Allgemeine Beispielbindungen für JAX-WS-Anwendungen

Zu Testzwecken können Sie in der Administrationskonsole Beispielbindungen verwenden. Die Konfigurationen, die Sie festlegen, werden auf der Zellen- oder Serverebene reflektiert.

WebSphere Application Server Version 7.0 enthält Provider- und Clientbeispielbindungen für Testzwecke. In den Bindungen stellt das Produkt Beispielwerte für die Unterstützung von Token unterschiedlichen Typs bereit, z. B. X.509-Token, Benutzrnamenstoken, LTPA-Token und Kerberbos-Token. Die Bindungen enthalten auch Beispielwerte für Nachrichtenschutzinformationen für Tokentypen wie X.509 und SecureConversion (sicherer Datenaustausch). Es können sowohl Provider- als auch Clientbeispielbindungen auf die einem Systemrichtliniensatz oder Anwendungsrichtliniensatz zugeordneten Anwendungen aus dem lokalen Standardrepository angewendet werden.

In diesen Informationen werden die allgemeinen Beispielbindungen für das Programmiermodell Java™ API for XML-Based Web Services (JAX-WS) beschrieben. Sie können Web-Services mit dem Programmiermodell Java API for XML-based RPC (JAX-RPC) oder für WebSphere Application Server ab Version 7.0 mit dem Programmiermodell Java API for XML-Based Web Services (JAX-WS) entwickeln. Die allgemeinen Beispielbindungen können je nach verwendetem Programmiermodell variieren. Die folgenden Abschnitte, in denen die verschiedenen allgemeinen Beispielbindungen beschrieben werden, sind verfügbar:
Bewährte Verfahren: IBM® WebSphere Application Server unterstützt das Programmiermodell Java API for XML-Based Web Services (JAX-WS) und das Programmiermodell Java API for XML-based RPC (JAX-RPC). JAX-WS ist das Web-Service-Programmiermodell der nächsten Generation, das die vom Programmiermodell JAX-RPC bereitgestellte Grundlage erweitert. Durch die Verwendung des strategischen Programmiermodells JAX-WS, das ein auf Standards basierendes Annotationsmodell unterstützt, vereinfacht sich die Entwicklung von Web-Services und -Clients. Obwohl das Programmiermodell JAX-RPC und JAX-RPC-Anwendungen weiterhin unterstützt werden, sollten Sie das einfach zu implementierende Programmiermodell JAX-WS für die Entwicklung neuer Web-Service-Anwendungen und -Clients nutzen.

Verwenden Sie diese Provider- und Clientbeispielbindungen in ihrem Standardzustand nicht in Produktionsumgebungen. Sie müssen diese Bindungen an Ihre Sicherheitsanforderungen anpassen, bevor Sie sie in einer Produktionsumgebung verwenden. Dazu erstellen Sie eine Kopie der Bindungen und nehmen dann an der Kopie die erforderlichen Änderungen vor. Für die Gewährleistung der Sicherheit müssen Sie beispielsweise die Schlüssel- und Keystore-Einstellungen ändern und die Bindungseinstellungen an Ihre Umgebung anpassen.

Fehler vermeiden Fehler vermeiden: Nachdem Sie eine Kopie der Provider- oder Clientbeispielbindungen erstellt haben passen Sie nur die Einstellungen der neuen Kopie gemäß Ihren Anforderungen an. Entfernen Sie keinerlei Informationen aus der Clientbeispielbindung, z. B. Tokengeneratoren, Tokenkonsumenten, signierte Abschnitte oder verschlüsselte Abschnitte.gotcha
Zur Vereinfachung der Anwendungsimplementierung verwenden die Anwendungen einen gemeinsamen Satz von allgemeinen Standardbindungen. Sie können Standardbindungen für Ihren Service-Provider oder -Client angeben, die auf globaler Sicherheitsebene (Zelle), für eine bestimmte Sicherheitsdomäne oder für einen bestimmten Server verwendet werden. Die Standardbindungen werden verwendet, wenn keine überschreibende Bindung auf einer niedrigeren Ebene angegeben ist. Der Anwendungsserver verwendet die folgende Reihenfolge (aufsteigend), um zu bestimmen, welche Standardbindungen verwendet werden müssen:
  1. Standardbindungen auf Serverebene
  2. Standardbindungen auf Sicherheitsdomänenebene
  3. Standardbindungen auf globaler Sicherheitsebene (Zelle)

