
- Tokentyp LTPA Token v2.0:
- Enthält LTPA_PROPAGATION als lokalen Abschnittswert.
- Enthält http://www.ibm.com/websphere/appserver/tokentype als Wert für den Namespace-URI.
- JAAS-Anmeldung wss.generate.ltpa
- Callback-Handler für LTPA-Token
- Tokentyp LTPA Token v2.0:
- Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_signunametoken und enthält die folgende Konfiguration:
- Tokentyp Username Token v1.0, der http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken als lokalen Abschnittswert verwendet
- JAAS-Anmeldung wss.generate.unt
- Callback-Handler für Benutzernamenstoken:
- Enthält Felder für die Basisauthentifizierung. Sie müssen die korrekten Werte für Client-Principal und Clientkennwort für Ihre Umgebung angeben.
- Enthält die folgenden angepassten Eigenschaften:
- com.ibm.wsspi.wssecurity.token.username.addNonce für das Hinzufügen des Nonce-Wertes
- com.ibm.wsspi.wssecurity.token.username.addTimestamp für das Hinzufügen des Zeitmarkenwerts
Clientbeispielbindungen der Version 2
Die beiden neuen allgemeinen Beispielbindungen, Client sample V2 und Provider sample V2, wurden dem Produkt hinzugefügt. Während viele Konfigurationen dieselben wie in den früheren Versionen der Client- und Providerbeispielbindungen sind, gibt es verschiedene zusätzliche, neue Beispielkonfigurationen. Zur Verwendung dieser neuen Bindungen erstellen Sie nach der Installation des Produkts ein neues Profil. Weitere Informationen finden Sie im Artikel "Kerberos-Richtliniensätze und allgemeine Beispielbindungen der Version 2 konfigurieren".
- Die Beispielkonfiguration für die Generierung von Signaturdaten, symmetric-KrbsignInfoRequest,
enthält die folgende Konfiguration:
- Referenzen auf die gen_reqKRBsignkeyinfo-Signierschlüsseldaten
- Abschnittsreferenzkonfiguration, die die Umsetzungskonfiguration mit dem Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# enthält
- Signierschlüsseldaten gen_reqKRBsignkeyinfo, die die folgende Konfiguration enthalten:
- Sicherheitstokenreferenz
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Generator für Zugriffsschutztoken mit dem Namen gen_krb5token:
- Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
- Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
- JAAS-Anmeldung wss.generate.KRB5BST
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
- Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen symmetric-KrbEncInfoRequest und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten gen_reqKRBenckeyinfo
- Chiffrierschlüsseldaten gen_reqKRBenckeyinfo, die die folgende Konfiguration enthalten:
- Sicherheitstokenreferenz
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Generator für Zugriffsschutztoken gen_krb5token, der die folgende Konfiguration enthält:
- Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
- Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
- JAAS-Anmeldung wss.generate.KRB5BST
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
- Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
- Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen
symmetric-KrbsignInfoResponse und enthält die folgende Konfiguration:
- Referenzen auf die Signierschlüsseldaten con_respKRBsignkeyinfo.
- Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
- Signierschlüsseldaten mit dem Namen con_respKRBsignkeyinfo, die die folgende Konfiguration enthalten:
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Konsument für Zugriffsschutztoken mit dem Namen con_krb5token:
- Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
- Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
- JAAS-Anmeldung wss.consume.KRB5BST
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen symmetric-KrbEncInfoResponse und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten con_respKRBenckeyinfo
- Chiffrierschlüsseldaten mit dem Namen con_respKRBenckeyinfo, die die folgende Konfiguration enthalten:
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Konsument für Zugriffsschutztoken mit dem Namen con_krb5token:
- Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
- Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
- JAAS-Anmeldung wss.consume.KRB5BST
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
- Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_krb5token und enthält die folgende Konfiguration:
- Angepasster Tokentyp für das Kerberos-V5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
- JAAS-Anmeldung wss.generate.KRB5BST
- Folgende angepasste Eigenschaften:
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceName, der Name des Ziel-Kerberos-Service
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost, der Hostname, der dem Ziel-Kerberos-Service zugeordnet ist
Anmerkung: Sie müssen die korrekten Werte für Ihre Umgebung angeben, bevor Sie diese Konfiguration verwenden.
