Kerberos-Token
IBM® WebSphere Application Server unterstützt Kerberos-Token für Web Services Security auf Nachrichtenebene. Diese Unterstützung basiert auf der Spezifikation "OASIS (Organization for the Advancement of Structured Information Standards) Web Services Security Kerberos Token Profile Version 1.1". In diesem Artikel wird die Kerberos-Unterstützung erläutert, die für Web-Services verfügbar ist.
Kerberos Token Profile Version 1.1
Kerberos Version 5 ist ein ausgereifter, offener Standard, der einen sicheren Authentifizierungsmechanismus über Dritte bereitstellt. Die Spezifikation "OASIS Web Services SOAP Message Security" referenziert das Kerberos-Token in der SOAP-Nachricht. Web-Service-Anwendungen können das Kerberos-Token verwenden, um Identitäten sicher zu senden und Nachrichten besser zu schützen. Die Gesamtunterstützung für Kerberos umfasst die Kerberos-Unterstützung der Java™-EE-Sicherheit (Java Platform, Enterprise Edition) und die Kerberos-Tokenunterstützung in Web Services Security. In diesem Artikel wird nur die Kerberos-Tokenunterstützung in Web Services Security behandelt.
In WebSphere Application Server Version 7.0 und höher enthält Web Services Security Unterstützung für Kerberos-Token, die auf der Spezifikation "OASIS WS-Security Kerberos Token Profile Version 1.1" basiert. Das Kerberos-Token ist ein binäres Sicherheitstoken für WS-Security auf Nachrichtenebene. Web Services Security umfasst die Sicherheit auf SOAP-Nachrichtenebene, z. B. Weitergabe von Sicherheitstoken, Nachrichtensignatur und Nachrichtenverschlüsselung. Das Kerberos-Token wird für die Nachrichtensicherheit verwendet, insbesondere mit der Spezifikation der SOAP-Nachrichtensicherheit für Web-Services, und ist neben dem Benutzernamenstoken und dem Token für sicheren Datenaustausch (Secure Conversation) ein weiteres unterstütztes Token.
Nähere Informationen hierzu finden Sie in der Spezifikation "Web Services Security Kerberos Token Profile Version 1.1". Die Spezifikation erläutert, wie die Kerberos-Sicherheit mit Web Services Security verwendet wird und wie das Kerberos-Token weitergegeben und dazu verwendet wird, die SOAP-Nachricht durch Signatur und Verschlüsselung zu schützen.
Aktivierung des Kerberos-Tokenprofils
Das Konfigurationsmodell von WebSphere Application Server nutzt die vorhandenen Tools und Frameworks der Authentifizierung und des Nachrichtenschutzes für die Konfiguration des Kerberos-Tokenprofils wie folgt:
- Richtliniensatz- und Bindungskonfiguration, um das Kerberos-Tokenprofil für JAX-WS-Anwendungen (Java API for XML-Based Web Services) zu aktivieren.
- Implementierungsdeskriptor- und Bindungskonfiguration, um das Kerberos-Tokenprofil für JAX-RPC-Anwendungen zu aktivieren:
- Tokenprofilaktivierung mit einem Kerberos-Token für JAX-WS-Anwendungen
- Minimale Clientkonfiguration, um das Kerberos-Tokenprofil mit Verwendung des Programmiermodells JAX-WS zu aktivieren
Für JAX-WS-Clientanwendungen aktualisiert das Design die APIs (Anwendungsprogrammierschnittstellen) für Web Services Security und setzt mit einem Kerberos-Token, das auf dem OASIS-Tokenprofil basiert, eine WS-Security-Richtlinie in Kraft. Damit ein Kerberos-Tokenprofil durch Verwendung eines Sicherheitsrichtliniensatzes aktiviert wird, müssen zunächst die Dateien für die WS-Security-Richtlinie und Bindung mit einem angepassten Token erstellt werden. Weitere Informationen hierzu finden Sie im Artikel "Kerberos-Konfigurationsmodelle für Web-Services".
Kerberos-Unterstützung
- Clientprogrammiermodelle für JAX-WS-Anwendungen mit WS-Security-APIs
- Interoperabilität mit Web Services Enhancements (WSE) Version 3.5 und Windows Communication Foundation (WCF) Version 3.5 for Microsoft .NET
- Wiederherstellung von Web-Service-Nachrichtensicherheitstoken für JAX-WS-Anwendungen
- Aktivierung des Kerberos-Tokenprofils
- Integration mit der Basissicherheit für den Anwendungsserver
- Kerberos-Tokengenerierung für Client und Service
- Kerberos-Verbrauch auf dem Service
- Clustering und Hochverfügbarkeit für JAX-WS-Anwendungen
- Kerberos-Tokenprofilkonfiguration der Authentifizierung und des Nachrichtenschutzes für JAX-WS-Anwendungen
- Integration in einem einzelnen Realm mit einem Key-Distribution-Center (KDC) des Betriebssystems Microsoft oder z/OS.
- Kerberos-Tokenprofilkonfiguration der Authentifizierung für JAX-RPC-Anwendungen
- Referenzen auf Schlüsselnamen
- Nachrichtenschutz unter Verwendung von Sitzungsschlüsseln für JAX-RPC-Anwendungen
- Nachrichtenschutz unter Verwendung von abgeleiteten Schlüsseln für JAX-RPC-Anwendungen
- Generierung von SHA1-Schlüsseln für JAX-RPC-Anwendungen
- Die Kerberos-Delegierung wird nicht unterstützt, wenn Sie JAX-RPC-Anwendungen verwenden, die mit dem Sicherheitsmechanismus der Kerberos-Authentifizierung konfiguriert wurden.
- Ein Kerberos-Token ist nicht wiederherstellbar, wenn JAX-WS-Anwendungen mit Web Services Reliable Messaging aktiviert sind.