Configuration de générateurs de jetons à l'aide de JAX-RPC pour protéger l'authenticité des messages au niveau du serveur ou de la cellule
Le générateur de jetons au niveau du serveur ou de la cellule permet de spécifier des informations concernant le générateur de jetons si ces liaisons ne sont pas définies au niveau de l'application. Les informations de signature et de chiffrement peuvent partager les informations du générateur de jetons ; c'est la raison pour laquelle elles sont définies au même niveau.
Avant de commencer
Prenez en compte le fait que les informations de fichier de clés/alias fournies pour le générateur et celles fournies pour le consommateur sont utilisées différemment. La principale différence concerne l'alias d'un gestionnaire d'appel X.509.
Lorsqu'il est utilisé avec un générateur de chiffrement, l'alias fourni pour le générateur permet d'extraire la clé privée afin de déchiffrer le message. Aucun mot de passe n'est requis. L'alias entré sur un gestionnaire d'appel associé à un générateur de chiffrement doit être accessible sans mot de passe. Autrement dit, aucune information de clé privée ne doit être associée à l'alias dans le fichier de clés. Lorsqu'il est utilisé avec un générateur de signature, l'alias fourni pour le générateur permet d'extraire la clé privée afin de signer le message. Un mot de passe est requis.
Pourquoi et quand exécuter cette tâche
WebSphere Application Server fournit les valeurs par défaut des liaisons. Vous devez modifier les valeurs par défaut dans un environnement de production.
Vous pouvez configurer le générateur de jetons au niveau du serveur et de la cellule. Dans la procédure ci-dessous, la première étape permet d'accéder aux liaisons par défaut au niveau du serveur et la deuxième permet d'accéder aux liaisons au niveau de la cellule.
Procédure
- Accédez aux liaisons par défaut au niveau du serveur.
- Cliquez sur Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur.
- Sous Sécurité, cliquez sur Module d'exécution de sécurité JAX-WS et JAX-RPC.
Environnement de version mixte: Dans une cellule de noeud mixte comportant un serveur WebSphere Application Server de version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des Services Web.mixv
- Sélectionnez Sécurité > Services Web pour accéder aux liaisons par défaut au niveau de la cellule.
- Dans la section Liaisons de générateur par défaut, cliquez sur Générateurs de jetons.
- Cliquez sur Nouveau pour créer une configuration de générateur de jetons, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de générateur de jetons pour modifier ses paramètres. Si vous créez une configuration, entrez un nom unique pour la configuration du générateur de jetons dans la zone Nom du générateur de jetons. Par exemple, vous pouvez spécifier sig_tgen. Cette zone indique le nom de l'élément de générateur de jetons.
- Indiquez un nom de classe dans la zone Nom de classe du générateur de jetons. L'implémentation du module de connexion JAAS (Java™ Authentication and Authorization Service)
permet de créer le jeton de sécurité au niveau du générateur. Restriction : L'interface com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent n'est pas utilisée avec les services Web JAX-WS. Si vous utilisez les services Web JAX-RPC, cette interface est encore valide.
Le nom de classe du générateur de jetons doit être similaire à celui de la classe du destinataire de jeton. Par exemple, si l'application requiert un destinataire de jeton de certificat X.509, vous pouvez spécifier le nom de classe com.ibm.wsspi.wssecurity.token.X509TokenConsumer dans le panneau Destinataires du jeton et le nom de classe com.ibm.wsspi.wssecurity.token.X509TokenGenerator dans cette zone. WebSphere Application Server fournit les implémentations de classe de générateur de jetons par défaut suivantes :
- com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator
- Cette implémentation génère un jeton du nom d'utilisateur (username token).
- com.ibm.wsspi.wssecurity.token.X509TokenGenerator
- Cette implémentation génère un jeton de certificat X.509.
- com.ibm.wsspi.wssecurity.token.LTPATokenGenerator
- Cette implémentation génère un jeton LTPA (Lightweight Third Party Authentication).
- Sélectionnez une option de chemin d'accès au certificat. Le chemin d'accès au certificat indique la liste de retrait de certificat (CRL) utilisée pour générer un jeton de sécurité encapsulé dans un PKCS#7 avec une liste CRL. WebSphere Application Server fournit les
options de chemin d'accès au certificat suivantes :
- Aucun
- Sélectionnez cette option lorsque la liste CRL n'est pas utilisée pour la génération d'un jeton de sécurité. Vous devez sélectionner cette option lorsque le générateur de jetons n'utilise pas le type de jeton PKCS#7.
