Eigenschaften für WSSecurity-Richtlinien und -Bindungen

Verwenden Sie den Parameter attributes für die Befehle "setPolicyType" und "setBinding", um zusätzliche Konfigurationsdaten für die WSSecurity-Richtlinien- und -Bindungskonfigurationen anzugeben. Anwendungs- und Systemrichtliniensätze können die WSSecurity-Richtlinien- und -Bindungskonfiguration verwenden.

Bevor Sie die in diesem Artikel beschriebenen Befehle verwenden, sollten Sie sich vergewissern, dass Sie die aktuelle Version des Tools wsadmin verwenden. Die Verwaltungsbefehle für Richtliniensätze, die ein Eigenschaftenobjekt als Wert für die Parameter attributes und bindingLocation akzeptieren, werden in früheren Versionen des Tools wsadmin nicht unterstützt. Diese Beispiele können beispielsweise nicht auf einem Knoten der Version 6.1.0.x ausgeführt werden.

Verwenden Sie die folgenden Befehle und Parameter aus der Gruppe "PolicySetManagement" des Objekts "AdminTask", um Ihre Richtliniensatzkonfiguration anzupassen.
  • Verwenden Sie den Parameter -attributes für die Befehle "getPolicyType" und "getBinding", um die Eigenschaften Ihrer Richtlinien- und Bindungskonfiguration anzuzeigen. Wenn Sie ein Attribut abrufen möchten, übergeben Sie den Eigenschaftsnamen an den Befehl "getPolicyType" bzw. "getBinding".
  • Verwenden Sie den Parameter -attributes für die Befehle "setPolicyType" und "setBinding", wenn Sie Eigenschaften in Ihren Richtlinien- und Bindungskonfigurationen hinzufügen, aktualisieren oder entfernen möchten. Zum Hinzufügen oder Aktualisieren eines Attributs geben Sie den Eigenschaftsnamen und den Eigenschaftswert an. Die Befehle "setPolicyType" und "setBinding" aktualisieren den Wert, wenn das Attribut vorhanden ist, bzw. fügen Attribut und Wert hinzu, falls das Attribut nicht vorhanden ist. Wenn Sie ein Attribut entfernen möchten, geben Sie für den Wert eine leere Zeichenfolge ("") an. Der Parameter -attributes akzeptiert ein Eigenschaftenobjekt.
Anmerkung: Wenn ein mit dem Parameter -attributes angegebener Eigenschaftsname oder -wert nicht gültig ist, schlagen die Befehle "setPolicyType" und "setBinding" mit einer Ausnahme fehl. Die nicht gültige Eigenschaft wird in einer Fehlernachricht oder Warnung in der Datei SystemOut.log protokolliert. Die Ausnahme zum Befehl enthält möglicherweise keine detaillierten Informationen zu der Eigenschaft, die die Ausnahme ausgelöst hat. Wenn die Befehle "setPolicyType" und "setBinding" fehlschlagen, suchen Sie in der Datei SystemOut.log nach Fehlernachrichten oder Warnungen, die anzeigen, dass die Eingabe für den Parameter -attributes ungültige Eigenschaften enthält.
Anmerkung: Dieser Artikel referenziert eine oder mehrere Protokolldateien des Anwendungsservers. Alternativ dazu wird empfohlen, den Server so zu konfigurieren, dass er die HPEL-Protokoll- und -Traceinfrastruktur (High Performance Extensible Logging) verwendet und nicht die Dateien SystemOut.log , SystemErr.log, trace.log und activity.log auf verteilten oder IBM® i-Systemen. Sie können HPEL auch in Verbindung mit Ihren nativen z/OS-Protokolleinrichtungen verwenden. Wenn Sie HPEL verwenden, können Sie mit dem Befehlszeilentool LogViewer im Verzeichnis "bin" des Serverprofils auf alle Ihre Protokoll- und Tracedaten zugreifen. Weitere Informationen zur Verwendung von HPEL finden Sie in der Dokumentation zum Einsatz von HPEL für die Fehlerbehebung in Anwendungen.
Hinweis zur Umstellung Hinweis zur Umstellung: In WebSphere Application Server Version 7.0 und höher wurde das Sicherheitsmodell zu einem domänenorientierten Sicherheitsmodell anstelle eines serverbasierten Sicherheitsmodells erweitert. Die Konfiguration der globalen Standardsicherheit (Zellenebene) und der Standardbindungen auf Serverebene wurde in dieser Version des Produkts ebenfalls geändert. In WebSphere Application Server Version 6.1 Feature Pack for Web Services können Sie einen Satz von Standardbindungen für die Zelle und optional einen Satz von Standardbindungen für jeden Server konfigurieren. In Version 7.0 und höher können Sie eine oder mehrere allgemeine Service-Provider-Bindungen und eine oder mehrere allgemeine Service-Client-Bindungen konfigurieren. Nach der Konfiguration der allgemeinen Bindungen können Sie angeben, welche dieser Bindungen die globale Standardbindung sein soll. Optional können Sie auch allgemeine Bindungen angeben, die als Standardbindungen für einen Anwendungsserver oder eine Sicherheitsdomäne verwendet werden sollen.trns