Allgemeine Clientbeispielbindungen

  • Die Beispielkonfiguration für die Generierung von Signaturdaten hat den Namen asymmetric-signingInfoRequest und enthält die folgende Konfiguration:
    • Referenzen auf die Signierschlüsseldaten gen_signkeyinfo.
    • Abschnittsreferenzkonfiguration, die die Umsetzungskonfiguration mit dem Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# enthält.
    • Signierschlüsseldaten gen_signkeyinfo, die die folgende Konfiguration enthalten:
      • Sicherheitstokenreferenz
      • Generator für asymmetrische Signatur für Zugriffsschutztoken mit dem Namen gen_signx509token:
        • Enthält den Tokentyp X.509 V3 Token v1.0.
        • Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.generate.x509.
      • X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsigsender.ks mit den folgenden Eigenschaften auf:
        • Keystore-Typ: JKS
        • Keystore-Kennwort: client
        • Der Aliasname des anerkannten Zertifikats ist soapca.
        • Aliasname des persönlichen Zertifikats: soaprequester
        • Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für die Generierung von Signaturdaten hat den Namen symmetric-signingInfoRequest und enthält die folgende Konfiguration:
    • Referenzen auf die Signierschlüsseldaten gen_signsctkeyinfo.
    • Abschnittsreferenzkonfiguration, die die Umsetzungskonfiguration mit dem Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# enthält.
    • Signierschlüsseldaten gen_signsctkeyinfo, die die folgende Konfiguration enthalten:
      • Sicherheitstokenreferenz
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Generator für Zugriffsschutztoken mit dem Namen gen_scttoken:
        • Enthält den Tokentyp Secure Conversation Token Version 1.3.
        • Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.generate.sct.
      • WS-Trust-Callback-Handler
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen asymmetric-encryptionInfoRequest und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten gen_enckeyinfo
    • Chiffrierschlüsseldaten mit dem Namen gen_enckeyinfo, die die folgende Konfiguration enthalten:
      • Schlüsselkennung
      • Generator für asymmetrische Veschlüsselung für Zugriffsschutztoken mit dem Namen gen_encx509token:
        • Keystore-Typ: JCEKS
        • Keystore-Kennwort: client
        • Aliasname des anerkannten Zertifikats: soapca
        • Aliasname des persönlichen Zertifikats: bob
        • Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
      • X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks auf.
    • Schlüsselverschlüsselungsverfahren: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen symmetric-encryptionInfoRequest und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten gen_encsctkeyinfo
    • Chiffrierschlüsseldaten gen_encsctkeyinfo, die die folgende Konfiguration enthalten:
      • Sicherheitstokenreferenz
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Generator für Zugriffsschutztoken gen_scttoken, der die folgende Konfiguration enthält:
        • Enthält den Tokentyp Secure Conversation Token v1.3.
        • Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.generate.sct.
      • WS-Trust-Callback-Handler
    • Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen asymmetric-signingInfoResponse und enthält die folgende Konfiguration:
    • Referenzen auf die Signierschlüsseldaten con_signkeyinfo.
    • Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
    • Signierschlüsseldaten mit dem Namen con_signkeyinfo, die die folgende Konfiguration enthalten:
      • Konsument für asymmetrische Signatur für Zugriffsschutztoken mit dem Namen con_signx509token:
        • Enthält den Tokentyp X.509 V3 Token v1.0.
        • Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.consume.x509.
      • X.509-Callback-Handler:
        • Verweist auf einen Zertifikatsspeicher mit dem Namen DigSigCertStore.
        • Verweist auf einen Trust-Anchor-Speicher mit dem Namen DigSigTrustAnchor.
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen symmetric-signingInfoResponse und enthält die folgende Konfiguration:
    • Referenzen auf die Signierschlüsseldaten con_sctsignkeyinfo.
    • Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
    • Signierschlüsseldaten mit dem Namen con_sctsignkeyinfo, die die folgende Konfiguration enthalten:
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Konsument für Zugriffsschutztoken mit dem Namen con_scttoken:
        • Enthält den Tokentyp Secure Conversation Token v1.3.
        • Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.consume.sct.
      • WS-SecureConversation-Callback-Handler
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen asymmetric-encryptionInfoResponse und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten dec_keyinfo
    • Chiffrierschlüsseldaten mit dem Namen dec_keyinfo, die die folgende Konfiguration enthalten:
      • Konsument für asymmetrische Veschlüsselung für Zugriffsschutztoken mit dem Namen con_encx509token:
        • Enthält den Tokentyp X.509 V3 Token v1.0.
        • Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.consume.x509.
      • X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks mit den folgenden Eigenschaften auf:
        • Keystore-Typ: JCEKS
        • Keystore-Kennwort: client
        • Der Aliasname des anerkannten Zertifikats ist soapca.
        • Aliasname des persönlichen Zertifikats: alice
        • Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
    • Schlüsselverschlüsselungsverfahren: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen symmetric-encryptionInfoResponse und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten dec_sctkeyinfo
    • Chiffrierschlüsseldaten mit dem Namen dec_sctkeyinfo, die die folgende Konfiguration enthalten:
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Konsument für Zugriffsschutztoken mit dem Namen con_scttoken:
        • Enthält den Tokentyp Secure Conversation Token v1.3.
        • Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.consume.sct.
      • WS-SecureConversation-Callback-Handler
    • Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_signkrb5token und enthält die folgende Konfiguration:
    • Angepasster Tokentyp für das Kerberos-v5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
    • JAAS-Anmeldung wss.generate.KRB5BST
    • Folgende angepasste Eigenschaften:
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceName, der Name des Kerberos-Zielservice
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost, der Hostname, der dem Namen des Kerberos-Zielservice zugeordnet ist

