Configuration de règles et de liaisons personnalisées pour les jetons de sécurité à l'aide de l'outil de scriptage wsadmin
Utilisez les commandes setPolicyType et setBinding pour l'objet AdminTask, afin d'indiquer les jetons de sécurité pour les configurations de règles et de liaisons personnalisées.
Avant de commencer
Créez un nouvel ensemble de règles personnalisées.
Pourquoi et quand exécuter cette tâche
Les scenarii suivants permettent de configurer les règles et liaisons personnalisées dans le but d'utiliser un jeton Kerberos, selon la spécification Oasis Kerberos Token Profile V1.1. Vous pouvez aussi utiliser les commandes setPolicyType et setBinding pour configurer d'autres jetons de sécurité binaires, tels que les jetons de nom d'utilisateur (username), Lightweight Third-Party Authentication (LTPA) et SecureConversation.
Procédure
- Configurez des règles personnalisées pour les jetons de sécurité.
- Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, voir Démarrage du client de scriptage wsadmin.
- Affichez les propriétés de la règle visée. Utilisez la commande getPolicyType pour afficher des informations détaillées au sujet des propriétés, pour le type de règle WS-Security, comme dans l'exemple de commande suivant :
AdminTask.getPolicyType('-policySet AuthenticationTokenService -policyType WSSecurity')
La commande getPolicyType renvoie un objet propriétés qui contient des paires valeur-nom pour chaque propriété, tel qu'illustré dans l'exemple suivant :'[ [SupportingTokens.request:krb_token.CustomToken.IncludeToken http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient] [enabled true] [type WSSecurity] [description [Policies for sending security tokens and providing message confidentiality and integrity, based on the OASIS Web Service Security and Token Profiles specifications.]] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.uri ] [provides ] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] ]'
- Indiquez le jeton d'authentification pour le type de règle. Utilisez la commande setPolicyType pour indiquer l'URI (Uniform Resource Identifier) du jeton d'authentification, en tant que valeur de la propriété SupportingTokens.request:krb_token.CustomToken.WssCustomToken.uri. Utilisez la syntaxe [ ] pour indiquer une chaîne vide. L'exemple suivant indique une chaîne vide comme valeur du jeton d'authentification :
AdminTask.setPolicyType('-policySet AuthenticationTokenService -policyType WSSecurity -attributes "[ [SupportingTokens.request:krb_token.CustomToken.IncludeToken http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient] [enabled true] [type WSSecurity] [description [Policies for sending security tokens and providing message confidentiality and integrity, based on the OASIS Web Services Security and Token Profiles specifications.]] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.uri []] [provides []] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] ]"')
- Configurez des liaisons personnalisées pour les jetons de sécurité.
- Démarrez l'outil de scriptage wsadmin.
- Affichez les propriétés des liaisons visées. Utilisez la commande getBinding pour afficher des informations détaillées au sujet des propriétés, pour la liaison visée, comme dans l'exemple de commande suivant :
AdminTask.getBinding('-policyType WSSecurity -bindingLocation "" -bindingName AuthenticationTokenService')
La commande getBinding renvoie un objet propriétés qui contient des paires valeur-nom pour chaque propriété, tel qu'illustré dans l'exemple suivant :'[ [application.securityinboundbindingconfig.tokenconsumer_0.properties_0.name com.ibm.wsspi.wssecurity.krbtoken.serviceSPN] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri ] [application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.classname com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler] [application.name application][application.securityinboundbindingconfig.tokenconsumer_0.properties_0.value HTTP/derekho1.firehorse.austin.ibm.com] [application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname system.wss.consume.KRB5BST] [application.securityinboundbindingconfig.tokenconsumer_0.name con_krbtoken][application.securityinboundbindingconfig.tokenconsumer_0.classname com.ibm.ws.wssecurity.wssapi.token.impl.CommonTokenConsumer] [application.securityinboundbindingconfig.tokenconsumer_0.securitytokenreference.reference request:krb_token] ]'
- Indiquez le jeton d'authentification pour le type de règle. Utilisez la commande setBinding pour indiquer l'URI (Uniform Resource Identifier) du jeton d'authentification, en tant que valeur de la propriété application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri. Utilisez la syntaxe [ ] pour indiquer une chaîne vide. L'exemple suivant indique une chaîne vide comme valeur du jeton d'authentification :
AdminTask.setBinding('-policyType WSSecurity -bindingLocation "" -bindingName AuthenticationTokenService -attributes "[ [application.securityinboundbindingconfig.tokenconsumer_0.properties_0.name com.ibm.wsspi.wssecurity.krbtoken.serviceSPN] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri []] [application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.classname com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler] [application.name application][application.securityinboundbindingconfig.tokenconsumer_0.properties_0.value HTTP/derekho1.firehorse.austin.ibm.com] [application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname system.wss.consume.KRB5BST][application.securityinboundbindingconfig.tokenconsumer_0.name con_krbtoken][application.securityinboundbindingconfig.tokenconsumer_0.classname com.ibm.ws.wssecurity.wssapi.token.impl.CommonTokenConsumer] [application.securityinboundbindingconfig.tokenconsumer_0.securitytokenreference.reference request:krb_token] ]"')
Résultats
Si les commandes setPolicyType et setBinding renvoient la valeur 'true', cela signifie que le système a bien mis à jour les configurations de règles et de liaisons.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7secpolicy
Nom du fichier : txml_7secpolicy.html