Für die Unterstützung einer heterogenen Zellenumgebung unterstützt WebSphere Application Server Bindungen der Version 7.0 und der Version 6.1. Allgemeine Zellenbindungen sind für Version 7.0 und höher spezifisch. Anwendungsspezifische Bindungen behalten die Version, die die Anwendung erfordert. Wenn der Benutzer eine anwendungsspezifische Bindung erstellt, bestimmt der Anwendungsserver die für die Anwendung erforderliche Bindungsversion.

Wenn der Parameter attributes für den Befehl "getPolicyType" oder "getBinding" nicht angegeben wird, gibt der Befehl alle Eigenschaften zurück. Wenn ein partieller Eigenschaftsname an den Befehl "getPolicyType" oder "getBinding" übergeben wird, gibt der Befehl alle Eigenschaften zurück, deren Namen mit dem partiellen Eigenschaftsnamen beginnen. Wird beispielsweise "SignatureProtection" an den Befehl "getPolicyType" übergeben, gibt der Befehl alle Eigenschaften zurück, deren Namen mit "SignatureProtection" beginnen, wie z. B.:
SignatureProtection.response:
   int_body.SignedParts.Body,SignatureProtection.response:int_body.SignedParts.Header_0.Name
und
SignatureProtection.response:int_body.SignedParts.Header_0.Namespace
Es gibt sehr viele Kombinationen verfügbarer Einstellungen für die Sicherung von Web-Service-Anwendungen. Wegen der Anzahl der Attribute und Konfigurationsoptionen aus der Spezifikation WS-Security Version 1.0 sind nicht alle Attribute in diesem Artikel definiert. In den folgenden Abschnitten wird die hierarchische Struktur für die WSSecurity-Richtlinien- und Bindungsattribute erläutert:

