Valores de configuración de manejador de devolución de llamada para JAX-RPC

Utilice esta página para especificar cómo adquirir la señal de seguridad que se inserta en la cabecera de seguridad de los servicios web para JAX-RPC dentro del mensaje SOAP. La adquisición de la señal es una infraestructura conectable que refuerza la interfaz JAAS (Java™ Authentication and Authorization Service) javax.security.auth.callback.CallbackHandler para adquirir la señal de seguridad.

Avoid trouble Avoid trouble: Antes de especificar valores para las propiedades Keystore y Key en esta página, debe saber que la información de almacén de claves/alias que suministra para el generador y la información de almacén de claves/alias que suministra para el consumidor se utilizan para finalidades diferentes. La diferencia principal radica en el alias para un manejador de devolución de llamada X.509: gotcha
Generador
Cuando se utiliza en asociación con un generador de cifrado, el alias suministrado para el generador se utiliza para recuperar la clave pública para cifrar el mensaje. No es necesaria ninguna contraseña. El alias especificado en un manejador de devolución de llamada asociado con un generador de cifrado debe ser accesible sin contraseña. Esto significa que el alias no debe tener información de clave privada asociada en el almacén de claves. Cuando se utiliza junto con ungenerador de firmas, el alias proporcionado para el generador se utiliza para recuperar la clave privada para firmar el mensaje. Es necesaria una contraseña.
Para ver esta página de la consola administrativa para el manejador de retorno de llamada a nivel de célula, realice los pasos siguientes:
  1. Pulse Seguridad > Tiempo de ejecución de seguridad JAX-WS y JAX-RPC.
  2. En Enlaces de generador por omisión de JAX-RPC, pulse Generadores de señales > nombre_generador_señales.
  3. En Propiedades adicionales, pulse Manejador de retorno de llamada.
Para ver esta página de la consola administrativa para el manejador de retorno de llamada a nivel de servidor, realice los pasos siguientes:
  1. Pulse Servidores > Tipos de servidor > Servidores de aplicaciones de WebSphere > nombre_servidor.
  2. En Seguridad, pulse Tiempo de ejecución de seguridad JAX-WS y JAX-RPC.
    Mixed-version environment Mixed-version environment: En una célula de nodo mixto con un WebSphere Application Server versión 6.1 o anterior, pulse Servicios web: enlaces predeterminados para Web Services Security.mixv
  3. En Enlaces de generador por omisión de JAX-RPC, pulse Generadores de señales > nombre_generador_señales.
  4. En Propiedades adicionales, pulse Manejador de retorno de llamada.
Para ver esta página de la consola administrativa para el manejador de retorno de llamada a nivel de aplicación, realice los pasos siguientes:
  1. Pulse Aplicaciones > Tipos de aplicación > Aplicaciones de empresa de WebSphere > nombre_aplicación.
  2. En Módulos, pulse Gestionar módulos nombre_URI.
  3. En Propiedades de seguridad de los servicios Web, puede acceder a la información de manejadores de retorno de llamada para los enlaces siguientes:
    • En Enlace del generador (remitente) de solicitudes, pulse Servicios Web: Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado. En propiedades Adicionales, pulse Generadores de señales. Pulse Nuevo para crear una configuración de generador de señales nueva o pulse el nombre de una configuración existente para modificar sus valores. En Propiedades adicionales, pulse Manejador de retorno de llamada.
    • En Enlace del generador (remitente) de respuestas, pulse Servicios Web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado. En propiedades Adicionales, pulse Generadores de señales. Pulse Nuevo para crear una configuración de generador de señales nueva o pulse el nombre de una configuración existente para modificar sus valores. En Propiedades adicionales, pulse Manejador de retorno de llamada.

Nombre de la clase del manejador de retorno de llamada

Especifica el nombre de la clase de implementación del manejador de retorno de llamada que se utiliza para conectar una infraestructura de señales de seguridad.

