Configuración de enlaces para la protección de mensajes para Kerberos
Para configurar enlaces para la protección de mensajes con aplicaciones JAX-WS, debe crear un enlace personalizado. Complete esta tarea para configurar los enlaces para una señal Kerberos, como se define en la especificación OASIS de Web Services Security para el perfil de señales Kerberos Versión 1.1.
Antes de empezar
Debe configurar Kerberos para IBM WebSphere Application Server. Para obtener más información, consulte el soporte del mecanismo de autenticación Kerberos (KRB5) para la seguridad. Además, debe configurar el conjunto de políticas de señales Kerberos para aplicaciones JAX-WS. Para obtener más información, consulte el apartado Configuración del conjunto de políticas de señales Kerberos para las aplicaciones JAX-WS.
Acerca de esta tarea
Puede utilizar las infraestructuras existentes, incluido el conjunto de políticas y los enlaces de las aplicaciones JAX-WS.
- Señal de protección simétrica
- Generador de señales
- Consumidor de señales
- Señal de autenticación
- Generador de señales
- Consumidor de señales
Utilice la consola administrativa para configurar los enlaces específicos de la aplicación de manera que utilicen una señal Kerberos en la protección de mensajes de los servicios web.
Procedimiento
- Expanda Aplicaciones > Tipos de aplicación.
- Pulse Aplicaciones empresariales de WebSphere > nombre_aplicación.
- Desde la cabecera de propiedades de servicios web, pulse Conjuntos de políticas y enlaces del proveedor de servicios para configurar los enlaces de servicios, o bien pulse Conjuntos de políticas y enlaces del cliente de servicio para configurar los enlaces de clientes.
- Seleccione el recurso que conectar al conjunto de políticas de señales de Kerberos y seleccione Conectar conjunto de políticas > nombre_conjunto_políticas. Para configurar el conjunto de políticas de señales de Kerberos, consulte el apartado Configuración del conjunto de políticas de señales Kerberos para las aplicaciones JAX-WS.
- Pulse Asignar enlaces y seleccione el enlace específico de la aplicación, o bien Nuevo enlace específico de la aplicación para crear un nuevo enlace. Para crear un nuevo enlace, complete las acciones siguientes.
- Especifique un nombre para el nuevo enlace en el campo Nombre de configuración de enlace y, si lo desea, especifique una descripción para el enlace en el campo Descripción.
- Pulse Añadir y seleccione WS-Security para especificar un nuevo conjunto de políticas.
- Pulse Autenticación y protección > Nuevo.
- Opcional: Defina una señal de protección simétrica para el generador de señales. Importante: Si configura una señal de protección simétrica para el generador de señales, debe definir una señal de protección simétrica complementaria para el consumidor de señales.
- Desde la cabecera Señales de protección, pulse Nuevo y seleccione Generador de señales.
- Especifique el nombre de la señal de protección en el campo Nombre.
- Seleccione Personalizada en los valores de la lista de menú Tipo de señal.
- Especifique el valor del nombre local en el campo Nombre local. Para permitir la interoperatividad con otras tecnologías de servicios web, especifique el nombre local siguiente: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si no le preocupa la interoperatividad, puede especificar uno de los siguientes valores de nombre local:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Estos valores alternativos dependen del nivel de especificación para la señal Kerberos generada por KDC (Centro de distribución de claves) de Kerberos). Para obtener más información sobre cuándo utilizar estos valores, consulte los Valores de señales de protección (generador o consumidor).
- No especifique un valor para el campo URI de espacio de nombres.
- Seleccione el valor wss.generate.KRB5BST de la lista del menú de inicio de sesión JAAS.Si ha definido previamente su módulo de inicio de sesión JAAS (Java™ Authentication and Authorization Service), puede seleccionar el módulo de inicio de sesión para manejar la señal personalizada de Kerberos. Para definir un módulo de inicio de sesión JAAS personalizado, pulse Nuevo inicio de sesión de aplicación > Nuevo, especifique un alias para el módulo nuevo y pulse Aplicar. Para obtener más información, consulte los Valores del módulo de inicio de sesión para Java Authentication and Authorization Service.Atención: Aunque la información del tema "Valores del módulo de inicio de sesión de Java Authentication and Authorization Service" se refiere a la seguridad y no a Web Services Security, la configuración de un módulo de inicio de sesión de Web Services Security es idéntica a la de seguridad.
