Configuration des liaisons pour la protection des messages pour Kerberos
Pour configurer des liaisons pour la protection des messages avec des applications JAX-WS, vous devez créer une liaison personnalisée. Effectuez cette étape pour définir les liaisons d'un jeton Kerberos comme défini dans la spécification OASIS Web Services Security Specification for Kerberos Token Profile Version 1.1.
Avant de commencer
Vous devez configurer Kerberos pour IBM WebSphere Application Server. Pour plus d'informations, voir la prise en charge du mécanisme d'authentification de Kerberos (KRB5) pour la sécurité. En outre, vous devez configurer l'ensemble de règles de jeton Kerberos pour les applications JAX-WS. Pour plus d'informations, voir Configuration de l'ensemble de règles de jeton Kerberos pour les applications JAX-WS.
Pourquoi et quand exécuter cette tâche
Vous pouvez optimiser les infrastructures existantes, y compris l'ensemble de règles et les liaisons pour les applications JAX-WS.
- Jeton de protection symétrique
- Générateur de jeton
- Destinataire du jeton
- Jeton d'authentification
- Générateur de jeton
- Destinataire du jeton
A l'aide de la console d'administration, configurez les liaisons spécifiques à l'application pour utiliser un jeton Kerberos dans la protection des messages de services Web.
Procédure
- Développez Applications > Types d'application.
- Cliquez sur Applications d'entreprise WebSphere > nom_application.
- Sous Propriétés des services Web, cliquez sur Liaisons et ensemble de règles du fournisseur de services pour configurer les liaisons de service ou cliquez sur Liaisons et ensembles de règles de client de service pour configurer les liaisons du client.
- Sélectionnez la ressource à associer à l'ensemble de règles de jeton Kerberos et sélectionnez Associer un ensemble de règles > nom_ensemble_règles. Pour configurer l'ensemble de règles de jeton Kerberos, voir Configuration de l'ensemble de règles de jeton Kerberos pour les applications JAX-WS.
- Cliquez sur Affecter une liaison et sélectionnez la liaison propre à l'application ou sélectionnez Nouvelle liaison spécifique de l'application ou encore créez une liaison. Pour créer une liaison, procédez comme suit :
- Entrez un nom pour la nouvelle liaison dans la zone du nom de la configuration de liaison et éventuellement une description ce cette liaison dans la zone Description.
- Cliquez sur Ajouter et sélectionnez WS-Security pour spécifier un nouvel ensemble de règles.
- Cliquez sur Authentification et protection > Nouveau.
- Facultatif : Définissez un jeton de protection symétrique pour le générateur de jeton. Important : Si vous configurez un jeton de protection symétrique pour le générateur de jeton, vous devez définir un jeton de protection symétrique complémentaire pour le consommateur de jeton.
- Sous Jetons de protection, cliquez sur Nouveau et sélectionnez Générateur de jeton.
- Spécifiez le nom du jeton de protection dans la zone Nom.
- Sélectionnez Personnalisé parmi les options du menu Type de jeton.
- Spécifiez la valeur du nom local dans la zone Nom local. Pour l'interopérabilité avec d'autres technologies de services Web, spécifiez le nom local suivant : http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si vous ne vous préoccupez pas des problèmes d'interopérabilité, vous pouvez spécifier l'une des valeurs de nom local suivantes :
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Ces valeurs alternatives dépendent du niveau de spécification pour le jeton Kerberos généré par le centre de distribution de clés (KDC). Pour plus d'informations sur le moment où ces valeurs doivent être utilisées, voir Paramètres des jetons de protection (générateur et consommateur).
- N'indiquez pas de valeur dans la zone URI de l'espace de nom.
- Sélectionnez la valeur wss.generate.KRB5BST dans le menu déroulant de connexion JAAS.Si vous avez précédemment défini votre propre module de connexion JAAS (Java™ Authentication and Authorization Service), vous pouvez sélectionner votre module de connexion pour gérer le jeton Kerberos personnalisé. Pour définir un module de connexion JAAS personnalisé, cliquez sur Connexion à une nouvelle application > Nouveau, spécifiez un alias pour le nouveau module et cliquez sur Valider. Pour plus d'informations, voir Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service).Avertissement : Bien que les informations contenues dans la rubrique "Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service)" s'appliquent à la sécurité et non à la sécurité des services Web, la configuration d'un module de connexion pour la sécurité des services Web est identique à celle de la sécurité.