Eigenschaften für WSSecurity-Richtlinien

Verwenden Sie den Befehl "getPolicyType", um ein Eigenschaftenobjekt mit den Eigenschaften zu prüfen, die in der aktuellen WSSecurity-Richtliniendatei konfiguriert sind. Schemata für Sicherheitsrichtlinien definieren die Sicherheitszusicherungen. Da die Elemente im Schema eine hierarchische Beziehung zueinander haben, haben auch die Eigenschaftsnamen für die Sicherheitsrichtlinie eine ähnliche Hierarchie. Die hierarchische Beziehung zwischen Eigenschaftsnamen in der Sicherheitsrichtlinie wird durch einen Punkt (.) zwischen zwei Ebenen dargestellt, der die übergeordneten und untergeordneten Attribute verknüpft. Beispiele für diese Eigenschaften sind "IncludeToken", "Name", "Namespace", "XPath" und "XPathVersion". In der folgenden Liste werden die Eigenschaftsnamen der Ausgangsebene für Zusicherungsrichtlinien für die WSSecurity-Richtliniendatei beschrieben:
AsymmetricBinding
Sie können keine oder eine Bindungszusicherung angeben.
SymmetricBinding
Sie können keine oder eine Bindungszusicherung angeben. AsymmetricBinding und SymmetricBinding können in einer Sicherheitsrichtliniendatei nicht koexistieren.
Wss11
Sie können keine oder eine Wss11-Zusicherung angeben.
Wss10
Sie können keine oder eine Wss10-Zusicherung angeben.
Trust10
Sie können keine oder eine Trust10-Zusicherung angeben.
SignatureProtection
Sie können keine oder eine beliebige Anzahl von Zusicherungen für den Signaturschutz angeben.
EncryptionProtection
Sie können keine oder eine beliebige Anzahl von Zusicherungen für den Verschlüsselungsschutz angeben.
SupportingTokens
Sie können keine oder eine beliebige Anzahl unterstützender Tokenzusicherungen angeben.
Im folgenden Beispiel einer Richtliniendatei wird beispielsweise eine AsymmetricBinding-Zusicherung veranschaulicht:
    <sp:AsymmetricBinding>
      <wsp:Policy>
        <sp:InitiatorSignatureToken>
          <wsp:Policy>
            <sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy
						/200512/IncludeToken/AlwaysToRecipient">
              <wsp:Policy>
                <sp:WssX509V3Token10 />
              </wsp:Policy>            </sp:X509Token>
          </wsp:Policy>        </sp:InitiatorSignatureToken>
        <sp:RecipientSignatureToken>
          <wsp:Policy>
            <sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy
						/200512/IncludeToken/AlwaysToInitiator">
              <wsp:Policy>
                <sp:WssX509V3Token10 />
              </wsp:Policy>            </sp:X509Token>
          </wsp:Policy>        </sp:RecipientSignatureToken>
        <sp:AlgorithmSuite>
          <wsp:Policy>
            <sp:Basic256/>
          </wsp:Policy>        </sp:AlgorithmSuite>
        <sp:Layout>
          <wsp:Policy>
            <sp:Strict/>
          </wsp:Policy>        </sp:Layout>
      </wsp:Policy>    </sp:AsymmetricBinding><sp:AsymmetricBinding>
      <wsp:Policy>
        <sp:InitiatorSignatureToken>
          <wsp:Policy>
            <sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy
						/200512/IncludeToken/AlwaysToRecipient">
              <wsp:Policy>
                <sp:WssX509V3Token10 />
              </wsp:Policy>            </sp:X509Token>
          </wsp:Policy>        </sp:InitiatorSignatureToken>
        <sp:RecipientSignatureToken>
          <wsp:Policy>
            <sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy
						/200512/IncludeToken/AlwaysToInitiator">
              <wsp:Policy>
                <sp:WssX509V3Token10 />
              </wsp:Policy>            </sp:X509Token>
          </wsp:Policy>        </sp:RecipientSignatureToken>
      </wsp:Policy>      <sp:AlgorithmSuite>
        <wsp:Policy>
          <sp:Basic256/>
        </wsp:Policy>      </sp:AlgorithmSuite>
      <sp:Layout>
        <wsp:Policy>
          <sp:Strict/>
        </wsp:Policy>      </sp:Layout>
    </sp:AsymmetricBinding>