- Especifique las propiedades personalizadas del generador de señales del nombre del servicio de destino, el host y el dominio.La combinación del nombre de servicio de destino y los valores de host forman el SPN (Service Principal Name), que representa el nombre del principal del servicio Kerberos de destino. El cliente Kerberos solicita la señal Kerberos inicial AP_REQ para SPN. Especifique las siguientes propiedades personalizadas.Para utilizar la seguridad de señales de Kerberos en un entorno real cruzado o de confianza, debe proporcionar un valor para la propiedad targetServiceRealm.
Tabla 1. Propiedades personalizadas del servicio de destino. Utilice estas propiedades para especificar la información de generador de señales. Name Valor Tipo com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Especifique el nombre del servicio de destino. Required com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Especifique el nombre de host asociado al servicio de destino con el formato siguiente: myhost.mycompany.com Required com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Especifique el nombre del dominio asociado al servicio de destino. 1 Para especificar varios pares de nombre y valor de las propiedades personalizadas, pulse Nuevo.
- Pulse Aplicar.
- Desde la cabecera Enlaces adicionales, pulse Manejador de retorno de llamada.
- Desde la cabecera Nombre de clase, seleccione la opción Utilizar personalizado y especifique com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler en el campo asociado.
- Desde la cabecera Autenticación básica, especifique los valores adecuados para los campos Nombre de usuario, Contraseña y Confirmar contraseña.
El nombre de usuario especifica el ID de usuario predeterminado que se pasa al constructor del manejador de retorno de llamada; por ejemplo, kerberosuser.
- Especifique las propiedades personalizadas de generador de señales para el nombre y la contraseña del cliente principal de Kerberos, a fin de iniciar el inicio de sesión de Kerberos.Estas propiedades personalizadas controlan la solicitud y establecen la señal en función de la memoria caché de credenciales. Especifique las siguientes propiedades personalizadas.
Tabla 2. Propiedades personalizadas del inicio de sesión de Kerberos. Utilice esta propiedad para especificar la información de generador de señales. Name Valor Tipo com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Habilita el inicio de sesión de Kerberos cuando el valor es True. El valor predeterminado es False. Optional Para especificar varios pares de nombre y valor de las propiedades personalizadas, pulse Nuevo.
- Pulse Aplicar y Aceptar.
- Opcional: Vuelva al panel de autenticación y protección para definir una señal de protección simétrica para el consumidor de señales. Para volver al panel de autenticación y protección, pulse el enlace Autenticación y protección tras la sección de mensajes del panel.
Importante: Si configura una señal de protección simétrica para el consumidor de señales, asegúrese de haber definido previamente una señal de protección simétrica complementaria para el generador de señales.
- Desde la cabecera Señales de protección, pulse Nuevo y seleccione Consumidor de señales.
- Especifique el nombre de la señal de protección en el campo Nombre.
- Seleccione Personalizada en los valores de la lista de menú Tipo de señal.
- Especifique el valor del nombre local en el campo Nombre local.Para permitir la interoperatividad con otras tecnologías de servicios web, especifique el nombre local siguiente: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si no le preocupa la interoperatividad, puede especificar uno de los siguientes valores de nombre local:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Estos valores alternativos dependen del nivel de especificación para la señal Kerberos generada por KDC (Centro de distribución de claves) de Kerberos). Para obtener más información sobre cuándo utilizar estos valores, consulte los Valores de señales de protección (generador o consumidor).
- No especifique un valor para el campo URI de espacio de nombres.
- Seleccione el valor wss.consume.KRB5BST en el menú desplegable de inicio de sesión JAAS.Si ha definido previamente su módulo de inicio de sesión JAAS (Java Authentication and Authorization Service), puede seleccionar este módulo de inicio de sesión para manejar la señal personalizada de Kerberos. Para definir un módulo de inicio de sesión JAAS personalizado, pulse Nuevo inicio de sesión de aplicación > Nuevo, especifique un alias para el módulo nuevo y pulse Aplicar. Para obtener más información, consulte los Valores del módulo de inicio de sesión para Java Authentication and Authorization Service.Atención: Aunque la información de los valores del módulo de inicio de sesión del tema Java Authentication and Authorization Service se refiere a la seguridad y no a la seguridad de servicios web , la configuración de un módulo de inicio de sesión de seguridad de servicios web es idéntica a la de seguridad.