La clase de manejador de retorno de llamada especificada debe implementar la clase javax.security.auth.callback.CallbackHandler. La implementación de la interfaz JAAS javax.security.auth.callback.CallbackHandler debe proporcionar un constructor que utilice la sintaxis siguiente:
MyCallbackHandler(String nombre_usuario, char[] contraseña,
    java.util.Map propiedades)
Donde:
nombre de usuario
Especifica el nombre de usuario que se pasa a la configuración.
password
Especifica la contraseña que se pasa a la configuración.
propiedades
Especifica las otras propiedades de configuración que se pasan a la configuración.
El servidor de aplicaciones proporciona las siguientes implementaciones de manejador de retorno de llamada predeterminado:
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
Este manejador de retorno de llamada utiliza un indicador de inicio de sesión para reunir la información de nombre de usuario y contraseña. No obstante, si especifica el nombre de usuario y la contraseña en este panel, no se muestra un indicador y el servidor de aplicaciones devuelve el nombre de usuario y la contraseña al generador de señales si se especifica en este panel. Utilice esta implementación sólo para un cliente de aplicación Java Platform, Enterprise Edition (Java EE).
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
Este manejador de retorno de llamada no emite un indicador y devuelve el nombre de usuario y la contraseña si se ha especificado en este panel. Puede utilizar este manejador de retorno de llamada cuando el servicio web actúe como un cliente.
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
Este manejador de retorno de llamada utiliza un indicador de inicio de sesión estándar para reunir la información sobre el nombre de usuario y la contraseña. No obstante, si especifica el nombre de usuario y la contraseña en este panel, el servidor de aplicaciones no emite un indicador sino que devuelve el nombre de usuario y la contraseña al generador de señales. Utilice esta implementación sólo para el cliente de aplicación Java EE (Java Platform, Enterprise Edition).
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
Este manejador de retorno de llamada utiliza un indicador de inicio de sesión estándar para reunir la información sobre el nombre de usuario y la contraseña. No obstante, si especifica el nombre de usuario y la contraseña en este panel, el servidor de aplicaciones no emite un indicador sino que devuelve el nombre de usuario y la contraseña al generador de señales. Utilice esta implementación sólo para el cliente de aplicación Java EE (Java Platform, Enterprise Edition).
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
Este manejador de retorno de llamada se utiliza para obtener la señal de seguridad LTPA (Lightweight Third Party Authentication) a partir del sujeto de invocación RunAs. Esta señal se inserta en la cabecera de seguridad de los servicios web en un mensaje SOAP como una señal de seguridad binaria. Sin embargo, si en este panel se especifican el nombre de usuario y la contraseña, el servidor de aplicaciones autentica el nombre de usuario y la contraseña para obtener la señal de seguridad LTPA, en lugar de obtenerla a partir del sujeto RunAs. Utilice este manejador de retorno de llamada cuando el servicio web actúe como un cliente en el servidor de aplicaciones. Se le recomienda que no utilice el manejador de retorno de llamada en un cliente de aplicaciones Java EE.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
Este manejador de retorno de llamada se utiliza para crear el certificado X.509 que se inserta en la cabecera de seguridad de los servicios web en el mensaje SOAP como una señal de seguridad binaria. Para este manejador de retorno de llamada es necesario un almacén de claves y una definición de claves.
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
El manejador de retorno de llamada se utiliza para crear certificados X.509 codificados con el formato PKCS número 7. El certificado se inserta en la cabecera de seguridad de los servicios web del mensaje SOAP como una señal de seguridad binaria. Se necesita un almacén de claves para este manejador de retorno de llamada. Debe especificar una lista de revocación de certificados (CRL) en el almacén de certificados de colecciones. El CRL se codifica con el certificado X.509 con el formato PKCS número 7.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
Este manejador de retorno de llamada se utiliza para crear certificados X.509 codificados con el formato PkiPath. El certificado se inserta en la cabecera de Web Services Security en el mensaje SOAP como señal de seguridad binaria. Se necesita un almacén de claves para este manejador de retorno de llamada. El manejador de retorno de llamada no soporta CRL; por lo tanto, no es necesario ni se utiliza el almacén de certificados de colecciones.

La implementación del manejador de retorno de llamada obtiene la señal de seguridad necesaria y la pasa al generador de señales. El generador de señales inserta la señal de seguridad en la cabecera de seguridad de los servicios web del mensaje SOAP. Asimismo, el generador de señales es un punto de conexión de la infraestructura de señales de seguridad conectable. Los proveedores de servicios pueden proporcionar su propia implementación, pero la implementación debe utilizar la interfaz com.ibm.websphere.wssecurity.wssapi.token.SecurityToken. La implementación del módulo de inicio de sesión JAAS (Java Authentication and Authorization Service) se utiliza para crear la señal de seguridad en el generador y validar (autenticar) la señal de seguridad del cliente, respectivamente.

