Identitätszuordnung für abgehende Anforderungen für einen anderen Zielrealm konfigurieren
Wenn WebSphere Application Server eine abgehende Anforderung von einem Server an einen anderen Server, der sich in einem anderen Sicherheitsrealm befindet, absetzt, wird die Anforderung zurückgewiesen. Dieser Artikel beschreibt Alternativen für das Aktivieren eines Servers zum Senden abgehender Anforderungen an einen Zielserver in einem anderen Realm.
Informationen zu diesem Vorgang
Vorgehensweise
- Führen Sie keine Zuordnung durch. Lassen Sie die
vorhandenen Sicherheitsinformationen stattdessen zu einem vertrauenswürdigen
Zielserver fließen, auch wenn dieser sich in einem anderen Realm befindet. Führen Sie in der Administrationskonsole die folgenden Schritte aus:
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "RMI/IIOP-Sicherheit" auf Abgehende Authentifizierung gemäß CSIv2.
- Geben Sie die Zielrealms im Feld Vertrauenswürdige Zielrealms an. Sie können alle vertrauenswürdigen Zielrealm angeben, vorausgesetzt, Sie trennen die einzelnen Realms durch Pipezeichen (|) voneinander ab. Geben Sie z. B. Servername.Domäne:Portnummer für einen LDAP-Server (Lightweight Directory Access Protocol) oder den Maschinennamen für das lokale Betriebssystem an. Wenn Sie die Sicherheitsattribute an einen anderen Zielrealm weitergeben möchten, müssen Sie den Zielrealm im Feld Vertrauenswürdige Zielrealms angeben.
- Verwenden Sie die JAAS-Konfiguration (Java Authentication and Authorization Service)
für Anwendungsanmeldung, WSLogin, um ein Subject für Basisauthentifizierung zu erstellen,
das die Berechtigungsnachweise des neuen Zielrealms enthält. Diese Konfiguration gibt Ihnen die Möglichkeit, sich mit einem Realm, einer
Benutzer-ID und einem Kennwort, der bzw. die bzw. das für die Benutzerregistry des
Zielrealm spezifisch ist. Sie können die Anmeldeinformationen über die
Java EE-Anwendung, die die abgehende Anforderung absetzt, oder über die Konfiguration der Systemanmeldung
RMI_OUTBOUND durchführen. Diese beiden Anmeldeoptionen sind nachfolgend beschrieben:
- Verwenden Sie die Konfiguration für Anwendungsanmeldung, WSLogin, in der Java EE-Anwendung, um sich anzumelden und ein Subject abzurufen, das die Benutzer-ID und das Kennwort des Zielrealms enthält. Die Anwendung kann dann den fernen Aufruf in einen WSSubject.doAs-Aufruf integrieren. Ein Beispiel hierzu finden Sie im Artikel Beispiel: Mit der WSLogin-Konfiguration ein Subject für die Basisauthentifizierung erstellen.
- Verwenden Sie das Codebeispiel
Beispiel: Mit der WSLogin-Konfiguration ein Subject für die Basisauthentifizierung erstellen an diesem Punkt in der
Anmeldekonfiguration RMI_OUTBOUND. Jede abgehende RMI-Anforderung (Remote
Method Invocation) wird durch diese Anmeldekonfiguration geleitet, wenn diese aktiviert
ist. Führen Sie die folgenden Schritte aus, um diese Anmeldekonfiguration zu
aktivieren und zu integrieren:
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "RMI/IIOP-Sicherheit" auf Abgehende Authentifizierung gemäß CSIv2.
- Wählen Sie Angepasste Zuordnung abgehender Anforderungen aus. Wenn die Option Weitergabe von Sicherheitsattributen ausgewählt ist, verwendet WebSphere Application Server bereits diese Anmeldekonfiguration und Sie müssen die angepasste Zuordnung abgehender Anforderungen nicht aktivieren.
- Schreiben Sie ein angepasstes Anmeldemodul. Weitere Informationen
finden Sie im Artikel Angepasste Anmeldemodule für eine Systemanmeldekonfiguration für JAAS entwickeln.
Im Artikel Beispiel: Beispielanmeldekonfiguration für RMI_OUTBOUND wird ein angepasstes Anmeldemodul beschrieben, das bestimmt, ob die Realmnamen übereinstimmen. In diesem Beispiel stimmen die Realmnamen nicht überein, also wird das WSLoginmodule verwendet, um ein Subject für Basisauthentifizierung basierend auf Regeln für angepasste Zuordnung zu erstellen. Die Regeln für angepasste Zuordnung sind spezifisch für die Kundenumgebung und müssen mit einem Realm für die Benutzer-ID und das Dienstprogramm für Kennwortzuordnung implementiert werden.
- Konfigurieren Sie die Anmeldekonfiguration RMI_OUTBOUND, damit das neue
angepasste Anmeldemodul zuerst in der Liste angegeben ist.
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "Java Authentication and Authorization Service" auf Systemanmeldungen > RMI_OUTBOUND.
- Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > Neu, um das Anmeldemodul zur Konfiguration RMI_OUTBOUND hinzuzufügen.
- Kehren Sie in die Anzeige "JAAS-Anmeldemodule" für RMI_OUTBOUND zurück.
- Klicken Sie auf Reihenfolge festlegen, um die Reihenfolge, in der die Anmeldemoduls geladen werden, so zu ändern, dass das angepasste Anmeldemodul zuerst geladen wird.
- Fügen Sie die Optionen use_realm_callback und use_appcontext_callback
zum Modul für die Zuordnung abgehender Anforderungen für WSLogin hinzu. Gehen Sie wie folgt vor, um
diese Optionen hinzuzufügen:
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "Java Authentication and Authorization Service" auf Anwendungsanmeldungen > WSLogin.
- Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > com.ibm.ws.security.common.auth.module.WSLoginModuleImpl.
- Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften > Neu.
- Geben Sie in der Anzeige "Angepasste Eigenschaften" im Feld Name den Wert use_realm_callback und im Feld Wert den Wert true ein.
- Klicken Sie auf OK.
- Klicken Sie auf Neu, um die zweite angepasste Eigenschaft einzugeben.
- Geben Sie in der Anzeige "Angepasste Eigenschaften" im Feld Name den Wert use_appcontext_callback und im Feld Wert den Wert true ein.
<entries xmi:id="JAASConfigurationEntry_2" alias="WSLogin"> <loginModules xmi:id="JAASLoginModule_2" moduleClassName="com.ibm.ws.security.common.auth.module.proxy.WSLoginModuleProxy" authenticationStrategy="REQUIRED"> <options xmi:id="Property_2" name="delegate" value="com.ibm.ws.security.common.auth.module.WSLoginModuleImpl"/> <options xmi:id="Property_3" name="use_realm_callback" value="true"/> <options xmi:id="Property_4" name="use_appcontext_callback" value="true"/> </loginModules> </entries>
Unterartikel
Beispiel: Mit der WSLogin-Konfiguration ein Subject für die Basisauthentifizierung erstellen
Dieses Beispiel veranschaulicht, wie Sie die WSLogin-Anwendungsanmeldekonfiguration in einer J2EE-Anwendung (Java 2 Platform, Enterprise Edition) verwenden, um sich anzumelden und ein Subject-Objekt abzurufen, das die Benutzer-ID und das Kennwort des Zielrealms enthält.Beispiel: Beispielanmeldekonfiguration für RMI_OUTBOUND
Dieses Beispiel zeigt eine Anmeldekonfiguration für RMI_OUTBOUND, die die Realmnamen von zwei Servern zuordnet.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_outbdiffrealm
Dateiname:tsec_outbdiffrealm.html