        Sie müssen die korrekten Werte für Ihre Umgebung angeben, bevor Sie diese Konfiguration verwenden.

    • Callback-Handler für angepasste Kerberos-Token. Sie müssen die korrekten Werte für Principal und Kennwort des Kerberos-Clients angeben.
  • Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_signltpaproptoken und enthält die folgende Konfiguration:
    • Tokentyp LTPA-Weitergabetoken:
      • Enthält LTPA_PROPAGATION als lokalen Abschnittswert.
      • Enthält http://www.ibm.com/websphere/appserver/tokentype als Wert für den Namespace-URI.
    • Enthält die JAAS-Anmeldung wss.generate.ltpaProp.
    • Verwendet den Callback-Handler für LTPA-Token.
  • Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_signltpatoken und enthält die folgende Konfiguration:
    • Tokentyp LTPA Token v2.0:
      • Enthält LTPA_PROPAGATION als lokalen Abschnittswert.
      • Enthält http://www.ibm.com/websphere/appserver/tokentype als Wert für den Namespace-URI.
    • JAAS-Anmeldung wss.generate.ltpa
    • Callback-Handler für LTPA-Token
  • Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_signunametoken und enthält die folgende Konfiguration:
    • Tokentyp Username Token v1.0, der http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken als lokalen Abschnittswert verwendet
    • JAAS-Anmeldung wss.generate.unt
    • Callback-Handler für Benutzernamenstoken:
      • Enthält Felder für die Basisauthentifizierung. Sie müssen die korrekten Werte für Client-Principal und Clientkennwort für Ihre Umgebung angeben.
      • Enthält die folgenden angepassten Eigenschaften:
        • com.ibm.wsspi.wssecurity.token.username.addNonce für das Hinzufügen des Nonce-Wertes
        • com.ibm.wsspi.wssecurity.token.username.addTimestamp für das Hinzufügen des Zeitmarkenwerts