Die AsymmetricBinding-Zusicherung gibt die folgenden Eigenschaftsname/Wert-Paare zurück. Die verschachtelten wsp:Policy-Ebenen werden in den zurückgegebenen Eigenschaften nicht angezeigt. Außerdem geben einige Eigenschaften den Wert true zurück, der anzeigt, dass die WSSecurity-Konfiguration die zugehörigen XML-Elemente enthält. Zum Bearbeiten dieser Eigenschaften setzen Sie den Wert true, wenn Sie die Eigenschaft einschließen möchten, oder setzen Sie den Wert auf eine leere Zeichenfolge (""), wenn Sie die Eigenschaft entfernen möchten.
AsymmetricBinding.Layout = Strict
AsymmetricBinding.AlgorithmSuite.Basic256 = true
AsymmetricBinding.RecipientSignatureToken.X509Token_0.IncludeToken = http://docs.oasis-open.org
/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToInitiator
AsymmetricBinding.InitiatorSignatureToken.X509Token_0.WssX509V3Token10 = true
AsymmetricBinding.InitiatorSignatureToken.X509Token_0.IncludeToken = http://docs.oasis-open.org
/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient
AsymmetricBinding.RecipientSignatureToken.X509Token_0.WssX509V3Token10 = true
Additionally, the following policy file example displays a SupportingTokens assertion:
<sp:SupportingTokens>
        <wsp:Policy wsu:Id="request:custom_auth">
            <spe:CustomToken sp:IncludeToken="http://docs.oasis-open.org/ws-sx/
							ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient">
                <wsp:Policy>
                    <spe:WssCustomToken uri=http://bar.com/MyCustomToken localname="tokenv1">
                    </spe:WssCustomToken>
                </wsp:Policy>            </spe:CustomToken>
        </wsp:Policy>    </sp:SupportingTokens
Die SupportingTokens-Zusicherung gibt die folgenden Eigenschaftsname/Wert-Paare zurück. Die verschachtelten wsp:Policy-Ebenen werden in der zurückgegebenen Eigenschaft nicht angezeigt.
SupportingTokens.request:custom_auth.CustomToken_0.WssCustomToken.uri=http://bar.com
/MyCustomToken
SupportingTokens.request:custom_auth.CustomToken_0.IncludeToken=http://docs.oasis-open.org
/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient
SupportingTokens.request:custom_auth.CustomToken_0.WssCustomToken.localname=tokenv1
Anmerkung: Die Eigenschaft "CustomToken" enthält die Notation _0 (Unterstreichungszeichen, Null), weil die Eigenschaft mehrfach über denselben Tokentyp, z. B. RecipientSignatureToken oder InitiatorSignatureToken, angezeigt werden kann.
Obwohl die meisten Eigenschaftsnamen dem zuvor beschriebenen hierarchischen Beziehungsformat entsprechen, gibt es die folgenden Ausnahmen:
  • Element wsu:Id
    Dieses Element verwendet den Ist-Wert für die ID anstelle der ID als Attributnamen. Sehen Sie sich das folgende Richtliniendateibeispiel an:
    <wsp:Policy wsu:Id="response:int_body">
      <sp:SignedParts>
        <sp:Body/>
      </sp:SignedParts>
    </wsp:Policy>
    Das vorherige wsu:Id-Beispiel gibt die folgenden Eigenschaften zurück:
    SignatureProtection.response:int_body.SignedParts.Body = true
  • Element Header
    Da es mehrere Elemente "Header" geben kann, wird die Notation Header_n für die Darstellung dieser Eigenschaft verwendet. Sehen Sie sich das folgende Richtliniendateibeispiel an:
     <wsp:Policy wsu:Id="request:conf_body">
         <sp:EncryptedParts>
           <sp:Body/>
           <sp:Header Name="MyElement" Namespace="http://foo.com/MyNamespace" />
         </sp:EncryptedParts>
       </wsp:Policy>
    Das vorherige Headerbeispiel gibt die folgenden Eigenschaften zurück:
    EncryptionProtection.request:conf_body.EncryptedParts.Header_0.Name=MyElement
    EncryptionProtection.request:conf_body.EncryptedParts.Header_0.Namespace=http://
    foo.com/MyNamespace
  • Element XPath
    Die Notation XPath_n wird für die Darstellung dieser Eigenschaft verwendet, weil es mehrere Elemente "XPath" geben kann. Sehen Sie sich das folgende Richtliniendateibeispiel an:
    <wsp:Policy wsu:Id="request:int_body">
          <sp:SignedElements>
            <sp:XPath>SomeXPathExpression</sp:XPath>
            <sp:XPath>SomeOtherXPathExpression</sp:XPath>
          </sp:EncryptedElements>
        </wsp:Policy>
    Das vorherige XPath-Beispiel gibt die folgenden Eigenschaften zurück:
    SignatureProtection.request:int_body.SignedElements.XPath_0=SomeXPathExpression
    SignatureProtection.request:int_body.SignedElements.XPath_1=SomeOtherXPathExpression
  • Element X509Token