- Informations de signature dédiées
- Si la liste CRL est encapsulée dans un jeton de sécurité, sélectionnez
Informations de signature dédiées et choisissez un nom d'espace de stockage de
certificats de collecte dans la zone Espace de stockage de certificats.
La zone
Espace de stockage de certificats indique le nom des espaces de stockage de
certificats de collecte déjà définis.
Pour définir un magasin de certificats de collection au niveau de la cellule, voir Configuration du certificat de collection au niveau du serveur ou de la cellule.
- Sélectionnez l'option Ajouter nonce pour inclure un élément nonce dans le jeton du nom d'utilisateur (username token) pour le générateur de jetons. Nonce est un numéro cryptographique unique, inséré dans un message pour aider à arrêter les attaques à répétition et non autorisées des jetons de nom d'utilisateur. L'option Ajouter nonce est disponible si vous spécifiez un jeton du nom d'utilisateur (username token) pour le générateur de jetons.
- Sélectionnez l'option Ajouter l'horodatage pour inclure un horodatage dans le jeton du nom d'utilisateur (username token) pour le générateur de jetons.
- Indiquez le nom local du type de valeur dans la zone Nom local. Cette entrée indique le nom local du type de valeur d'un jeton de sécurité référencé par l'identificateur de clé. Cet attribut est valide uniquement lorsque Identificateur de clé est sélectionné comme type d'information de clé. Pour spécifier le type d'information de clé, voir Configuration des informations de clé pour la liaison de générateur à l'aide de JAX-RPC au niveau du serveur ou de la cellule. WebSphere Application
Server fournit les configurations de jeton de certificat X.509 prédéfinies suivantes :
- Jeton de certificat X.509
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- Certificats X.509 figurant dans un PKIPath
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Liste de certificats X.509 et listes CRL au format PKCS#7
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- LTPA
- Pour LTPA, le nom local du type de valeur est LTPA. Si vous entrez LTPA pour le nom local, vous devez également indiquer la valeur de l'URI http://www.ibm.com/websphere/appserver/tokentype/5.0.2 dans la zone de l'URI du type de valeur.
- LTPA version 2
- Pour LTPA version 2, le nom local du type de valeur est LTPAv2. Si vous entrez LTPAv2 pour le nom local, vous devez également spécifier la valeur de l'URI http://www.ibm.com/websphere/appserver/tokentype dans la zone URI du type de valeur.
- LTPA_PROPAGATION
- Pour la propagation des jetons LTPA, le nom local du type de valeur est LTPA_PROPAGATION. Si vous entrez LTPA_PROPAGATION pour le nom local, vous devez également indiquer la valeur de l'URI http://www.ibm.com/websphere/appserver/tokentype dans la zone de l'URI du type de valeur.
- Indiquez l'URI du type de valeur dans la zone URI. Cette entrée indique l'URI de l'espace de nom du type de valeur d'un jeton de sécurité référencé par l'identificateur de clé. Cet attribut est valide uniquement lorsque Identificateur de clé est sélectionné comme type d'information de clé dans le panneau Informations de clé pour le générateur par défaut. Il n'est pas nécessaire de définir l'URI de l'espace de nom lorsque le jeton de certificat X.509 est spécifié. Si un jeton différent est spécifié, vous devez indiquer l'URI de l'espace de nom du type de valeur.
- Cliquez sur OK, puis sur Sauvegarder pour enregistrer la configuration.
- Cliquez sur le nom de la configuration de générateur de jeton.
- Dans la section Propriétés supplémentaires, cliquez sur Gestionnaire d'appel pour configurer les propriétés du gestionnaire d'appel. Le gestionnaire d'appel indique comment acquérir le jeton de sécurité inséré dans
l'en-tête de sécurité des Services Web du message SOAP. L'acquisition de jeton est une structure connectable qui tire parti de l'interface javax.security.auth.callback.CallbackHandler JAAS (Java Authentication and Authorization Service) pour l'acquisition du jeton de sécurité.
- Indiquez une implémentation de classe de gestionnaire d'appel dans la
zone Nom de la classe du gestionnaire d'appel. Cet attribut indique
le nom de l'implémentation de classe de gestionnaire d'appel utilisée pour connecter
une structure de jeton de sécurité. La classe du gestionnaire d'appel spécifiée doit implémenter la classe javax.security.auth.callback.CallbackHandler. WebSphere Application
Server fournit les implémentations de gestionnaire d'appel par défaut suivantes :
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- Ce gestionnaire d'appel utilise une invite de connexion pour collecter les informations de nom d'utilisateur et de mot de passe. Toutefois, si vous indiquez le nom d'utilisateur et le mot de passe dans ce panneau, aucune invite ne s'affiche et WebSphere Application Server renvoie le nom d'utilisateur et le mot de passe au générateur de jetons. Utilisez cette implémentation pour un client d'application Java EE (Java Platform, Enterprise Edition) uniquement.
