Callback-Handler-Konfigurationseinstellungen für JAX-RPC
Auf dieser Seite können Sie angeben, wie das in den Web-Services-Security-Header für JAX-RPC von SOAP-Nachrichten eingefügte Sicherheitstoken abgerufen wird. Für die Tokenbeschaffung gibt es ein modular aufgebautes Framework, das die Schnittstelle javax.security.auth.callback.CallbackHandler von JAAS (Java Authentication and Authorization Service) nutzt, um das Sicherheitstoken anzufordern.

- Generator
- Wenn diese Information zusammen mit einem Verschlüsselungsgenerator verwendet wird, wird der für den Generator angegebene Alias verwendet, um den öffentlichen Schlüssel für die Verschlüsselung der Nachricht abzurufen. Ein Kennwort ist nicht erforderlich. Der Alias, der für einen Callback-Handler angegeben wird, der einem Verschlüsselungsgenerator zugeordnet ist, muss ohne Kennwort zugänglich sein. Das bedeutet, dass der Alias keine zugehörigen privaten Schlüsseldaten im Keystore haben darf. Wenn diese Information zusammen mit einem Signaturgenerator verwendet wird, wird der für den Generator angegebene Alias verwendet, um den privaten Schlüssel für die Unterzeichnung der Nachricht abzurufen. Es ist ein Kennwort erforderlich.
- Klicken Sie auf .
- Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf .
- Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
- Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf .
- Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
- Klicken Sie auf .
- Klicken Sie unter "Module" auf Module verwalten URI-Name.
- Unter "Eigenschaften von Web Services Security" können Sie auf die Informationen zum Callback-Handler für die folgenden Bindungen
zugreifen:
- Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.Klicken Sie unter "Weitere Eigenschaften" auf Tokengenerator. Klicken Sie auf Neu, um eine neue Tokengeneratorkonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Tokengenerator. Klicken Sie auf Neu, um eine neue Tokengeneratorkonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
Klassenname des Callback-Handler
Gibt den Namen der Implementierungsklasse für den Callback-Handler an, mit der ein Sicherheitstoken-Framework implementiert wird.
MyCallbackHandler(String Benutzername, char[] Kennwort,
java.util.Map Eigenschaften)
- Benutzername
- Gibt den Benutzernamen an, der an die Konfiguration übergeben wird.
- Kennwort
- Gibt das Kennwort an, das an die Konfiguration übergeben wird.
- Eigenschaften
- Gibt die übrigen Konfigurationseigenschaften an, die an die Konfiguration übergeben werden.
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- Dieser Callback-Handler fordert den Benutzernamen und das Kennwort in einem Anmeldedialog an. Wenn Sie in dieser Anzeige den Benutzernamen und das Kennwort angeben, wird jedoch keine Eingabeaufforderung angezeigt. Der Anwendungsserver gibt den in dieser Anzeige angegebenen Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- Dieser Callback-Handler setzt keine Eingabeaufforderung ab und gibt den in dieser Anzeige angegebenen Benutzernamen und das Kennwort zurück. Diesen Callback-Handler können Sie verwenden, wenn der Web-Service die Rolle eines Clients hat.
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind, setzt der Anwendungsserver jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind, setzt der Anwendungsserver jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- Mit diesem Callback-Handler können Sie das LTPA-Sicherheitstoken aus dem Subjekt des RunAs-Aufrufs anfordern. Dieses Token wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Wenn der Benutzername und das Kennwort jedoch in dieser Anzeige angegeben sind, authentifiziert der Anwendungsserver diese beiden Angaben, um das LTPA-Sicherheitstoken anzufordern. Verwenden Sie diesen Callback-Handler nur, wenn der Web-Service für den Anwendungsserver die Rolle eines Clients hat. Sie sollten diesen Callback-Handler nicht für einen Java EE-Anwendungsclient verwenden.
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Mit diesem Callback-Handler können Sie das X.509-Zertifikat erstellen, das als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt wird. Für diesen Callback-Handler sind ein Keystore und eine Schlüsseldefinition erforderlich.
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PKCS#7 codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Sie müssen im Zertifikatssammelspeicher eine Liste der entzogenen Zertifikate (CRL, Certificate Revocation List) angeben. Die CRL wird mit dem X.509-Zertifikat im Format PKCS#7 codiert.