- Spécifiez les propriétés personnalisées du générateur de jeton pour le nom du service cible, l'hôte et le domaine.La combinaison des valeurs du nom du service cible et de l'hôte forme un SPN (Service Principal Name) qui représente le nom principal du service Kerberos cible. Le client Kerberos demande le jeton Kerberos AP_REQ initial pour le SPN. Spécifiez les propriétés personnalisées suivantes :Pour utiliser la sécurité de jeton Kerberos dans un environnement à domaines sécurisés ou à domaines multiples, vous devez fournir une valeur pour la propriété targetServiceRealm.
Tableau 1. Propriétés personnalisées du service cible. Utilisez ces propriétés pour indiquer les informations relatives au générateur de jeton. Chaîne valeur Type com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Spécifiez le nom du service cible. Obligatoire com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Spécifiez le nom de l'hôte associé au service cible dans le format suivant : myhost.mycompany.com Obligatoire com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Spécifiez le nom du domaine associé au service cible. 1 Pour spécifier plusieurs paires nom-valeur de propriété personnalisée, cliquez sur Nouveau.
- Cliquez sur Apply.
- Sous Liaisons supplémentaires, cliquez sur Gestionnaire d'appel.
- Sous Nom de classe, sélectionnez l'option Utiliser un nom de classe personnalisé et spécifiez com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler dans la zone associée.
- Sous Authentification de base, spécifiez les valeurs appropriées pour les zones Nom d'utilisateur, Mot de passe et Confirmation du mot de passe.
Le nom d'utilisateur spécifie l'ID utilisateur par défaut qui est transmis au constructeur du gestionnaire d'appel, kerberosuser par exemple.
- Spécifiez les propriétés personnalisées du générateur de jeton pour le nom et le mot de passe du principal client Kerberos afin d'initialiser la connexion Kerberos.Ces propriétés personnalisées contrôlent l'invite et établissent le jeton en fonction du cache des données d'identification. Spécifiez les propriétés personnalisées suivantes :
Tableau 2. Propriétés personnalisées de connexion Kerberos. Utilisez cette propriété pour indiquer les informations relatives au générateur de jeton. Chaîne valeur Type com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Active la connexion Kerberos lorsque la valeur est True. La valeur par défaut est False. Facultatif Pour spécifier plusieurs paires nom-valeur de propriété personnalisée, cliquez sur Nouveau.
- Cliquez sur Valider et sur OK.
- Facultatif : Retournez au panneau Authentification et protection pour définir un jeton de protection symétrique pour le consommateur de jeton. Pour retourner dans le panneau Authentification et protection, cliquez sur le lien Authentification et protection après la section des messages sur le panneau.Important : Si vous configurez un jeton de protection symétrique pour le consommateur de jeton, assurez-vous d'avoir défini au préalable un jeton de protection symétrique complémentaire pour le générateur de jeton.
- Sous Jetons de protection, cliquez sur Nouveau et sélectionnez Consommateur de jeton.
- Spécifiez le nom du jeton de protection dans la zone Nom.
- Sélectionnez Personnalisé parmi les options du menu Type de jeton.
- Spécifiez la valeur du nom local dans la zone Nom local.Pour l'interopérabilité avec d'autres technologies de services Web, spécifiez le nom local suivant : http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si vous ne vous préoccupez pas des problèmes d'interopérabilité, vous pouvez spécifier l'une des valeurs de nom local suivantes :
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Ces valeurs alternatives dépendent du niveau de spécification pour le jeton Kerberos généré par le centre de distribution de clés (KDC). Pour plus d'informations sur le moment où ces valeurs doivent être utilisées, voir Paramètres des jetons de protection (générateur et consommateur).
- N'indiquez pas de valeur dans la zone URI de l'espace de nom.
- Sélectionnez la valeur wss.consume.KRB5BST dans le menu déroulant de connexion JAAS.Si vous avez précédemment défini votre propre module de connexion JAAS (Java Authentication and Authorization Service), vous pouvez sélectionner ce module de connexion pour gérer le jeton Kerberos personnalisé. Pour définir un module de connexion JAAS personnalisé, cliquez sur Connexion à une nouvelle application > Nouveau, spécifiez un alias pour le nouveau module et cliquez sur Valider. Pour plus d'informations, voir Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service).Avertissement : Bien que les informations contenues dans la rubrique Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service) s'appliquent à la sécurité et non à la sécurité des services Web, la configuration d'un module de connexion pour la sécurité des services Web est identique à celle de la sécurité.