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- Ce gestionnaire d'appel n'affiche pas d'invite et renvoie le nom d'utilisateur et le mot de passe si ces derniers sont spécifiés dans la section d'authentification de base de ce panneau. Vous pouvez utiliser ce gestionnaire d'appel lorsque le service Web assure la fonction de client.
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- Ce gestionnaire d'appel utilise une invite de connexion standard pour collecter le nom d'utilisateur et le mot de passe. Toutefois, si le nom d'utilisateur et le mot de passe sont indiqués dans la section d'authentification de base de ce panneau, WebSphere Application Server n'émet pas d'invite mais renvoie le nom d'utilisateur et le mot de passe au générateur de jetons. Utilisez cette implémentation pour un client d'application Java EE (Java Platform, Enterprise Edition) uniquement.
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- Ce gestionnaire d'appel permet d'obtenir le jeton de sécurité LTPA (Lightweight Third Party Authentication) à partir du sujet RunAs de l'appel. Ce jeton est inséré dans l'en-tête de sécurité des services Web du message SOAP en tant que jeton de sécurité binaire. Toutefois, si le nom d'utilisateur et le mot de passe sont indiqués dans la section d'authentification de base de ce panneau, WebSphere Application Server authentifie le nom d'utilisateur et le mot de passe pour obtenir le jeton de sécurité LTPA. Il obtient le jeton de sécurité de cette manière plutôt que par le biais du sujet RunAs. Utilisez ce gestionnaire d'appel uniquement lorsque le service Web assure la fonction de client sur le serveur d'applications. Il est conseillé de ne pas utiliser ce gestionnaire d'appel sur un client d'application Java EE.
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Ce gestionnaire d'appel permet de créer le certificat X.509 inséré dans l'en-tête WS-Security au sein du message SOAP sous forme de jeton de sécurité. Un fichier de clés et une définition de clé sont requis pour ce gestionnaire d'appel.
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- Ce gestionnaire d'appel permet de créer des certificats X.509 au format PKCS#7. Le certificat est inséré dans l'en-tête de sécurité des services Web du message SOAP en tant que jeton de sécurité binaire. Un fichier de clés est requis pour ce gestionnaire d'appel. Vous devez indiquer une liste de révocation de certificats (CRL) dans le magasin de certificats de collection. La liste CRL est chiffrée avec le certificat X.509 au format PKCS#7. Pour plus d'informations sur la configuration du magasin de certificats de collection, voir Configuration du certificat de collection au niveau du serveur ou de la cellule.
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- Ce gestionnaire d'appel permet de créer des certificats X.509 au format PkiPath. Le certificat est inséré dans l'en-tête de sécurité des services Web du message SOAP en tant que jeton de sécurité binaire. Un fichier de clés est requis pour ce gestionnaire d'appel. La liste CRL n'est pas prise en charge par ce gestionnaire d'appel ; le magasin de certificats de collection n'est donc pas requis ni utilisé.
Pour un jeton de certificat X.509, vous pouvez spécifier l'implémentation com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler.
- Facultatif : Sélectionnez l'option Utiliser la vérification d'identité. Sélectionnez cette option si la vérification d'identité est définie dans le descripteur de déploiement étendu IBM®. Cette option indique que seule l'identité de l'émetteur initial est requise et insérée dans l'en-tête de sécurité des services Web du message SOAP. Par exemple, WebSphere Application Server envoie uniquement le nom d'utilisateur de l'appelant d'origine pour un générateur de jetons du nom d'utilisateur. Pour un générateur de jetons X.509, le serveur d'applications envoie uniquement la certification du signataire d'origine.
- Facultatif : Sélectionnez l'option Utiliser l'identité RunAs. Sélectionnez cette option si les conditions suivantes sont remplies :
- La vérification d'identité est définie dans le descripteur de déploiement étendu IBM.
- Vous souhaitez utiliser l'identité RunAs plutôt que l'identité de l'appelant initial pour la vérification d'identité lors d'un appel en aval.