Utilizar la confirmación de identidad

Seleccione esta opción si ha definido la aserción de identidad en el descriptor de despliegue extendido de IBM®.

Esta opción indica que solamente es necesaria la identidad del emisor inicial y se insertará en la cabecera de seguridad de los servicios web del mensaje SOAP. Por ejemplo, el servidor de aplicaciones solamente envía el nombre de usuario del emisor inicial de un generador de señales de nombre de usuario. Un generador de señales X.509, el servidor de aplicaciones envía solamente el certificado de firmante original.

Utilizar identidad RunAs

Seleccione esta opción si ha definido la aserción de identidad del descriptor de IBM Extended Deployment y desea utilizar la identidad RunAs en lugar de la identidad del emisor inicial para la aserción de identidad en una llamada en sentido descendente.

Esta opción sólo es válida si ha configurado el generador de señales del nombre de usuario como un generador de señales.

ID de usuario de autenticación básica

Especifica el nombre de usuario que se pasa a los constructores de la implementación del manejador de retorno de llamada.

Se utilizan el nombre de usuario y la contraseña de autenticación básica si selecciona una de las implementaciones del manejador de retorno de llamada predeterminado siguientes que proporciona este producto:
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

Estas implementaciones se describen detalladamente en la descripción del campo Nombre de clase del manejador de retorno de llamada.

Contraseña de autenticación básica

Especifica la contraseña que se pasa al constructor del manejador de retorno de llamada.

Se utilizan el almacén de claves y su configuración relacionada si selecciona una de las implementaciones del manejador de retorno de llamada predeterminado siguientes que proporciona este producto:
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
Se utiliza el almacén de claves para crear el certificado X.509 con la vía de acceso de certificado.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
Se utiliza el almacén de claves para crear el certificado X.509 con la vía de acceso de certificado.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
Se utiliza el almacén de claves para recuperar el certificado X.509.

Almacén de claves

Seleccione Ninguno si no se necesita ningún almacén de claves para esta configuración.

Seleccione Almacén de claves predefinido para elegir los almacenes de claves predefinidos con el nombre de configuración del almacén de claves.

Seleccione Almacén de claves definido por el usuario para utilizar los almacenes de claves definidos por el usuario.

Se precisa especificar la información siguiente:

Nombre de la configuración del almacén de claves

Especifica el nombre de la configuración del almacén de claves definida en los valores del almacén de clave en las comunicaciones seguras.

Contraseña del almacén de claves

Especifica la contraseña que se utiliza para acceder al archivo de almacén de claves.

Vía de acceso del almacén de claves

Especifica la ubicación del archivo de almacén de claves.

Utilice ${USER_INSTALL_ROOT} en el nombre de vía de acceso ya que esta variable se amplía hasta la vía de acceso del producto en su máquina. Para cambiar la vía de acceso utilizada por esta variable, pulse Entorno > Variables de WebSphere y pulse USER_INSTALL_ROOT.

Tipo de almacén de claves

Especifica el tipo de formato del archivo de almacén de claves

Seleccione uno de los valores siguientes para este campo:
JKS
Utilice esta opción si el almacén de claves utiliza el formato JKS (Java Keystore).
JCEKS
Utilice esta opción si se configura Java Cryptography Extension en SDK (Software Development Kit). El valor predeterminado de IBM JCE se configura en el servidor de aplicaciones. Esta opción proporciona una mayor protección para las claves privadas almacenadas utilizando el cifrado Triple DES.
[z/OS]JCERACFKS
[z/OS]Utilice JCERACFKS si los certificados se almacenan en un conjunto de claves SAF (sólo z/OS).
PKCS11KS (PKCS11)
Utilice esta opción si el archivo de almacén de claves utiliza el formato de archivo PKCS número 11. Los archivos de almacén de claves que utilizan este formato pueden contener claves RSA (Rivest Shamir Adleman) en el hardware criptográfico o pueden cifrar claves que utilicen hardware criptográfico para garantizar la protección.
PKCS12KS (PKCS12)
Utilice esta opción si el archivo de almacén de claves utiliza el formato de archivo PKCS número 12.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_callback
File name: uwbs_callback.html