    Verwenden Sie die Notation "X509Token_n" für die Darstellung dieser Eigenschaft, weil es mehrere X509Token-Elemente geben kann. Ein Beispiel finden Sie unter der Beschreibung der AsymmetricBinding-Zusicherung.

  • Element "CustomToken"

    Verwenden Sie die Notation "CustomToken_n" für die Darstellung dieser Eigenschaft, weil es mehrere CustomToken-Elemente geben kann. Ein Beispiel finden Sie unter der Beschreibung der SupportingTokens-Zusicherung.

Eigenschaften für WSSecurity-Bindungen

Verwenden Sie den Befehl "getBinding", um ein Eigenschaftenobjekt mit den Eigenschaftenzu prüfen, die in der aktuellen WSSecurity-Bindungskonfiguration konfiguriert sind. Sie können zum Konfigurieren Ihrer WSSecurity-Bindungen auch die Administrationskonsole verwenden. Weitere Informationen zum Konfigurieren der WSSecurity-Bindungen über die Administrationskonsole finden Sie in den Artikeln im Information Center.

Die in diesem Abschnitt definierten Eigenschaften spiegeln die Hierarchie des Bindungsschemas wieder. Jeder Teil des Eigenschaftsnamens ist die Version des Schematyps in Kleinbuchstaben. Die Eigenschaft application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname hat beispielsweise das hierarchische Format. Die Attribute beginnen mit application oder bootstrap. Attribute, die mit application beginnen, stellen Bindungen dar, die der WS-Security-Hauptrichtlinie zugeordnet sind. Attribute, die mit bootstrap beginnen, stellen Bindungen dar, die der WS-Security-Bootstrap-Richtlinie zugeordnet sind, wobei die WS-Security-Richtlinie Secure Conversation verwendet.

Einigen Eigenschaftsnamen kann die Angabe _n angefügt sein. Diese Angabe stellt eine Liste von Elementen dar. Es sind beispielsweise mehrere Eigenschaften tokenconsumer vorhanden. Diese werden von tokenconsumer_0 bis tokenconsumer_n aufgelistet, wobei die Gruppe der tokenconsumer-Wert wie folgt aussieht:
application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.
certpathsettings.certstoreref.reference
application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.
certpathsettings.trustanchorref.reference
application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.classname
application.securityinboundbindingconfig.tokenconsumer_0.classname
application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname
application.securityinboundbindingconfig.tokenconsumer_0.name
application.securityinboundbindingconfig.tokenconsumer_0.valuetype.localname
application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri

Außerdem geben einige Eigenschaften in der Sicherheitsbindungsdatei den Wert true zurück, wenn diese abgefragt werden. Wenn Sie diese Eigenschaften definieren möchten, setzen Sie den Wert auf true, wenn Sie die Eigenschaft einschließen möchten, oder auf eine leere Zeichenfolge (("")), wenn Sie die Eigenschaft entfernen möchten. Die Eigenschaften "time stamp", "nonce" und "trustAnyCertificate" folgen beispielsweise diesem Muster.

Verwenden Sie den Befehl "setBinding" und den Parameter attributes, um Eigenschaften in Ihrer WSSecurity-Bindungskonfiguration hinzuzufügen oder zu entfernen.
  • Wenn Sie eine Eigenschaft hinzufügen möchten, übergeben Sie mit dem Befehl "setBinding" den Eigenschaftsnamen und einen Zeichenfolgewert mit einer Länge ungleich null. Zum Hinzufügen eines Listenelements verwenden Sie die Angabe _n, die einen numerischen Wert darstellt, der größer ist als der aktuelle numerische Wert für die Eigenschaft. Wenn beispielsweise die Eigenschaften tokenconsumer_0 und tokenconsumer_1 in Ihrer Konfiguration enthalten sind, geben Sie die neue tokenconsumer-Eigenschaft als tokenconsumer_2 an. Verwenden Sie nach dem Hinzufügen einer Eigenschaft den Befehl "getBinding", um die aktuelle Liste konfigurierter Eigenschaften anzuzeigen.
  • Wenn Sie eine Eigenschaft entfernen möchten, übergeben Sie mit dem Befehl "setBinding" den Eigenschaftsnamen und eine leere Zeichenfolge (""). Um beispielsweise alle Eigenschaften tokenconsumer_0 zu entfernen, geben Sie die folgende Eigenschaft mit dem Parameter attributes an:
    application.securityinboundbindingconfig.tokenconsumer_0=""
    Im vorherigen Beispiel werden alle Eigenschaften entfernt, die mit dem Eigenschaftsnamen application.securityinboundbindingconfig.tokenconsumer_0 beginnen.

