Protección de mensajes Kerberos para servicios web

La seguridad a nivel de mensajes se basa en la especificación Web Services Security Kerberos Token Profile versión 1.1 de OASIS (Advancement of Structured Information Standards). Utilice este tema para saber de forma general cómo se implementa la protección de mensajes con una señal Kerberos para servicios web.

Protección de mensajes

El servidor de aplicaciones puede trabajar con otras tecnologías de servicios web, gracias a la implementación del perfil de seña Kerberos de servicios Web de OASIS. Esta especificación define los estándares para proteger un mensaje SOAP con la señal Kerberos. No obstante, la autenticación mutua no está definida por parte del perfil de señal. La especificación de Seguridad de mensajes SOAP de servicios web describe cómo proteger un mensaje SOAP a través de la firma y cifrado utilizando y haciendo referencia a una señal Kerberos. Concretamente, la especificación OASIS define cómo la señal Kerberos, como paquete AP_REQ envuelto o sin envolver, se codifica y conecta al mensaje SOAP. La señal que se ha descrito en el perfil de señal Kerberos de OASIS está limitada al paquete AP_REQ, que consta de un ticket de servicio y un autenticador. El paquete AP_REQ se obtiene del Centro de distribución de claves (KDC) que se utiliza como servicio de autenticación de un tercero.

Existen varios formatos para la señal Kerberos, según se define en el perfil de señal de Kerberos de seguridad de servicios web 1.1 de OASIS. El atributo @ValueType se utiliza para especificar el formato de señal. Debe especificar uno de los atributos <@ValueType> siguientes para el elemento:
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
  • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

La señal AP_REQ resultante pude tener la infraestructura GSS-API (envuelta) o sin procesar (no envuelta). La señal debe tener la codificación Base-64.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_kerberosmsgprotect
File name: cwbs_kerberosmsgprotect.html