Clientbeispielbindungen der Version 2

Die beiden neuen allgemeinen Beispielbindungen, Client sample V2 und Provider sample V2, wurden dem Produkt hinzugefügt. Während viele Konfigurationen dieselben wie in den früheren Versionen der Client- und Providerbeispielbindungen sind, gibt es verschiedene zusätzliche, neue Beispielkonfigurationen. Zur Verwendung dieser neuen Bindungen erstellen Sie nach der Installation des Produkts ein neues Profil. Weitere Informationen finden Sie im Artikel "Kerberos-Richtliniensätze und allgemeine Beispielbindungen der Version 2 konfigurieren".

  • Die Beispielkonfiguration für die Generierung von Signaturdaten, symmetric-KrbsignInfoRequest, enthält die folgende Konfiguration:
    • Referenzen auf die gen_reqKRBsignkeyinfo-Signierschlüsseldaten
    • Abschnittsreferenzkonfiguration, die die Umsetzungskonfiguration mit dem Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# enthält
    • Signierschlüsseldaten gen_reqKRBsignkeyinfo, die die folgende Konfiguration enthalten:
      • Sicherheitstokenreferenz
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Generator für Zugriffsschutztoken mit dem Namen gen_krb5token:
        • Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
        • Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
        • JAAS-Anmeldung wss.generate.KRB5BST
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen symmetric-KrbEncInfoRequest und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten gen_reqKRBenckeyinfo
    • Chiffrierschlüsseldaten gen_reqKRBenckeyinfo, die die folgende Konfiguration enthalten:
      • Sicherheitstokenreferenz
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Generator für Zugriffsschutztoken gen_krb5token, der die folgende Konfiguration enthält:
        • Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
        • Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
        • JAAS-Anmeldung wss.generate.KRB5BST
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
    • Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen symmetric-KrbsignInfoResponse und enthält die folgende Konfiguration:
    • Referenzen auf die Signierschlüsseldaten con_respKRBsignkeyinfo.
    • Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
    • Signierschlüsseldaten mit dem Namen con_respKRBsignkeyinfo, die die folgende Konfiguration enthalten:
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Konsument für Zugriffsschutztoken mit dem Namen con_krb5token:
        • Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
        • Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
        • JAAS-Anmeldung wss.consume.KRB5BST
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen symmetric-KrbEncInfoResponse und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten con_respKRBenckeyinfo
    • Chiffrierschlüsseldaten mit dem Namen con_respKRBenckeyinfo, die die folgende Konfiguration enthalten:
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Konsument für Zugriffsschutztoken mit dem Namen con_krb5token:
        • Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
        • Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
        • JAAS-Anmeldung wss.consume.KRB5BST
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
    • Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_krb5token und enthält die folgende Konfiguration:
    • Angepasster Tokentyp für das Kerberos-V5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
    • JAAS-Anmeldung wss.generate.KRB5BST
    • Folgende angepasste Eigenschaften:
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceName, der Name des Ziel-Kerberos-Service
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost, der Hostname, der dem Ziel-Kerberos-Service zugeordnet ist
        Anmerkung: Sie müssen die korrekten Werte für Ihre Umgebung angeben, bevor Sie diese Konfiguration verwenden.
    • Callback-Handler für angepasste Kerberos-Token.
      Anmerkung: Sie müssen die korrekten Werte für Principal und Kennwort des Kerberos-Clients angeben.
  • Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen con_krb5token und enthält die folgende Konfiguration:
    • Angepasster Tokentyp für das Kerberos-V5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
    • JAAS-Anmeldung wss.consume.KRB5BST
    • Callback-Handler für angepasste Kerberos-Token.

