Authentifizierungsverfahren auswählen

Ein Authentifizierungsverfahren definiert Regeln für Sicherheitsinformationen, z. B., ob ein Berechtigungsnachweis an einen anderen Java™-Prozess weitergegeben werden darf, und das Format, in dem Sicherheitsinformationen in Berechtigungsnachweisen und Token gespeichert werden. Sie können die Administrationskonsole nutzen, um ein Authentifizierungsverfahren auszuwählen und zu konfigurieren.

Informationen zu diesem Vorgang

Authentifizierung ist der Prozess, der ermittelt, ob die Identität eines Clients in einem bestimmten Kontext authentisch ist. Ein Client kann entweder ein Benutzer, eine Maschine oder eine Anwendung sein. Ein Authentifizierungsverfahren in WebSphere Application Server arbeitet gewöhnlich eng mit einer Benutzerregistry zusammen. Die Benutzerregistry ist das Repository für Benutzer- und Gruppenkonten, das das Authentifizierungsverfahren bei der Authentifizierung abfragt. Das Authentifizierungsverfahren ist verantwortlich für das Erzeugen eines Berechtigungsnachweises, der die produktinterne Darstellung eines erfolgreich authentifizierten Clientbenutzers ist. Nicht alle Berechtigungsnachweise werden gleich erzeugt. Die Möglichkeiten des Berechtigungsnachweises werden durch den konfigurierten Authentifizierungsmechanismus bestimmt.

WebSphere Application Server bietet drei Authentifizierungsverfahren an, LTPA (Lightweight Third Party Authentication), Kerberos und RSA-Token.

Die Sicherheitsunterstützung für Kerberos als Authentifizierungsverfahren ist in diesem Release von WebSphere Application Server neu hinzugekommen. Kerberos (KRB5) ist ein ausgereiftes, flexibles, offenes und sehr sicheres Netzauthentifizierungsprotokoll. Kerberos umfasst Funktionen für Authentifizierung, gegenseitige Authentifizierung, Integrität und Vertraulichkeit von Nachrichten sowie Delegierungsfeatures. In der Administrationskonsole und in den Dateien sas.client.props, soap.client.props und ipc.client.props wird für Kerberos KRB5 verwendet.

Das Authentifizierungsverfahren mit RSA-Token ist in diesem Release von WebSphere Application Server neu. Es unterstützt das flexible Verwaltungsziel, die Basisprofilkonfigurationen zu bewahren und von einer Sicherheitsperspektive zu trennen. Durch diesen Mechanismus können die von einem Verwaltungsagenten verwalteten Basisprofile verschiedene LTPA-Schlüssel, unterschiedliche Benutzerregistrys und verschiedene Benutzer mit Verwaltungsaufgaben haben.

Anmerkung: Das Authentifizierungsverfahren SWAM (Simple WebSphere Authentication Mechanism) wird in diesem Release nicht mehr unterstützt. SWAM ermöglicht authentifizierte Kommunikation zwischen verschiedenen Servern.

Die Authentifizierung wird für Enterprise-Bean-Clients und Web-Clients benötigt, wenn diese auf geschützte Ressourcen zugreifen. Enterprise-Bean-Clients, wie z. B. ein Servlet oder andere Enterprise-Beans oder reine Clients, senden die Authentifizierungsdaten mit einem der folgenden Protokolle an einen Webanwendungsserver:

  • Common Secure Interoperability Version 2 (CSIv2)
  • [AIX Solaris HP-UX Linux Windows][IBM i]Secure Authentication Service (SAS)
    Anmerkung: SAS wird nur zwischen Servern der Version 6.0.x und Servern früherer Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden sind.
  • [z/OS]Authentifizierungseinstellungen für z/OS Secure Authentication Service (z/SAS)
    Anmerkung: z/SAS wird nur zwischen Servern der Version 6.0.x und früheren Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden wurden.

Web-Clients verwenden das Protokoll HTTP oder HTTPS, um die Authentifizierungsdaten zu senden.

Bei den Authentifizierungsdaten kann es sich um Daten für die Basisauthentifizierung (Benutzer-ID und Kennwort), ein Token mit Berechtigungsnachweis oder ein Clientzertifikat handeln. Die Webauthentifizierung wird vom Webauthentifizierungsmodul durchgeführt.