- Pulse Aplicar.
- Desde la cabecera Enlaces adicionales, pulse Manejador de retorno de llamada.
- Desde la cabecera Nombre de clase, seleccione la opción Utilizar personalizado y especifique com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler en el campo asociado.
- Pulse Aplicar y Aceptar.
- Opcional: Vuelva al panel de autenticación y protección para definir una configuración de señal de autenticación para el generador de señales. Para volver al panel de autenticación y protección, pulse el enlace Autenticación y protección tras la sección de mensajes del panel.
Las señales de autenticación se envían en los mensajes para probar o confirmar una identidad.
Importante: Si configura una señal de autenticación para el generador de señales, debe definir una señal de autenticación complementaria para el consumidor de señales.- Desde la cabecera Señales de autenticación, pulse Nuevo y seleccione Generador de señales.
- Especifique el nombre de la señal de autenticación en el campo Nombre.
- Seleccione Personalizada en los valores de la lista de menú Tipo de señal.
- Especifique el valor del nombre local en el campo Nombre local.Para permitir la interoperatividad con otras tecnologías de servicios web, especifique el nombre local siguiente: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si no le preocupa la interoperatividad, puede especificar uno de los siguientes valores de nombre local:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Estos valores alternativos dependen del nivel de especificación para la señal Kerberos generada por KDC (Centro de distribución de claves) de Kerberos). Para obtener más información sobre cuándo utilizar estos valores, consulte el tema Valores de las señales del consumidor o el generador de autenticación.
- No especifique un valor para el campo URI de espacio de nombres.
- Seleccione el valor wss.generate.KRB5BST de la lista del menú de inicio de sesión JAAS.Si ha definido previamente su módulo de inicio de sesión JAAS (Java Authentication and Authorization Service), puede seleccionar este módulo de inicio de sesión para manejar la señal personalizada de Kerberos. Para definir un módulo de inicio de sesión JAAS personalizado, pulse Nuevo inicio de sesión de aplicación > Nuevo, especifique un alias para el módulo nuevo y pulse Aplicar. Para obtener más información, consulte los Valores del módulo de inicio de sesión para Java Authentication and Authorization Service.Atención: Aunque la información de los valores del módulo de inicio de sesión del tema Java Authentication and Authorization Service se refiere a la seguridad y no a la seguridad de servicios web , la configuración de un módulo de inicio de sesión de seguridad de servicios web es idéntica a la de seguridad.
- Especifique las propiedades personalizadas del generador de señales del nombre del servicio de destino, el host y el dominio.La combinación del nombre de servicio de destino y los valores de host forman el SPN (Service Principal Name), que representa el nombre del principal del servicio Kerberos de destino. El cliente Kerberos solicita la señal Kerberos inicial AP_REQ para SPN. Especifique las siguientes propiedades personalizadas.
Tabla 3. Propiedades personalizadas del servicio de destino. Utilice estas propiedades personalizadas para especificar la información de generador de señales. Name Valor Tipo com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Especifique el nombre del servicio de destino. Required com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Especifique el nombre de host asociado al servicio de destino con el formato siguiente: myhost.mycompany.com Required com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Especifique el nombre del dominio asociado al servicio de destino. Optional Para especificar varios pares de nombre y valor de las propiedades personalizadas, pulse Nuevo.
- Pulse Aplicar.
- Desde la cabecera Enlaces adicionales, pulse Manejador de retorno de llamada.
- Desde la cabecera Nombre de clase, seleccione la opción Utilizar personalizado y especifique com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler en el campo asociado.
- Desde la cabecera Autenticación básica, especifique los valores adecuados para los campos Nombre de usuario, Contraseña y Confirmar contraseña.
