Cette rubrique permet d'activer l'ensemble de règles du jeton Kerberos pour les applications JAX-WS.
Avant de commencer
Avant d'effectuer cette tâche, vous devez spécifier les informations de configuration Kerberos pour IBM® WebSphere Application
Server. Pour plus d'informations, voir la prise en charge du mécanisme d'authentification de Kerberos (KRB5) pour la sécurité.
Le modèle de configuration du jeton Kerberos
permet de faire un choix parmi les infrastructures WebSphere Application Server existantes suivantes :
- Pour les applications JAX-RPC, les liaisons et le descripteur de déploiement sont utilisés dans la configuration. Une application JAX-RPC inclut le descripteur de déploiement pour un jeton Kerberos personnalisé qui est configuré avec des jetons d'authentification.
- Pour les applications JAX-WS, la configuration utilise un ensemble de règles et des liaisons. L'application JAX-WS est associé par un ensemble de règles au jeton Kerberos configuré avec des jetons d'authentification et/ou de protection des messages.
Remarque : Des groupes de correctifs comprenant des mises à jour du kit SDK (Software Development Kit) peuvent écraser des fichiers de règles non restreintes. Sauvegardez ces derniers avant d'appliquer un groupe de correctifs et appliquez-les ensuite à nouveau.
Pourquoi et quand exécuter cette tâche
Effectuez les étapes suivantes pour configurer l'ensemble de règles de jeton Kerberos pour les applications JAX-WS à l'aide de la console d'administration pour WebSphere Application
Server. Dans ces étapes, le panneau de configuration de la règle principale correspond au panneau de la console d'administration disponible une fois les cinq premières étapes complétées.
Procédure
- Développez et cliquez sur pour créer un ensemble de règles.
- Spécifiez un nom et une brève description pour le nouvel ensemble de règles et cliquez sur Valider.
- Sous Règles, cliquez sur Ajouter puis sélectionnez le type de stratégie de sécurité WS-Security.
- Cliquez sur OK, puis sur Sauvegarder pour enregistrer la nouvelle configuration directement dans la configuration principale.
- Dans la zone Règles, cliquez sur WS-Security, puis sur Règle principale dans le panneau WS-Security pour configurer la règle principale pour l'ensemble de règles du jeton Kerberos.
- Sous Symétrie de clé, sélectionnez Utiliser des jetons symétriques pour la protection des messages.
- Cliquez sur Règles liées au chiffrement et à la signature symétriques pour configurer le type de jeton Kerberos personnalisé ou désélectionnez la case Protection au niveau des messages si vous configurez uniquement un jeton d'authentification.
Important : Il n'est pas nécessaire de configurer la règle de jeton de demande si vous utilisez le jeton Kerberos pour la protection des messages. Si vous ne configurez que le jeton d'authentification, passez à l'étape suivante. Si vous ne configurez pas la règle de jeton de demande pour le jeton d'authentification, passez à l'étape suivante.
- Dans le panneau de configuration de la règle principale, configurez la règle pour le jeton de demande si vous configurez le jeton d'authentification.
- Sous Détails des règles, cliquez sur Règles de jeton de demande.
- Cliquez sur Ajouter un type de jeton et sélectionnez Personnalisé.
- Spécifiez le nom du jeton personnalisé dans la zone Nom de jeton personnalisé.
- Spécifiez la valeur de la partie locale dans la zone Partie locale. Pour l'interopérabilité avec d'autres technologies de services Web, spécifiez la partie locale suivante : http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ.
Si vous ne vous préoccupez pas des problèmes d'interopérabilité, vous pouvez spécifier l'une des valeurs de nom local suivantes :
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Ces valeurs alternatives dépendent du niveau de spécification pour le jeton Kerberos AP-REQ généré par le centre de distribution de clés (KDC). Pour plus d'informations sur le moment où ces valeurs doivent être utilisées, voir Paramètres de type de jeton.
- N'indiquez pas de valeur dans la zone URI de l'espace de nom si vous générez un jeton Kerberos.
- Cliquez sur OK, puis sur Sauvegarder pour enregistrer la configuration directement dans la configuration principale.
Cette étape achève le processus de configuration de la règle de jeton de demande pour le jeton d'authentification. Il est inutile d'effectuer les deux étapes suivantes. Effectuez les étapes suivantes pour configurer les règles de chiffrement et de signature symétriques.
- Retournez dans le panneau de configuration de la règle principale pour l'ensemble de règles de l'application et cliquez sur Règles liées au chiffrement et à la signature symétriques pour configurer les règles de chiffrement et signature symétriques.