Die folgenden Beispiele zeigen verschiedene Eigenschaftensätze für die Konfiguration Ihrer Bindung. Diese Liste enthält nicht alle Eigenschaften, die zum Konfigurieren der WSSecurity-Bindung verwendet werden können. Verwenden Sie diese Informationen als Referenz für die Zusammensetzung bestimmter Eigenschaftsnamen:

Element signinginfo
Verwenden Sie diese Eigenschaft, um Signaturdaten zu konfigurieren. Für angepasste Bindungen kann es eine unbegrenzte Zahl an signinginfo-Elementen für die Zusicherungen securityoutboundbindingconfig und securityinboundbindingconfig vorhanden sein. In den Standardbindungen lässt das System maximal zwei Elemente signinginfo für die Zusicherungen securityoutboundbindingconfig und securityinboundbindingconfig zu. Das folgende Beispiel zeigt das Format für die beiden Elemente signinginfo:
application.securityinboundbindingconfig.signinginfo_0.signingkeyinfo_0
.reference=con_signkeyinfo
application.securityinboundbindingconfig.signinginfo_0.signingpartreference_0
.reference=request:int_body
application.securityoutboundbindingconfig.signinginfo_0.signingpartreference_0
.reference=response:int_body
application.securityoutboundbindingconfig.signinginfo_0.signingpartreference_0.timestamp=true
Element "encryptioninfo"
Verwenden Sie diese Eigenschaft, um Verschlüsselungsdaten zu konfigurieren. Für angepasste Bindungen kann es eine unbegrenzte Zahl an encryptioninfo-Elementen für die Zusicherungen securityoutboundbindingconfig und securityinboundbindingconfig vorhanden sein. In den Standardbindungen akzeptiert das System maximal zwei Elemente encryptioninfo für die Zusicherungen securityoutboundbindingconfig und securityinboundbindingconfig. Das folgende Beispiel zeigt das Format für die beiden Eigenschaften encryptioninfo:
application.securityinboundbindingconfig.encryptioninfo_0.encryptionpartreference
.nonce=true
application.securityinboundbindingconfig.encryptioninfo_0.encryptionpartreference
.reference=request:conf_body
application.securityoutboundbindingconfig.encryptioninfo_0.encryptionpartreference
.nonce=true
application.securityoutboundbindingconfig.encryptioninfo_0.encryptionpartreference
.timestamp=true
Element "tokengenerator"
In den Standardbindungen werden die Elemente tokengenerator, die auf die Elemente signinginfo oder encryptioninfo verweisen, als Authentifizierungstokengeneratoren behandelt. Jeder Authentifizierungstokengenerator muss ein eindeutiges Element valuetype haben. Das folgende Beispiel zeigt einen Generator für X.509-Zugriffsschutztoken:
application.securityoutboundbindingconfig.tokengenerator_0.name=gen_signtgen
application.securityoutboundbindingconfig.tokengenerator_0.classname=com.ibm.ws.wssecurity.wssapi.token
.impl.CommonTokenGenerator
application.securityoutboundbindingconfig.tokengenerator_0.valuetype.uri=
application.securityoutboundbindingconfig.tokengenerator_0.valuetype.localname=http://docs.oasis-open.org
/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.classname=com.ibm.websphere.wssecurity
.callbackhandler.X509GenerateCallbackHandler
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.key.alias=soaprequester
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.key.keypass={xor}PDM2OjEr
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.key.name=CN=SOAPRequester, 
OU=TRL, O=IBM, ST=Kanagawa, C=JP
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.keystore.path=${USER_INSTALL_ROOT}
/etc/ws-security/samples/dsig-sender.ks
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.keystore.storepass={xor}PDM2OjEr
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.keystore.type=JKS
application.securityoutboundbindingconfig.tokengenerator_0.jaasconfig.configname=system.wss.generate.x509
Das folgende Beispiel zeigt einen Generator für Username-Authentifizierungstoken:
application.securityoutboundbindingconfig.tokengenerator_1.name=gen_usernametoken
application.securityoutboundbindingconfig.tokengenerator_1.classname=com.ibm.ws.wssecurity
.wssapi.token.impl.CommonTokenGenerator
application.securityoutboundbindingconfig.tokengenerator_1.valuetype.uri=
application.securityoutboundbindingconfig.tokengenerator_1.valuetype.localname=http://docs