- Cliquez sur Apply.
- Sous Liaisons supplémentaires, cliquez sur Gestionnaire d'appel.
- Sous Nom de classe, sélectionnez l'option Utiliser un nom de classe personnalisé et spécifiez com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler dans la zone associée.
- Cliquez sur Valider et sur OK.
- Facultatif : Retournez au panneau Authentification et protection pour définir la configuration d'un jeton d'authentification pour le générateur de jeton. Pour retourner dans le panneau Authentification et protection, cliquez sur le lien Authentification et protection après la section des messages sur le panneau.
Les jetons d'authentification sont envoyés dans des messages afin de prouver ou d'attester une identité.
Important : Si vous configurez un jeton d'authentification pour le générateur de jeton, vous devez définir un jeton d'authentification complémentaire pour le consommateur de jeton.- Sous Jetons d'authentification, cliquez sur Nouveau et sélectionnez Générateur de jeton.
- Spécifiez le nom du jeton d'authentification dans la zone Nom.
- Sélectionnez Personnalisé parmi les options du menu Type de jeton.
- Spécifiez la valeur du nom local dans la zone Nom local.Pour l'interopérabilité avec d'autres technologies de services Web, spécifiez le nom local suivant : http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si vous ne vous préoccupez pas des problèmes d'interopérabilité, vous pouvez spécifier l'une des valeurs de nom local suivantes :
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Ces valeurs alternatives dépendent du niveau de spécification pour le jeton Kerberos généré par le centre de distribution de clés (KDC). Pour plus d'informations sur le moment où ces valeurs doivent être utilisées, voir Paramètres des jetons d'authentification du générateur ou du consommateur.
- N'indiquez pas de valeur dans la zone URI de l'espace de nom.
- Sélectionnez la valeur wss.generate.KRB5BST dans le menu déroulant de connexion JAAS.Si vous avez précédemment défini votre propre module de connexion JAAS (Java Authentication and Authorization Service), vous pouvez sélectionner ce module de connexion pour gérer le jeton Kerberos personnalisé. Pour définir un module de connexion JAAS personnalisé, cliquez sur Connexion à une nouvelle application > Nouveau, spécifiez un alias pour le nouveau module et cliquez sur Valider. Pour plus d'informations, voir Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service).Avertissement : Bien que les informations contenues dans la rubrique Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service) s'appliquent à la sécurité et non à la sécurité des services Web, la configuration d'un module de connexion pour la sécurité des services Web est identique à celle de la sécurité.
- Spécifiez les propriétés personnalisées du générateur de jeton pour le nom du service cible, l'hôte et le domaine.La combinaison des valeurs du nom du service cible et de l'hôte forme un SPN (Service Principal Name) qui représente le nom principal du service Kerberos cible. Le client Kerberos demande le jeton Kerberos AP_REQ initial pour le SPN. Spécifiez les propriétés personnalisées suivantes :
Tableau 3. Propriétés personnalisées du service cible. Utilisez ces propriétés personnalisées pour indiquer les informations relatives au générateur de jeton. Chaîne valeur Type com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Spécifiez le nom du service cible. Obligatoire com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Spécifiez le nom de l'hôte associé au service cible dans le format suivant : myhost.mycompany.com Obligatoire com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Spécifiez le nom du domaine associé au service cible. Facultatif Pour spécifier plusieurs paires nom-valeur de propriété personnalisée, cliquez sur Nouveau.
- Cliquez sur Apply.
- Sous Liaisons supplémentaires, cliquez sur Gestionnaire d'appel.
- Sous Nom de classe, sélectionnez l'option Utiliser un nom de classe personnalisé et spécifiez com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler dans la zone associée.
- Sous Authentification de base, spécifiez les valeurs appropriées pour les zones Nom d'utilisateur, Mot de passe et Confirmation du mot de passe.
Le nom d'utilisateur précise l'ID utilisateur par défaut transmis au constructeur du gestionnaire d'appel, kerberosuser par exemple.