Allgemeine Providerbeispielbindungen

  • Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen asymmetric-signingInfoRequest und enthält die folgende Konfiguration:
    • Referenzen auf die Signierschlüsseldaten con_signkeyinfo.
    • Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
    • Signierschlüsseldaten mit dem Namen con_signkeyinfo, die die folgende Konfiguration enthalten:
      • Konsument für asymmetrische Signatur für Zugriffsschutztoken mit dem Namen con_signx509token:
        • Enthält den Tokentyp X.509 V3 Token v1.0.
        • Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.consume.x509.
      • X.509-Callback-Handler:
        • Verweist auf einen Zertifikatsspeicher mit dem Namen DigSigCertStore.
        • Verweist auf einen Trust-Anchor-Speicher mit dem Namen DigSigTrustAnchor.
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen symmetric-signingInfoRequest und enthält die folgende Konfiguration:
    • Referenzen auf die Signierschlüsseldaten con_sctsignkeyinfo.
    • Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
    • Signierschlüsseldaten mit dem Namen con_sctsignkeyinfo, die die folgende Konfiguration enthalten:
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Generator für Zugriffsschutztoken mit dem Namen con_scttoken:
        • Enthält den Tokentyp Secure Conversation Token v1.3.
        • Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.consume.sct.
      • WS-SecureConversation-Callback-Handler
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen asymmetric-encryptionInfoRequest und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten dec_keyinfo
    • Chiffrierschlüsseldaten mit dem Namen dec_keyinfo, die die folgende Konfiguration enthalten:
      • Konsument für asymmetrische Veschlüsselung für Zugriffsschutztoken mit dem Namen con_encx509token:
        • Enthält den Tokentyp X.509 V3 Token v1.0.
        • Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.consume.x509.
      • X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks mit den folgenden Eigenschaften auf:
        • Keystore-Typ: JCEKS
        • Keystore-Kennwort: client
        • Der Aliasname des anerkannten Zertifikats ist soapca.
        • Aliasname des persönlichen Zertifikats: bob
        • Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
    • Schlüsselverschlüsselungsverfahren: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen symmetric-encryptionInfoRequest und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten dec_sctkeyinfo
    • Chiffrierschlüsseldaten mit dem Namen dec_sctkeyinfo, die die folgende Konfiguration enthalten:
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Konsument für Zugriffsschutztoken mit dem Namen con_scttoken:
        • Enthält den Tokentyp Secure Conversation Token v1.3.
        • Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.consume.sct.
      • WS-SecureConversation-Callback-Handler
    • Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • Die Beispielkonfiguration für die Generierung von Signaturdaten hat den Namen asymmetric-signingInfoResponse und enthält die folgende Konfiguration:
    • Referenzen auf die Signierschlüsseldaten gen_signkeyinfo.
    • Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
    • Signierschlüsseldaten mit dem Namen gen_signkeyinfo, die die folgende Konfiguration enthalten:
      • Sicherheitstokenreferenz
      • Generator für asymmetrische Signatur für Zugriffsschutztoken mit dem Namen gen_signx509token:
        • Enthält den Tokentyp X.509 V3 Token v1.0.
        • Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.generate.x509.
      • X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks mit den folgenden Eigenschaften auf:
        • Keystore-Typ: JKS
        • Keystore-Kennwort: client
        • Der Aliasname des anerkannten Zertifikats ist soapca.
        • Aliasname des persönlichen Zertifikats: soapprovider
        • Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für die Generierung von Signaturdaten hat den Namen symmetric-signingInfoResponse und enthält die folgende Konfiguration:
    • Referenzen auf die Signierschlüsseldaten gen_signsctkeyinfo.
    • Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
    • Signierschlüsseldaten mit dem Namen gen_signsctkeyinfo, die die folgende Konfiguration enthalten:
      • Sicherheitstokenreferenz
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Generator für Zugriffsschutztoken mit dem Namen gen_scttoken:
        • Enthält den Tokentyp Secure Conversation Token v1.3.
        • Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.generate.sct.
      • WS-Trust-Callback-Handler
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen asymmetric-encryptionInfoResponse und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten gen_enckeyinfo
    • Chiffrierschlüsseldaten mit dem Namen gen_enckeyinfo, die die folgende Konfiguration enthalten:
      • Schlüsselkennung
      • Generator für asymmetrische Veschlüsselung für Zugriffsschutztoken mit dem Namen gen_encx509token:
        • Enthält den Tokentyp X.509 V3 Token v1.0.
        • Enthält den Wertetyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 für den lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.generate.x509.
      • Verwendet den X.509-Callback-Handler. Der Callback-Handler ruft den angepassten Keystore unter ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks mit den folgenden Eigenschaften auf:
        • Keystore-Typ: JCEKS
        • Keystore-Kennwort: client
        • Der Aliasname des anerkannten Zertifikats ist soapca.
        • Aliasname des persönlichen Zertifikats: alice
        • Schlüsselkennwortclient, der von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt wurde, die wiederum von soapca ausgestellt wird
    • Schlüsselverschlüsselungsverfahren: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen symmetric-encryptionInfoResponse und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten gen_encsctkeyinfo
    • Chiffrierschlüsseldaten mit dem Namen gen_encsctkeyinfo, die die folgende Konfiguration enthalten:
      • Sicherheitstokenreferenz
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Generator für Zugriffsschutztoken mit dem Namen gen_scttoken:
        • Enthält den Tokentyp Secure Conversation Token v1.3.
        • Enthält den Wertetyp http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct als lokalen Abschnittswert.
        • Enthält die JAAS-Anmeldung wss.generate.sct.
      • WS-Trust-Callback-Handler
    • Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • Die Beispielkonfiguration für den Konsum von Authentifizierungstoken hat den Namen con_krb5token und enthält die folgende Konfiguration:
    • Angepasster Tokentyp für das Kerberos-v5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
    • JAAS-Anmeldung wss.consume.KRB5BST
    • Callback-Handler für angepasste Kerberos-Token.
  • Die Beispielkonfiguration für den Konsum von Authentifizierungstoken hat den Namen con_ltpaproptoken und enthält die folgende Konfiguration:
    • Tokentyp LTPA-Weitergabetoken
    • JAAS-Anmeldung wss.consume.ltpaProp
    • Callback-Handler für LTPA-Token
  • Die Beispielkonfiguration für den Konsum von Authentifizierungstoken hat den Namen con_ltpatoken und enthält die folgende Konfiguration:
    • Tokentyp LTPA Token v2.0 mit den folgenden Eigenschaften:
      • Enthält LTPAv2 als lokalen Abschnittswert.
      • Enthält http://www.ibm.com/websphere/appserver/tokentype als Wert für den Namespace-URI.
    • JAAS-Anmeldung wss.consume.ltpa
    • Callback-Handler für LTPA-Token
  • Die Beispielkonfiguration für den Konsum von Authentifizierungstoken hat den Namen con_unametoken und enthält die folgende Konfiguration:
    • Tokentyp Username Token v1.0, der http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken als lokalen Abschnittswert enthält.
    • JAAS-Anmeldung wss.consume.unt
    • Callback-Handler für Benutzernamenstoken mit den folgenden angepassten Eigenschaften:
      • com.ibm.wsspi.wssecurity.token.username.verifyNonce für die Prüfung des Nonce-Werts
      • com.ibm.wsspi.wssecurity.token.username.verifyTimestamp für die Prüfung des Zeitmarkenwerts