- Facultatif : Indiquez un ID utilisateur et un mot de passe
d'authentification de base dans les zones ID utilisateur et Mot de passe. Cette entrée indique le nom d'utilisateur et le mot de passe transmis aux constructeurs de l'implémentation du gestionnaire d'appel. L'ID utilisateur et le mot de passe
d'authentification de base sont utilisés si vous indiquez l'une des implémentations de gestionnaire d'appel par défaut suivantes, fournies par WebSphere Application Server :
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- Facultatif : Spécifiez un mot de passe et un chemin de fichier de clés. Le fichier de clés et les informations le concernant sont requises lorsque la clé ou le certificat est utilisé pour générer un jeton. Par exemple, les informations du fichier de clés sont requises si vous sélectionnez l'une des implémentations de gestionnaire d'appel
par défaut suivantes, fournies par WebSphere Application Server :
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
Les fichiers de clés contiennent des clés publiques et privées, des certificats d'autorité de certification (CA) racine, des certificats d'autorité de certification intermédiaires, etc. Les clés extraites du fichier de clés permettent de signer et valider ou de chiffrer et déchiffrer les messages ou les parties de message. Pour extraire une clé du fichier de clés, vous devez spécifier le mot de passe, le chemin et le type du fichier de clés.
- Indiquez une implémentation de classe de gestionnaire d'appel dans la
zone Nom de la classe du gestionnaire d'appel. Cet attribut indique
le nom de l'implémentation de classe de gestionnaire d'appel utilisée pour connecter
une structure de jeton de sécurité. La classe du gestionnaire d'appel spécifiée doit implémenter la classe javax.security.auth.callback.CallbackHandler. WebSphere Application
Server fournit les implémentations de gestionnaire d'appel par défaut suivantes :
- Sélectionnez un type de fichier de clés dans la zone Type. WebSphere Application
Server fournit les options suivantes :
- JKS
- Utilisez cette option si vous n'employez pas les extensions JCE (Java Cryptography Extensions) et si votre fichier de clés utilise le format JKS (Java Keystore).
- JCEKS
- Utilisez cette option si vous utilisez les extensions JCE (Java Cryptography Extensions).
JCERACFKS
Utilisez JCERACFKS si les certificats sont stockés dans un fichier de clés SAF (z/OS uniquement).
- PKCS11KS (PKCS11)
- Utilisez ce format si le fichier de clés utilise le format de fichier PKCS#11. Les fichiers de clés utilisant ce format peuvent contenir des clés RSA stockées sur du matériel de chiffrement, ou bien ils peuvent chiffrer des clés qui utilisent un matériel de ce type pour assurer la protection.
- PKCS12KS (PKCS12)
- Sélectionnez cette option si votre fichier de clés utilise le format de fichier PKCS#12.
- Cliquez sur OK, puis sur Sauvegarder pour enregistrer la configuration.
- Cliquez sur le nom de la configuration de générateur de jeton.
- Dans la section Propriétés supplémentaires, cliquez sur Gestionnaire de rappels > Clés.
- Cliquez sur Nouveau pour créer une configuration de clé, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de clé pour modifier ses paramètres. Si vous créez une configuration, entrez un nom unique pour la configuration de clé dans la zone Nom de clé. Ce nom désigne celui de l'objet de clé stocké dans le fichier de clés.
- Indiquez un alias pour l'objet de clé dans la zone Alias de clé. Utilisez l'alias lorsque le localisateur de clé recherche les objets de clés dans le fichier de clés.
- Indiquez le mot de passe associé à la clé dans la zone Mot de passe de clé.
- Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
Résultats
Vous avez configuré les générateurs de jetons au niveau du serveur ou de la cellule.