.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
application.securityoutboundbindingconfig.tokengenerator_1.callbackhandler.classname=com.ibm
.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
application.securityoutboundbindingconfig.tokengenerator_1.callbackhandler.basicAuth.userid=user1
application.securityoutboundbindingconfig.tokengenerator_1.callbackhandler.basicAuth.password=myPassword
application.securityoutboundbindingconfig.tokengenerator_1.securityTokenReference.reference=request:uname_token
application.securityoutboundbindingconfig.tokengenerator_1.jaasconfig.configname=system.wss.generate.unt
Element "tokenconsumer"
In den Standardbindungen werden die Elemente tokenconsumer, die auf die Elemente signinginfo oder encryptioninfo verweisen, als Authentifizierungstokenkonsumenten behandelt. Jeder Authentifizierungstokenkonsument muss ein eindeutiges Element valuetype haben. Im folgenden Beispiel wird das Format für eine Gruppe von tokenconsumer-Elementen gezeigt:
application.securityinboundbindingconfig.tokenconsumer_0.name=con_unametoken
application.securityinboundbindingconfig.tokenconsumer_0.classname=com.ibm.ws.wssecurity.wssapi
.token.impl.CommonTokenConsumer
application.securityinboundbindingconfig.tokenconsumer_0.valuetype.localname=http://docs.oasis-open.org
/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri=
application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.classname=com.ibm.websphere
.wssecurity.callbackhandler.UNTConsumeCallbackHandler
application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname=system.wss.consume.unt
application.securityinboundbindingconfig.tokenconsumer_0.securitytokenreference.reference=request:uname_token
Element "actor"
Definiert den Actor-URI (Uniform Resource Identifier), der in die WSSecurity-Header einer generierten Nachricht eingefügt werden soll. Beispiel:
application.securityinboundbindingconfig.actor=http://myActor.com
application.securityoutboundbindingconfig.actor=http://myActor.com
Element "certstorelist"
Definiert Zertifikatsspeicherkonfigurationen und Signaturdaten. Beispiel:
application.securityinboundbindingconfig.certstorelist.collectioncertstores_0
.name=DigSigCertStore
application.securityinboundbindingconfig.certstorelist.collectioncertstores_0
.provider=IBMCertPath
application.securityinboundbindingconfig.certstorelist.collectioncertstores_0
.x509certificates_0.path=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
Element "keyinfo"
Definiert Schlüsseldaten für Signatur- und Verschlüsselungskonfigurationen. Beispiel:
application.securityinboundbindingconfig.keyinfo_0.classname=com.ibm.ws.wssecurity.wssapi
.CommonContentConsumer
application.securityinboundbindingconfig.keyinfo_0.name=con_signkeyinfo
application.securityinboundbindingconfig.keyinfo_0.tokenreference.reference=con_tcon
application.securityinboundbindingconfig.keyinfo_0.type=STRREF
Eigenschaft "trustanchor"
Definiert Konfigurationsdaten, die verwendet werden, um die Vertrauenswürdigkeit des Unterzeichnerzertifikats zu validieren. Beispiel:
application.securityinboundbindingconfig.trustanchor_0.keystore.path=${USER_INSTALL_ROOT}
/etc/ws-security/samples/dsig-receiver.ks
application.securityinboundbindingconfig.trustanchor_0.keystore.storepass={xor}LDotKTot
application.securityinboundbindingconfig.trustanchor_0.keystore.type=JKS
application.securityinboundbindingconfig.trustanchor_0.name=DigSigTrustAnchor
Element "timestampexpires"
Definiert ein Verfallsdatum für die Konfiguration. Beispiel:
application.securityoutboundbindingconfig.timestampexpires.expires=5
application.securityinboundbindingconfig.caller_X.order
Gibt die Reihenfolge für einen Caller an, wenn wsadmin-Scripts verwendet werden, wobei X die eindeutige Zeichenfolge ist, die die Instanz des Callers identifiziert:
-attributes [[application.securityinboundbindingconfig.caller_0.order 2]]

Beispiele für die Befehle "setPolicyType" und "setBinding"

Verwenden Sie die vorherigen Referenzinformationen für die Befehle "setPolicyType" und "setBinding", um die Konfigurationsdaten für Ihre Richtlinien und Bindungen zu ändern.