Providerbeispielbindungen der Version 2

Die beiden neuen allgemeinen Beispielbindungen, Client sample V2 und Provider sample V2, wurden dem Produkt hinzugefügt. Während viele Konfigurationen dieselben wie in den früheren Versionen der Client- und Providerbeispielbindungen sind, gibt es verschiedene zusätzliche, neue Beispielkonfigurationen. Zur Verwendung dieser neuen Bindungen erstellen Sie nach der Installation des Produkts ein neues Profil. Weitere Informationen finden Sie im Artikel "Kerberos-Richtliniensätze und allgemeine Beispielbindungen der Version 2 konfigurieren".

  • Die Beispielkonfiguration für die Generierung von Signaturdaten, symmetric-KrbsignInfoRequest, enthält die folgende Konfiguration:
    • Referenzen auf die Signierschlüsseldaten con_respKRBsignkeyinfo.
    • Abschnittsreferenzkonfiguration, die die Umsetzungskonfiguration mit dem Algorithmus http://www.w3.org/2001/10/xml-exc-c14n#algorithm enthält.
    • Signierschlüsseldaten con_respKRBsignkeyinfo, die die folgende Konfiguration enthalten:
      • Sicherheitstokenreferenz
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Konsument für Zugriffsschutztoken mit dem Namen con_krb5token:
        • Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
        • Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
        • JAAS-Anmeldung wss.consume.KRB5BST
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für die Generierung von Verschlüsselungsdaten hat den Namen symmetric-KrbEncInfoRequest und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten con_reqKRBenckeyinfo
    • Chiffrierschlüsseldaten con_reqKRBenckeyinfo, die die folgende Konfiguration enthalten:
      • Sicherheitstokenreferenz
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Konsument für Zugriffsschutztoken con_krb5token, der die folgende Konfiguration enthält:
        • Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
        • Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
        • JAAS-Anmeldung wss.consume.KRB5BST
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
    • Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • Die Beispielkonfiguration für den Konsum von Signaturdaten hat den Namen symmetric-KrbsignInfoResponse und enthält die folgende Konfiguration:
    • Referenzen auf die gen_respKRBsignkeyinfo-Signierschlüsseldaten
    • Abschnittsreferenzkonfiguration, die den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n# für die Umsetzungskonfiguration enthält.
    • Signierschlüsseldaten mit dem Namen gen_respKRBsignkeyinfo, die die folgende Konfiguration enthalten:
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Generator für Zugriffsschutztoken mit dem Namen gen_krb5token:
        • Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
        • Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
        • JAAS-Anmeldung wss.generate.KRB5BST
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
    • Signaturmethode http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • Kanonisierungsmethode http://www.w3.org/2001/10/xml-exc-c14n#
  • Die Beispielkonfiguration für den Konsum von Verschlüsselungsdaten hat den Namen symmetric-KrbEncInfoResponse und enthält die folgende Konfiguration:
    • Referenz auf die Chiffrierschlüsseldaten gen_respKRBenckeyinfo
    • Chiffrierschlüsseldaten mit dem Namen gen_respKRBenckeyinfo, die die folgende Konfiguration enthalten:
      • Abgeleiteter Schlüssel mit folgenden Eigenschaften:
        • Explizit abgeleitetes Schlüsseltoken
        • WS-SecureConversation als Clientkennsatz
        • WS-SecureConversation als Servicekennsatz
        • Schlüssellänge von 16 Bytes
        • Nonce-Länge von 16 Bytes
      • Generator für Zugriffsschutztoken mit dem Namen gen_krb5token:
        • Binärer Kerberos-V5-GSS-Sicherheitstokentyp AP_REQ
        • Wertetyp http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ für den lokalen Abschnittswert
        • JAAS-Anmeldung wss.generate.KRB5BST
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
    • Datenverschlüsselungsverfahren http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen gen_krb5token und enthält die folgende Konfiguration:
    • Angepasster Tokentyp für das Kerberos-V5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
    • JAAS-Anmeldung wss.generate.KRB5BST
    • Callback-Handler für angepasste Kerberos-Token.
  • Die Beispielkonfiguration für die Generierung von Authentifizierungstoken hat den Namen con_krb5token und enthält die folgende Konfiguration:
    • Angepasster Tokentyp für das Kerberos-V5-Token, der http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ als lokalen Abschnittswert verwendet.
    • JAAS-Anmeldung wss.consume.KRB5BST
    • Callback-Handler für angepasste Kerberos-Token.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_defaultconfigjaxws
Dateiname:cwbs_defaultconfigjaxws.html