El nombre de usuario especifica el ID de usuario predeterminado que se pasa al constructor del manejador de retorno de llamada. Por ejemplo: kerberosuser
- Especifique las propiedades personalizadas de generador de señales para el nombre y la contraseña del cliente principal de Kerberos, a fin de iniciar el inicio de sesión de Kerberos.Estas propiedades personalizadas controlan la solicitud y establecen la señal en función de la memoria caché de credenciales. Especifique los pares de nombre y valor de las siguientes propiedades personalizadas.Al implementar la seguridad de los servicios Web en un entorno de reino Kerberos cruzado o de confianza, debe proporcionar un valor para la propiedad clientRealm.
Tabla 4. Propiedades personalizadas del inicio de sesión de Kerberos. Utilice las propiedades personalizadas para especificar la información de generador de señales. Name Valor Tipo com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Habilita el inicio de sesión de Kerberos cuando el valor es True. El valor predeterminado es False. Optional com.ibm.wsspi.wssecurity.krbtoken.clientRealm Especifique el nombre del dominio Kerberos asociado con el cliente. 2 Si una aplicación genera o consume una señal Kerberos V5 AP_REQ para cada mensaje de solicitud de servicios web, establezca la propiedad personalizada com.ibm.wsspi.wssecurity.kerberos.attach.apreq en true en el generador de señales y los enlaces de consumidor de señales para la aplicación.
Para especificar varios pares de nombre y valor de las propiedades personalizadas, pulse Nuevo.
- Pulse Aplicar y Aceptar.
- Opcional: Vuelva al panel de autenticación y protección para definir una configuración de señal de autenticación para el consumidor de señales. Para volver al panel de autenticación y protección, pulse el enlace Autenticación y protección tras la sección de mensajes del panel.
Importante: Si configura una señal de autenticación para el consumidor de señales, asegúrese de haber definido previamente una señal de autenticación para el generador de señales.
- Desde la cabecera Señales de autenticación, pulse Nuevo y seleccione Consumidor de señales.
- Especifique el nombre de la señal de autenticación en el campo Nombre.
- Seleccione Personalizada en los valores de la lista de menú Tipo de señal.
- Especifique el valor del nombre local en el campo Nombre local.Para permitir la interoperatividad con otras tecnologías de servicios web, especifique el nombre local siguiente: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si no le preocupa la interoperatividad, puede especificar uno de los siguientes valores de nombre local:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Estos valores alternativos dependen del nivel de especificación para la señal Kerberos generada por KDC (Centro de distribución de claves) de Kerberos). Para obtener más información sobre cuándo utilizar estos valores, consulte el enlace relacionado del tema "Valores de las señales del consumidor o el generador de autenticación".
- No especifique un valor para el campo URI de espacio de nombres.
- Seleccione el valor wss.consume.KRB5BST en el menú desplegable de inicio de sesión JAAS.Si ha definido previamente su módulo de inicio de sesión JAAS (Java Authentication and Authorization Service), puede seleccionar este módulo de inicio de sesión para manejar la señal personalizada de Kerberos. Para definir un módulo de inicio de sesión JAAS personalizado, pulse Nuevo inicio de sesión de aplicación > Nuevo, especifique un alias para el módulo nuevo y pulse Aplicar. Para obtener más información, consulte los Valores del módulo de inicio de sesión para Java Authentication and Authorization Service.Atención: Aunque la información de los valores del módulo de inicio de sesión del tema Java Authentication and Authorization Service se refiere a la seguridad y no a la seguridad de servicios web , la configuración de un módulo de inicio de sesión de seguridad de servicios web es idéntica a la de seguridad.
- Pulse Aplicar.
- Desde la cabecera Enlaces adicionales, pulse Manejador de retorno de llamada.
- Desde la cabecera Nombre de clase, seleccione la opción Utilizar personalizado y especifique com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler en el campo asociado.
- Pulse Aplicar y Aceptar.
Qué hacer a continuación
Puede definir opcionalmente enlaces clave para la protección de mensajes de solicitud y la protección de mensajes de respuesta. Si decide derivar una clave a partir de la señal Kerberos, configure la información de clave derivada cuando configure la información clave para las firmas y el cifrado.
Vuelva a los pasos del tema Configuración de la señal Kerberos para la seguridad de servicios web para asegurarse de haber completado los pasos para configurar la señal Kerberos.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confkerbbinding
File name: twbs_confkerbbinding.html