Authentifizierungsverfahren auswählen
Ein Authentifizierungsverfahren definiert Regeln für Sicherheitsinformationen, z. B., ob ein Berechtigungsnachweis an einen anderen Java™-Prozess weitergegeben werden darf, und das Format, in dem Sicherheitsinformationen in Berechtigungsnachweisen und Token gespeichert werden. Sie können die Administrationskonsole nutzen, um ein Authentifizierungsverfahren auszuwählen und zu konfigurieren.
Informationen zu diesem Vorgang
Authentifizierung ist der Prozess, der ermittelt, ob die Identität eines Clients in einem bestimmten Kontext authentisch ist. Ein Client kann entweder ein Benutzer, eine Maschine oder eine Anwendung sein. Ein Authentifizierungsverfahren in WebSphere Application Server arbeitet gewöhnlich eng mit einer Benutzerregistry zusammen. Die Benutzerregistry ist das Repository für Benutzer- und Gruppenkonten, das das Authentifizierungsverfahren bei der Authentifizierung abfragt. Das Authentifizierungsverfahren ist verantwortlich für das Erzeugen eines Berechtigungsnachweises, der die produktinterne Darstellung eines erfolgreich authentifizierten Clientbenutzers ist. Nicht alle Berechtigungsnachweise werden gleich erzeugt. Die Möglichkeiten des Berechtigungsnachweises werden durch den konfigurierten Authentifizierungsmechanismus bestimmt.
WebSphere Application Server bietet drei Authentifizierungsverfahren an, LTPA (Lightweight Third Party Authentication), Kerberos und RSA-Token.
Die Sicherheitsunterstützung für Kerberos als Authentifizierungsverfahren ist in diesem Release von WebSphere Application Server neu hinzugekommen. Kerberos (KRB5) ist ein ausgereiftes, flexibles, offenes und sehr sicheres Netzauthentifizierungsprotokoll. Kerberos umfasst Funktionen für Authentifizierung, gegenseitige Authentifizierung, Integrität und Vertraulichkeit von Nachrichten sowie Delegierungsfeatures. In der Administrationskonsole und in den Dateien sas.client.props, soap.client.props und ipc.client.props wird für Kerberos KRB5 verwendet.
Das Authentifizierungsverfahren mit RSA-Token ist in diesem Release von WebSphere Application Server neu. Es unterstützt das flexible Verwaltungsziel, die Basisprofilkonfigurationen zu bewahren und von einer Sicherheitsperspektive zu trennen. Durch diesen Mechanismus können die von einem Verwaltungsagenten verwalteten Basisprofile verschiedene LTPA-Schlüssel, unterschiedliche Benutzerregistrys und verschiedene Benutzer mit Verwaltungsaufgaben haben.
Die Authentifizierung wird für Enterprise-Bean-Clients und Web-Clients benötigt, wenn diese auf geschützte Ressourcen zugreifen. Enterprise-Bean-Clients, wie z. B. ein Servlet oder andere Enterprise-Beans oder reine Clients, senden die Authentifizierungsdaten mit einem der folgenden Protokolle an einen Webanwendungsserver:
- Common Secure Interoperability Version 2 (CSIv2)
Secure Authentication Service (SAS)
Anmerkung: SAS wird nur zwischen Servern der Version 6.0.x und Servern früherer Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden sind.Authentifizierungseinstellungen für z/OS Secure Authentication Service (z/SAS)
Anmerkung: z/SAS wird nur zwischen Servern der Version 6.0.x und früheren Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden wurden.
Web-Clients verwenden das Protokoll HTTP oder HTTPS, um die Authentifizierungsdaten zu senden.
Bei den Authentifizierungsdaten kann es sich um Daten für die Basisauthentifizierung (Benutzer-ID und Kennwort), ein Token mit Berechtigungsnachweis oder ein Clientzertifikat handeln. Die Webauthentifizierung wird vom Webauthentifizierungsmodul durchgeführt.