Die Webauthentifizierung für einen Web-Client können Sie in der Administrationskonsole konfigurieren. Klicken Sie auf Sicherheit > Globale Sicherheit. Erweitern Sie unter "Authentifizierung" den Eintrag Web- und SIP-Sicherheit und klicken Sie auf Allgemeine Einstellungen. Für die Webauthentifizierung gibt es folgende Optionen:
Nur authentifizieren, wenn der URI geschützt ist
Diese Option gibt an, dass der Web-Client nur eine authentifizierte Identität abrufen kann, wenn er auf einen geschützten URI (Uniform Resource Identifier) zugreift. WebSphere Application Server fordert den Web-Client auf, Authentifizierungsdaten anzugeben, wenn der Web-Client auf einen URI zugreift, der durch eine J2EE-Rolle geschützt ist. Diese Standardoption ist auch in früheren Versionen von WebSphere Application Server verfügbar.
Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden
Diese Option gibt an, dass der Web-Client berechtigt ist, die Methoden getRemoteUser, isUserInRole und getUserPrincipal aufzurufen, um von einem geschützten oder nicht geschützten URI eine authentifizierte Identität abzurufen. Beim Zugriff auf einen nicht geschützten URI werden die Authentifizierungsdaten zwar nicht verwendet, sie werden jedoch für eine spätere Verwendung aufbewahrt. Diese Option ist verfügbar, wenn Sie das Kontrollkästchen Nur authentifizieren, wenn der URI geschützt ist ausgewählt haben.
Beim Zugriff auf jeden URI authentifizieren
Diese Option gibt an, dass der Web-Client in jedem Fall Authentifizierungsdaten bereitstellen muss, unabhängig davon, ob der URI geschützt oder ungeschützt ist.
Standardmäßig auf Basisauthentifizierung zurückgreifen, wenn die Zertifikatsauthentifizierung für den HTTPS-Client fehlschlägt
Diese Option gibt an, dass WebSphere Application Server vom Web-Client eine Benutzer-ID und ein Kennwort anfordert, wenn die erforderliche Authentifizierung mit HTTPS-Clientzertifikat fehlschlägt.

Die EJB-Authentifizierung wird vom EJB-Authentifizierungsmodul ausgeführt.

[AIX Solaris HP-UX Linux Windows][IBM i]Das EJB-Authentifizierungsmodul befindet sich in der CSIv2- und SAS-Schicht.

[z/OS]Das EJB-Authentifizierungsmodul befindet sich in der CSIv2- und z/SAS-Schicht.

Das Authentifizierungsmodul wird mit dem JAAS-Anmeldemodul (Java Authentication and Authorization Service) implementiert. Der Webauthentifikator und der EJB-Authentifikator übergeben die Authentifizierungsdaten an das Anmeldemodul, das die folgenden Mechanismen für die Authentifizierung der Daten verwenden kann:

  • Kerberos
  • LTPA
  • RSA-Token
  • [z/OS]Simple WebSphere Authentication Mechanism (SWAM)
    Anmerkung: SWAM wird in WebSphere Application Server Version 6.1 nicht mehr unterstützt und wird in einem der künftigen Releases nicht mehr enthalten sein.
Das Authentifizierungsmodul verwendet zum Durchführen der Authentifizierung die Registry, die im System konfiguriert ist. Es werden vier Registry-Typen unterstützt:
  • Eingebundene Repositorys
  • Lokales Betriebssystem
  • Eigenständige LDAP-Registry (Lightweight Directory Access Protocol)
  • Eigenständige angepasste Registry

Eine externe Registry-Implementierung, die der von IBM® vorgegebenen Registry-Schnittstelle entspricht, kann eine LocalOS- oder LDAP-Registry ersetzen.

Das Anmeldemodul erstellt nach der Authentifizierung ein JAAS-Subject und speichert den Berechtigungsnachweis, der aus den Authentifizierungsdaten abgeleitet wurde, in der Liste der öffentlichen Berechtigungsnachweise des Subject. Der Berechtigungsnachweis wird an den Webauthentifikator oder den EJB-Authentifikator zurückgegeben.

[AIX Solaris HP-UX Linux Windows][IBM i]Der Webauthentifikator und der EJB-Authentifikator speichern die empfangenen Berechtigungsnachweise im aktuellen ORB-Objekt (Object Request Broker), damit der Berechtigungsservice sie für weitere Überprüfungen der Zugriffssteuerung verwenden kann. Falls die Berechtigungsnachweise weitergeleitet werden können, werden Sie an andere Anwendungsserver gesendet.

[z/OS]Der Webauthentifikator und der EJB-Authentifikator speichern die empfangenen Berechtigungsnachweise, damit der Berechtigungsservice sie für weitere Überprüfungen der Zugriffssteuerung verwenden kann.

In der Administrationskonsole können Sie wie folgt Authentifizierungsverfahren konfigurieren:

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Wählen Sie unter "Authentifizierungsverfahren und Verfallszeit" das Authentifizierungsverfahren aus, das konfiguriert werden soll.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_aumech
Dateiname:tsec_aumech.html