- Callback-Handler für angepasste Kerberos-Token. Anmerkung: Sie müssen die korrekten Werte für Principal und Kennwort des Kerberos-Clients angeben.
- Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen con_krb5token und
enthält die folgende Konfiguration:
- Angepasster Tokentyp für das Kerberos-V5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
- JAAS-Anmeldung wss.consume.KRB5BST
- Callback-Handler für angepasste Kerberos-Token.
Allgemeine Providerbeispielbindungen
- Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen
asymmetric-signingInfoRequest und enthält die folgende Konfiguration:
- Referenzen auf die Signierschlüsseldaten con_signkeyinfo.
- Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
- Signierschlüsseldaten mit dem Namen con_signkeyinfo, die die folgende Konfiguration enthalten:
- Konsument für asymmetrische Signatur für Zugriffsschutztoken mit dem Namen con_signx509token:
- Enthält den Tokentyp X.509 V3 Token v1.0.
- Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.consume.x509.
- X.509-Callback-Handler:
- Verweist auf einen Zertifikatsspeicher mit dem Namen DigSigCertStore.
- Verweist auf einen Trust-Anchor-Speicher mit dem Namen DigSigTrustAnchor.
- Konsument für asymmetrische Signatur für Zugriffsschutztoken mit dem Namen con_signx509token:
- Signaturmethode http://www.w3.org/2000/09/xmldsig#rsa-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen symmetric-signingInfoRequest und enthält die folgende Konfiguration:
- Referenzen auf die Signierschlüsseldaten con_sctsignkeyinfo.
- Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
- Signierschlüsseldaten mit dem Namen con_sctsignkeyinfo, die die folgende Konfiguration enthalten:
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Generator für Zugriffsschutztoken mit dem Namen con_scttoken:
- Enthält den Tokentyp Secure Conversation Token v1.3.
- Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.consume.sct.
- WS-SecureConversation-Callback-Handler
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen asymmetric-encryptionInfoRequest und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten dec_keyinfo
- Chiffrierschlüsseldaten mit dem Namen dec_keyinfo, die die folgende Konfiguration enthalten:
- Konsument für asymmetrische Veschlüsselung für Zugriffsschutztoken mit dem Namen con_encx509token:
- Enthält den Tokentyp X.509 V3 Token v1.0.
- Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.consume.x509.
- X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore
unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks mit den folgenden Eigenschaften auf:
- Keystore-Typ: JCEKS
- Keystore-Kennwort: client
- Der Aliasname des anerkannten Zertifikats ist soapca.
- Aliasname des persönlichen Zertifikats: bob
- Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
- Konsument für asymmetrische Veschlüsselung für Zugriffsschutztoken mit dem Namen con_encx509token:
- Schlüsselverschlüsselungsverfahren: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen symmetric-encryptionInfoRequest und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten dec_sctkeyinfo
- Chiffrierschlüsseldaten mit dem Namen dec_sctkeyinfo, die die folgende Konfiguration enthalten:
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Konsument für Zugriffsschutztoken mit dem Namen con_scttoken:
- Enthält den Tokentyp Secure Conversation Token v1.3.
- Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.consume.sct.
- WS-SecureConversation-Callback-Handler
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
- Die Beispielkonfiguration für die Generierung von Signaturdaten hat den Namen
asymmetric-signingInfoResponse und enthält die folgende Konfiguration:
- Referenzen auf die Signierschlüsseldaten gen_signkeyinfo.
- Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
- Signierschlüsseldaten mit dem Namen gen_signkeyinfo, die die folgende Konfiguration enthalten:
- Sicherheitstokenreferenz
- Generator für asymmetrische Signatur für Zugriffsschutztoken mit dem Namen gen_signx509token:
- Enthält den Tokentyp X.509 V3 Token v1.0.
- Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.generate.x509.
- X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore
unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks mit den folgenden Eigenschaften auf:
- Keystore-Typ: JKS
- Keystore-Kennwort: client
- Der Aliasname des anerkannten Zertifikats ist soapca.
- Aliasname des persönlichen Zertifikats: soapprovider
- Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
- Signaturmethode http://www.w3.org/2000/09/xmldsig#rsa-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für die Generierung von Signaturdaten hat den Namen symmetric-signingInfoResponse und enthält die folgende Konfiguration:
- Referenzen auf die Signierschlüsseldaten gen_signsctkeyinfo.
- Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
- Signierschlüsseldaten mit dem Namen gen_signsctkeyinfo, die die folgende Konfiguration enthalten:
- Sicherheitstokenreferenz
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Generator für Zugriffsschutztoken mit dem Namen gen_scttoken:
- Enthält den Tokentyp Secure Conversation Token v1.3.
- Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.generate.sct.
- WS-Trust-Callback-Handler
- Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen asymmetric-encryptionInfoResponse und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten gen_enckeyinfo
- Chiffrierschlüsseldaten mit dem Namen gen_enckeyinfo, die die folgende Konfiguration enthalten:
- Schlüsselkennung
- Generator für asymmetrische Veschlüsselung für Zugriffsschutztoken mit dem Namen gen_encx509token:
- Enthält den Tokentyp X.509 V3 Token v1.0.
- Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.generate.x509.
- Verwendet den X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore
unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks mit den folgenden Eigenschaften auf:
- Keystore-Typ: JCEKS
- Keystore-Kennwort: client
- Der Aliasname des anerkannten Zertifikats ist soapca.
- Aliasname des persönlichen Zertifikats: alice
- Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
- Schlüsselverschlüsselungsverfahren: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen symmetric-encryptionInfoResponse und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten gen_encsctkeyinfo
- Chiffrierschlüsseldaten mit dem Namen gen_encsctkeyinfo, die die folgende Konfiguration enthalten:
- Sicherheitstokenreferenz
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Generator für Zugriffsschutztoken mit dem Namen gen_scttoken:
- Enthält den Tokentyp Secure Conversation Token v1.3.
- Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
- Enthält die JAAS-Anmeldung wss.generate.sct.
- WS-Trust-Callback-Handler
- Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
- Die Beispielkonfiguration für den Konsum von Authentifizierungstoken hat den Namen con_krb5token und enthält die folgende Konfiguration:
- Angepasster Tokentyp für das Kerberos-v5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
- JAAS-Anmeldung wss.consume.KRB5BST
- Callback-Handler für angepasste Kerberos-Token.
- Die Beispielkonfiguration für den Konsum von Authentifizierungstoken hat den Namen con_ltpaproptoken und enthält die folgende Konfiguration:
- Tokentyp LTPA-Weitergabetoken
- JAAS-Anmeldung wss.consume.ltpaProp
- Callback-Handler für LTPA-Token
- Die Beispielkonfiguration für den Konsum von Authentifizierungstoken hat den Namen con_ltpatoken und enthält die folgende Konfiguration:
- Tokentyp LTPA Token v2.0 mit den folgenden Eigenschaften:
- Enthält LTPAv2 als lokalen Abschnittswert.
- Enthält http://www.ibm.com/websphere/appserver/tokentype als Wert für den Namespace-URI.
- JAAS-Anmeldung wss.consume.ltpa
- Callback-Handler für LTPA-Token
- Tokentyp LTPA Token v2.0 mit den folgenden Eigenschaften:
- Die Beispielkonfiguration für den Konsum von Authentifizierungstoken hat den Namen con_unametoken und enthält die folgende Konfiguration:
- Tokentyp Username Token v1.0, der http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken als lokalen Abschnittswert enthält.