Que faire ensuite
Sous-rubriques
Collection du générateur de jetons
La page de collection des générateurs de jetons permet d'afficher les générateurs de jetons. Ces informations sont utilisées côté générateur pour générer le jeton de sécurité uniquement.Paramètres de configuration du générateur de jetons
Cette page permet de spécifier les informations relatives au générateur de jetons. Ces informations sont utilisées côté générateur pour générer le jeton de sécurité uniquement.Collection des URI d'algorithme
La page de collection des URI d'algorithme permet d'afficher la liste des URI (uniform resource identifier) d'algorithme pour la signature numérique XML et le chiffrement XML mappés vers une classe de moteur de fabrique d'algorithmes. Avec les mappages d'algorithmes, les fournisseurs de services peuvent utiliser d'autres algorithmes de chiffrement pour le calcul des valeurs de synthèse (digest), la signature numérique et la vérification, le chiffrement et le déchiffrement des données, ainsi que le chiffrement et le déchiffrement des clés.Paramètres de configuration des URI d'algorithme
Cette page de paramètres permet de spécifier l'URI d'algorithme (uniform resource identifier) et son type de syntaxe.Collection des mappages d'algorithmes
Vous pouvez afficher la liste des URI (uniform resource identifier) d'algorithmes personnalisés pour le calcul des valeurs de synthèse (digest), la signature, la cryptographie des clés et des données. Le serveur d'applications mappe ces algorithmes sur une implémentation de l'interface du moteur de fabrique d'algorithmes. Avec les mappages d'algorithmes, les fournisseurs de services peuvent étendre les algorithmes de chiffrement pour la signature numérique XML et le chiffrement XML.Paramètres de configuration des mappages d'algorithmes
Cette page de paramètres permet d'afficher la liste des URI (uniform resource identifier) d'algorithme pour le calcul des valeurs de synthèse (digest), la signature, le chiffrement des clés et le chiffrement des données. Le serveur d'applications mappe ces algorithmes sur une implémentation de l'interface du moteur de fabrique d'algorithmes. Avec les mappages d'algorithmes, les fournisseurs de services peuvent étendre les algorithmes de chiffrement pour la signature numérique XML et le chiffrement XML.Liaisons par défaut et propriétés d'exécution du module de sécurité
Cette page permet d'indiquer la configuration au niveau de la cellule dans un environnement WebSphere Application Server, Network Deployment. Cette page permet en outre de définir les liaisons de générateur par défaut, les liaisons de consommateur (destinataire) par défaut et d'autres propriétés telles que les localisateurs de clé, le magasin de certificats de collection, les points d'ancrage dignes de confiance, les évaluateurs d'ID dignes de confiance et les mappages de connexion.Collection du générateur de jetons
La page de collection des générateurs de jetons permet d'afficher les générateurs de jetons. Ces informations sont utilisées côté générateur pour générer le jeton de sécurité uniquement.Paramètres de configuration du générateur de jetons
Cette page permet de spécifier les informations relatives au générateur de jetons. Ces informations sont utilisées côté générateur pour générer le jeton de sécurité uniquement.Collection des URI d'algorithme
La page de collection des URI d'algorithme permet d'afficher la liste des URI (uniform resource identifier) d'algorithme pour la signature numérique XML et le chiffrement XML mappés vers une classe de moteur de fabrique d'algorithmes. Avec les mappages d'algorithmes, les fournisseurs de services peuvent utiliser d'autres algorithmes de chiffrement pour le calcul des valeurs de synthèse (digest), la signature numérique et la vérification, le chiffrement et le déchiffrement des données, ainsi que le chiffrement et le déchiffrement des clés.Paramètres de configuration des URI d'algorithme
Cette page de paramètres permet de spécifier l'URI d'algorithme (uniform resource identifier) et son type de syntaxe.Collection des mappages d'algorithmes
Vous pouvez afficher la liste des URI (uniform resource identifier) d'algorithmes personnalisés pour le calcul des valeurs de synthèse (digest), la signature, la cryptographie des clés et des données. Le serveur d'applications mappe ces algorithmes sur une implémentation de l'interface du moteur de fabrique d'algorithmes. Avec les mappages d'algorithmes, les fournisseurs de services peuvent étendre les algorithmes de chiffrement pour la signature numérique XML et le chiffrement XML.Paramètres de configuration des mappages d'algorithmes
Cette page de paramètres permet d'afficher la liste des URI (uniform resource identifier) d'algorithme pour le calcul des valeurs de synthèse (digest), la signature, le chiffrement des clés et le chiffrement des données. Le serveur d'applications mappe ces algorithmes sur une implémentation de l'interface du moteur de fabrique d'algorithmes. Avec les mappages d'algorithmes, les fournisseurs de services peuvent étendre les algorithmes de chiffrement pour la signature numérique XML et le chiffrement XML.Liaisons par défaut et propriétés d'exécution du module de sécurité
Cette page permet d'indiquer la configuration au niveau de la cellule dans un environnement WebSphere Application Server, Network Deployment. Cette page permet en outre de définir les liaisons de générateur par défaut, les liaisons de consommateur (destinataire) par défaut et d'autres propriétés telles que les localisateurs de clé, le magasin de certificats de collection, les points d'ancrage dignes de confiance, les évaluateurs d'ID dignes de confiance et les mappages de connexion.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokengensvrcell
Nom du fichier : twbs_configtokengensvrcell.html