- Sous Intégrité des messages, cliquez sur le menu Action de la zone Type de jeton utilisé pour la signature et la validation des messages et sélectionnez Personnalisé.
- Sous Confidentialité des messages, sélectionnez l'option Utiliser le même jeton pour la confidentialité et pour l'intégrité.
- Cliquez sur OK et Valider pour enregistrer les modifications apportées à la configuration.
- Sous Intégrité des messages, cliquez sur le menu Action de la zone Type de jeton utilisé pour la signature et la validation des messages et sélectionnez Modifier la règle de type sélectionnée.
- Modifiez le type de jeton personnalisé pour la signature et le chiffrement en indiquant la partie locale pour le jeton Kerberos personnalisé.
Par exemple, spécifiez http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ comme valeur de la partie locale. N'indiquez pas de valeur d'URI espace de nom.
- Cliquez sur OK, puis sur le lien Sauvegarder pour enregistrer
les modifications apportées à la configuration.
- Retournez dans le panneau de configuration de la règle principale pour l'ensemble de règles de l'application et cliquez sur Algorithmes pour les jetons symétriques pour configurer l'algorithme de jeton symétrique.
- Sélectionnez la suite d'algorithmes à utiliser pour les jetons symétriques dans le menu Suite d'algorithmes. Sélectionnez les algorithmes AES (Advanced Encryption Standard) pour un jeton compatible RFC-4120.
Les algorithmes d'encapsulation de clé symétrique ou cryptographie de clé privée incluent :
- Clé Triple DES : http://www.w3.org/2001/04/xmlenc#kw-tripledes
- Clé AES (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
- Clé AES (aes256) : http://www.w3.org/2001/04/xmlenc#kw-aes256
Restriction : Pour utiliser l'algorithme de chiffrement AES 256 bits, vous devez appliquer les fichiers de règles de juridiction sans restriction. Pour rester en conformité, reportez-vous aux conseils du Profil de sécurité de base.
Avant de télécharger ces fichiers de règles, montez le système HFS du produit
en lecture/écriture. Sauvegardez les fichiers de règles existants avant de les remplacer, au cas où vous souhaiteriez restaurer ultérieurement les fichiers d'origine. Les fichiers de règles existants,
à savoir local_policy.jar et US_export_policy.jar,
sont situés dans le répertoire WAS_HOME/java/jre/lib/security/.
Avant de télécharger ces fichiers de règles, montez le système HFS du produit
en lecture/écriture. Sauvegardez les fichiers de règles existants avant de les remplacer, au cas où vous souhaiteriez restaurer ultérieurement les fichiers d'origine. Les fichiers de règles existants, local_policy.jar et US_export_policy.jar,
sont situés dans le répertoire WAS_HOME/java/lib/security/.
Important : Votre pays d'origine peut imposer des restrictions pour l'importation, l'utilisation ou la réexportation d'un logiciel de chiffrement vers un autre pays. Avant de télécharger ou d'utiliser des fichiers de règles non restreintes, vous devez vérifier les lois en vigueur dans votre pays, sa réglementation et ses règles concernant l'importation, la possession, l'utilisation et la réexportation du logiciel de chiffrement afin de déterminer si cela est autorisé.
Pour les plateformes du serveur d'applications utilisant IBM Developer
Kit, Java™ Technology Edition, version 5, vous pouvez obtenir des fichiers de règles de juridiction illimitées en procédant comme suit :
- Consultez le site Web IBM developerWorks :
Security Information.
- Cliquez sur Java 5.
- Cliquez sur IBM SDK Policy files.
Le site Web des fichiers de règles sans restriction JCE pour SDK 5 s'affiche.
- Entrez votre ID utilisateur et votre mot de passe ou enregistrez-vous auprès d'IBM pour télécharger les fichiers de règles. Ces derniers sont téléchargés sur votre poste de travail.
- Montez de nouveau
le système HFS de votre produit en lecture seule.
Pour plus d'informations sur les composants de la suite d'algorithmes, voir Paramètres des algorithmes.
- Sélectionnez la valeur Canonisation exclusive ou Canonisation inclusive pour la liste des menus Algorithme de canonisation. Pour plus d'informations, voir Signature numérique XML.
- Spécifiez la version XPath 1.0 ou XPathfilter 2.0 à utiliser à partir du menu Version XPath.
Que faire ensuite
Configurez les liaisons pour la protection des messages Kerberos pour les applications JAX-WS. Pour plus d'informations, voir
Configuration des liaisons pour la protection des messages pour Kerberos.