- JAAS-Anmeldung wss.consume.unt
- Callback-Handler für Benutzernamenstoken mit den folgenden angepassten Eigenschaften:
- com.ibm.wsspi.wssecurity.token.username.verifyNonce für die Prüfung des Nonce-Werts
- com.ibm.wsspi.wssecurity.token.username.verifyTimestamp für die Prüfung des Zeitmarkenwerts
Providerbeispielbindungen der Version 2
Die beiden neuen allgemeinen Beispielbindungen, Client sample V2 und Provider sample V2, wurden dem Produkt hinzugefügt. Während viele Konfigurationen dieselben wie in den früheren Versionen der Client- und Providerbeispielbindungen sind, gibt es verschiedene zusätzliche, neue Beispielkonfigurationen. Zur Verwendung dieser neuen Bindungen erstellen Sie nach der Installation des Produkts ein neues Profil. Weitere Informationen finden Sie im Artikel "Kerberos-Richtliniensätze und allgemeine Beispielbindungen der Version 2 konfigurieren".
- Die Beispielkonfiguration für die Generierung von Signaturdaten, symmetric-KrbsignInfoRequest,
enthält die folgende Konfiguration:
- Referenzen auf die Signierschlüsseldaten con_respKRBsignkeyinfo.
- Abschnittsreferenzkonfiguration, die die Umsetzungskonfiguration mit dem Algorithmus http://www.w3.org/2001/10/xml-exc-c14n#algorithm enthält.
- Signierschlüsseldaten con_respKRBsignkeyinfo, die die folgende Konfiguration enthalten:
- Sicherheitstokenreferenz
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Konsument für Zugriffsschutztoken mit dem Namen con_krb5token:
- Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
- Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
- JAAS-Anmeldung wss.consume.KRB5BST
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
- Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen symmetric-KrbEncInfoRequest und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten con_reqKRBenckeyinfo
- Chiffrierschlüsseldaten con_reqKRBenckeyinfo, die die folgende Konfiguration enthalten:
- Sicherheitstokenreferenz
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Konsument für Zugriffsschutztoken con_krb5token, der die folgende Konfiguration enthält:
- Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
- Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
- JAAS-Anmeldung wss.consume.KRB5BST
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
- Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
- Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen
symmetric-KrbsignInfoResponse und enthält die folgende Konfiguration:
- Referenzen auf die gen_respKRBsignkeyinfo-Signierschlüsseldaten
- Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
- Signierschlüsseldaten mit dem Namen gen_respKRBsignkeyinfo, die die folgende Konfiguration enthalten:
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Generator für Zugriffsschutztoken mit dem Namen gen_krb5token:
- Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
- Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
- JAAS-Anmeldung wss.generate.KRB5BST
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
- Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
- Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen symmetric-KrbEncInfoResponse und enthält die folgende Konfiguration:
- Referenz auf die Chiffrierschlüsseldaten gen_respKRBenckeyinfo
- Chiffrierschlüsseldaten mit dem Namen gen_respKRBenckeyinfo, die die folgende Konfiguration enthalten:
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Explizit abgeleitetes Schlüsseltoken
- WS-SecureConversation als Clientkennsatz
- WS-SecureConversation als Servicekennsatz
- Schlüssellänge von 16 Bytes
- Nonce-Länge von 16 Bytes
- Generator für Zugriffsschutztoken mit dem Namen gen_krb5token:
- Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
- Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
- JAAS-Anmeldung wss.generate.KRB5BST
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
- Abgeleiteter Schlüssel mit folgenden Eigenschaften:
- Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
- Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_krb5token und enthält die folgende Konfiguration:
- Angepasster Tokentyp für das Kerberos-V5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
- JAAS-Anmeldung wss.generate.KRB5BST
- Callback-Handler für angepasste Kerberos-Token.
- Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen con_krb5token und
enthält die folgende Konfiguration:
- Angepasster Tokentyp für das Kerberos-V5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
- JAAS-Anmeldung wss.consume.KRB5BST
- Callback-Handler für angepasste Kerberos-Token.