Fehler vermeiden Fehler vermeiden: Die Befehlsunterstützung der Administrationskonsole gibt eine falsche Jython-Syntax für den Befehl "setPolicyType" an. Der XPath-Ausdruck für den Schutz des Antwortnachrichtenabschnitts des WSSecurity-Richtliniensatzes enthält einfache Anführungszeichen (') in jedem XPath-Eigenschaftswert. Dies wird von Jython nicht unterstützt. Um den Befehl in der Administrationskonsole zu korrigieren, fügen Sie vor jedem einfachen Anführungszeichen ein Backslash-Zeichen (\) als Escape-Zeichen für das einfache Anführungszeichen ein.gotcha
Im folgenden Beispiel wird der Befehl "setBinding" verwendet, um die Eigenschaften "enabled" und "provides" für den angepassten Richtliniensatz "mein_angepasster_Sicherheits-RS" zu definieren, der eine ReliableMessaging-Richtlinie enthält:
AdminTask.setBinding('[-bindingLocation "" -bindingName cellWideBinding2 -policyType
 WSSecurity
 -attributes [[application.securityinboundbindingconfig.caller_0.order 2][inResponsewithSSL:configAlias NodeDefaultSSLSettings]
[inResponsewithSSL:config properties_directory/ssl.client.props][outAsyncResponsewithSSL:configFile properties_directory/ssl.client.props]
[outAsyncResponsewithSSL:configAlias NodeDefaultSSLSetings][outRequestwithSSL:configFile properties_directory/ssl.client.props]
[outRequestwithSSL:configAlias NodeDefaultSSLSettings]]]')
Der folgende setPolicyType-Befehl aktiviert die WSSecurity-Richtlinie und erstellt eine Zusicherung für Signaturschutz:
AdminTask.setPolicyType('-policySet myPolicySet -policyType WSSecurity -attributes 
"[[enabled true][provides 
Some_amount_of_security][SignatureProtection.request:app_signparts.SignedElements.XPath_0 
SignatureProtectionV2]]"')
Der folgende setBinding-Befehl gibt Schlüsseldaten für eine serverspezifische Bindung an:
AdminTask.setBinding('-policyType WSSecurity -bindingLocation "[[server server1][node 
node01]]" 
-attributes "[[application.securityinboundbindingconfig.keyinfo_0.name dec_server_keyinfo]
[application.securityinboundbindingconfig.keyinfo_0.classname com.ibm.ws.wssecurity.wssapi.CommonContentGenerator]
[application.securityinboundbindingconfig.keyinfo_0.type STRREF]]"')
Der folgende setBinding-Befehl gibt Schlüsseldaten für eine anhangsspezifische Bindung an:
AdminTask.setBinding('-policyType WSSecurity -bindingLocation "[[application PolicySet]
[attachmentId 999]]" 
-attributes "[[application.securityinboundbindingconfig.keyinfo_0.name dec_app_keyinfo]
[application.securityinboundbindingconfig.keyinfo_0.classname com.ibm.ws.wssecurity.wssapi.CommonContentGenerator]
[application.securityinboundbindingconfig.keyinfo_0.type STRREF]]" -attachmentType application 
 -bindingName myBindingName')
Der folgende setBinding-Befehl gibt Trust-Anchor-Informationen für eine zellenweite Bindung an:
AdminTask.setBinding('-policyType WSSecurity -bindingLocation "" -attributes 
"[application.securityinboundbindingconfig.trustanchor_0.name DigSigTrustAnchor2]"')

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_wsfpwssecurity
Dateiname:rxml_wsfpwssecurity.html