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PkiPath codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Der Callback-Handler unterstützt keine CRL. Deshalb wird auch kein Zertifikatssammelspeicher benötigt oder verwendet.
Die Callback-Handler-Implementierung ruft das erforderliche Sicherheitstoken ab und übergibt es an den Tokengenerator. Der Tokengenerator fügt das Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht ein. Der Tokengenerator ist gleichzeitig der Plug-in-Punkt für das modular aufgebaute Sicherheitstoken-Framework. Service-Provider können ihre eigene Implementierung bereitstellen. Diese muss jedoch das die Schnittstelle com.ibm.websphere.wssecurity.wssapi.token.SecurityToken verwenden. Die Implementierung des JAAS-Anmeldemoduls (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen bzw. das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).
Zusicherung der Identität verwenden
Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben.
Diese Option gibt an, dass nur die Identität des ursprünglichen Senders erforderlich ist und in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt wird. Bei einem Generator für Benutzernamenstoken sendet der Anwendungsserver beispielsweise nur den Benutzernamen des ursprünglichen Aufrufers. Bei einem X.509-Tokengenerator sendet der Anwendungsserver nur das Originalausstellerzertifikat.
RunAs-ID verwenden
Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben und für die Zusicherung der Identität bei einem untergeordneten Aufruf anstelle der ID des ursprünglich Aufrufenden die RunAs-ID verwenden möchten.
Diese Option ist nur gültig, wenn Sie den Generator für Benutzernamenstoken als Tokengenerator konfiguriert haben.
Benutzer-ID für Basisauthentifizierung
Gibt den Benutzernamen an, der an die Konstruktoren der Callback-Handler-Implementierung übergeben wird.
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
Diese Implementierungen sind ausführlich im Abschnitt Klassenname des Callback-Handlers beschrieben.
Kennwort für Basisauthentifizierung
Gibt das Kennwort an, das an die Konstruktoren des Callback-Handlers übergeben wird.
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatspfad zu erstellen.
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatspfad zu erstellen.
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Der Keystore wird verwendet, um das X.509-Zertifikat abzurufen.
Keystore
Wählen Sie Ohne aus, wenn für diese Konfiguration kein Keystore benötigt wird.
Wählen Sie Vordefinierter Keystore aus, um vordefinierte Keystores mit dem Namen der Keystorekonfiguration auswählen zu können.
Wählen Sie Benutzerdefinierter Keystore aus, wenn Sie benutzerdefinierte Keystores verwenden möchten.
Die folgenden Informationen müssen angegeben werden:
Name der Keystorekonfiguration
Gibt den Namen der Keystorekonfiguration an, die in den Keystoreeinstellungen für sichere Kommunikation definiert ist.
Kennwort für Keystore
Gibt das Kennwort für den Zugriff auf die Keystoredatei an.
Keystorepfad
Gibt die Position der Keystoredatei an.
Verwenden Sie im Pfadnamen ${USER_INSTALL_ROOT}. Diese Variable wird durch den Produktpfad auf Ihrer Maschine ersetzt. Wenn Sie den von dieser Variablen verwendeten Pfad ändern möchten, klicken Sie auf USER_INSTALL_ROOT.
und anschließend aufKeystoretyp
Gibt den Typ des Keystoredateiformats an.
- JKS
- Geben Sie diese Option an, wenn für den Keystore das JKS-Format (Java Keystore Store) verwendet wird.
- JCEKS
- Geben Sie diese Option an, wenn die Java™ Cryptography Extension im SDK (Software Development Kit) konfiguriert ist. Die Standard-JCE von IBM ist im Anwendungsserver konfiguriert. Diese Option bietet mit der 3DES-Verschlüsselung einen stärkeren Schutz für gespeicherte private Schlüssel.
JCERACFKS
Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
- PKCS11KS (PKCS11)
- Verwenden Sie diese Option, wenn Ihre Keystoredateien das PKCS#11-Dateiformat verwenden. Keystoredateien, die dieses Format verwenden, können RSA-Schlüssel (Rivest Shamir Adleman) auf der Verschlüsselungshardware enthalten oder Schlüssel chiffrieren, die für die Gewährleistung des Zugriffsschutzes Schlüssel chiffrieren.
- PKCS12KS (PKCS12)
- Verwenden Sie diese Option, wenn Ihre Keystoredateien das PKCS#12-Dateiformat verwenden.