- Nur authentifizieren, wenn der URI geschützt ist
- Diese Option gibt an, dass der Web-Client nur eine authentifizierte Identität abrufen kann, wenn er auf einen geschützten URI (Uniform Resource Identifier) zugreift. WebSphere Application Server fordert den Web-Client auf, Authentifizierungsdaten anzugeben, wenn der Web-Client auf einen URI zugreift, der durch eine J2EE-Rolle geschützt ist. Diese Standardoption ist auch in früheren Versionen von WebSphere Application Server verfügbar.
- Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden
- Diese Option gibt an, dass der Web-Client berechtigt ist, die Methoden getRemoteUser, isUserInRole und getUserPrincipal aufzurufen, um von einem geschützten oder nicht geschützten URI eine authentifizierte Identität abzurufen. Beim Zugriff auf einen nicht geschützten URI werden die Authentifizierungsdaten zwar nicht verwendet, sie werden jedoch für eine spätere Verwendung aufbewahrt. Diese Option ist verfügbar, wenn Sie das Kontrollkästchen Nur authentifizieren, wenn der URI geschützt ist ausgewählt haben.
- Beim Zugriff auf jeden URI authentifizieren
- Diese Option gibt an, dass der Web-Client in jedem Fall Authentifizierungsdaten bereitstellen muss, unabhängig davon, ob der URI geschützt oder ungeschützt ist.
- Standardmäßig auf Basisauthentifizierung zurückgreifen, wenn die Zertifikatsauthentifizierung für den HTTPS-Client fehlschlägt
- Diese Option gibt an, dass WebSphere Application Server vom Web-Client eine Benutzer-ID und ein Kennwort anfordert, wenn die erforderliche Authentifizierung mit HTTPS-Clientzertifikat fehlschlägt.
Die EJB-Authentifizierung wird vom EJB-Authentifizierungsmodul ausgeführt.
Das EJB-Authentifizierungsmodul befindet sich in der CSIv2- und SAS-Schicht.
Das EJB-Authentifizierungsmodul befindet sich in der CSIv2- und z/SAS-Schicht.
Das Authentifizierungsmodul wird mit dem JAAS-Anmeldemodul (Java Authentication and Authorization Service) implementiert. Der Webauthentifikator und der EJB-Authentifikator übergeben die Authentifizierungsdaten an das Anmeldemodul, das die folgenden Mechanismen für die Authentifizierung der Daten verwenden kann:
- Kerberos
- LTPA
- RSA-Token
Simple WebSphere Authentication Mechanism (SWAM)
Anmerkung: SWAM wird in WebSphere Application Server Version 6.1 nicht mehr unterstützt und wird in einem der künftigen Releases nicht mehr enthalten sein.
- Eingebundene Repositorys
- Lokales Betriebssystem
- Eigenständige LDAP-Registry (Lightweight Directory Access Protocol)
- Eigenständige angepasste Registry
Eine externe Registry-Implementierung, die der von IBM® vorgegebenen Registry-Schnittstelle entspricht, kann eine LocalOS- oder LDAP-Registry ersetzen.
Das Anmeldemodul erstellt nach der Authentifizierung ein JAAS-Subject und speichert den Berechtigungsnachweis, der aus den Authentifizierungsdaten abgeleitet wurde, in der Liste der öffentlichen Berechtigungsnachweise des Subject. Der Berechtigungsnachweis wird an den Webauthentifikator oder den EJB-Authentifikator zurückgegeben.
Der
Webauthentifikator und der EJB-Authentifikator speichern die empfangenen Berechtigungsnachweise
im aktuellen ORB-Objekt (Object Request Broker), damit der Berechtigungsservice sie für weitere Überprüfungen der Zugriffssteuerung verwenden
kann. Falls die Berechtigungsnachweise weitergeleitet werden können, werden Sie an andere Anwendungsserver gesendet.
Der
Webauthentifikator
und der EJB-Authentifikator speichern die empfangenen Berechtigungsnachweise, damit
der Berechtigungsservice sie für weitere Überprüfungen der Zugriffssteuerung verwenden kann.
In der Administrationskonsole können Sie wie folgt Authentifizierungsverfahren konfigurieren:
Vorgehensweise
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Wählen Sie unter "Authentifizierungsverfahren und Verfallszeit" das Authentifizierungsverfahren aus, das konfiguriert werden soll.