- Spécifiez les propriétés personnalisées du générateur de jeton pour le nom et le mot de passe du principal client Kerberos afin d'initialiser la connexion Kerberos.Ces propriétés personnalisées contrôlent l'invite et établissent le jeton en fonction du cache des données d'identification. Spécifiez les paires nom-valeur des propriétés personnalisées suivantes :Lors de l'implémentation de la sécurité des services Web dans un environnement Kerberos inter-domaines ou de confiance, vous devez spécifier une valeur pour la propriété clientRealm.
Tableau 4. Propriétés personnalisées de connexion Kerberos. Utilisez les propriétés personnalisées pour indiquer les informations relatives au générateur de jeton. Chaîne valeur Type com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Active la connexion Kerberos lorsque la valeur est True. La valeur par défaut est False. Facultatif com.ibm.wsspi.wssecurity.krbtoken.clientRealm Spécifiez le nom du domaine Kerberos associé au client. 2 Si une application crée ou consomme un jeton AP_REQ Kerberos V5 pour chaque message de demande des services Web, affectez à la propriété personnalisée com.ibm.wsspi.wssecurity.kerberos.attach.apreq la valeur true dans le créateur de jeton et les liaisons du consommateur de jeton pour cette application.
Pour spécifier plusieurs paires nom-valeur de propriété personnalisée, cliquez sur Nouveau.
- Cliquez sur Valider et sur OK.
- Facultatif : Retournez au panneau Authentification et protection pour définir la configuration d'un jeton d'authentification pour le destinataire du jeton. Pour retourner dans le panneau Authentification et protection, cliquez sur le lien Authentification et protection après la section des messages sur le panneau.Important : Si vous configurez un jeton d'authentification pour le destinataire du jeton, assurez-vous d'avoir défini au préalable un jeton d'authentification pour le générateur de jetons.
- Sous Jetons d'authentification, cliquez sur Nouveau et sélectionnez Destinataire du jeton.
- Spécifiez le nom du jeton d'authentification dans la zone Nom.
- Sélectionnez Personnalisé parmi les options du menu Type de jeton.
- Spécifiez la valeur du nom local dans la zone Nom local.Pour l'interopérabilité avec d'autres technologies de services Web, spécifiez le nom local suivant : http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si vous ne vous préoccupez pas des problèmes d'interopérabilité, vous pouvez spécifier l'une des valeurs de nom local suivantes :
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Ces valeurs alternatives dépendent du niveau de spécification pour le jeton Kerberos généré par le centre de distribution de clés (KDC). Pour plus d'informations sur les conditions dans lesquelles ces valeurs doivent être utilisées, voir le lien connexe "Paramètres des jetons d'authentification du générateur ou du destinataire".
- N'indiquez pas de valeur dans la zone URI de l'espace de nom.
- Sélectionnez la valeur wss.consume.KRB5BST dans le menu déroulant de connexion JAAS.Si vous avez précédemment défini votre propre module de connexion JAAS (Java Authentication and Authorization Service), vous pouvez sélectionner ce module de connexion pour gérer le jeton Kerberos personnalisé. Pour définir un module de connexion JAAS personnalisé, cliquez sur Connexion à une nouvelle application > Nouveau, spécifiez un alias pour le nouveau module et cliquez sur Valider. Pour plus d'informations, voir Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service).Avertissement : Bien que les informations contenues dans la rubrique Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service) s'appliquent à la sécurité et non à la sécurité des services Web, la configuration d'un module de connexion pour la sécurité des services Web est identique à celle de la sécurité.
- Cliquez sur Apply.
- Sous Liaisons supplémentaires, cliquez sur Gestionnaire d'appel.
- Sous Nom de classe, sélectionnez l'option Utiliser un nom de classe personnalisé et spécifiez com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler dans la zone associée.
- Cliquez sur Valider et sur OK.
Que faire ensuite
Vous pouvez éventuellement définir des liaisons de clés pour protéger les messages de demande et les messages de réponse. Si vous choisissez de dériver un clé du jeton Kerberos, configurez les informations de la clé dérivée lorsque vous configurez les informations de clé pour la signature et le chiffrement.
Retournez aux étapes de la rubrique Configuration du jeton Kerberos pour la sécurité des services Web afin de vous assurer que vous avez rempli les étapes de configuration de ce jeton.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confkerbbinding
Nom du fichier : twbs_confkerbbinding.html