Configuration des liaisons pour la protection des messages pour Kerberos

Pour configurer des liaisons pour la protection des messages avec des applications JAX-WS, vous devez créer une liaison personnalisée. Effectuez cette étape pour définir les liaisons d'un jeton Kerberos comme défini dans la spécification OASIS Web Services Security Specification for Kerberos Token Profile Version 1.1.

Avant de commencer

Vous devez configurer Kerberos pour IBM WebSphere Application Server. Pour plus d'informations, voir la prise en charge du mécanisme d'authentification de Kerberos (KRB5) pour la sécurité. En outre, vous devez configurer l'ensemble de règles de jeton Kerberos pour les applications JAX-WS. Pour plus d'informations, voir Configuration de l'ensemble de règles de jeton Kerberos pour les applications JAX-WS.

Pourquoi et quand exécuter cette tâche

Vous pouvez optimiser les infrastructures existantes, y compris l'ensemble de règles et les liaisons pour les applications JAX-WS.

Vous pouvez configurer un jeton de protection symétrique ou un jeton d'authentification. Les configurations de jeton de protection symétrique ou de jeton d'authentification utilisent des données de configuration similaires. Cependant, il n'est pas nécessaire de configurer le jeton d'authentification si vous envisagez d'utiliser un jeton de protection symétrique Kerberos. Quel que soit le type de jeton utilisé, configurez le générateur de jeton et le consommateur de jeton comme indiqué ci-dessous.
  • Jeton de protection symétrique
    • Générateur de jeton
    • Destinataire du jeton
  • Jeton d'authentification
    • Générateur de jeton
    • Destinataire du jeton

A l'aide de la console d'administration, configurez les liaisons spécifiques à l'application pour utiliser un jeton Kerberos dans la protection des messages de services Web.

Procédure

  1. Développez Applications > Types d'application.
  2. Cliquez sur Applications d'entreprise WebSphere > nom_application.
  3. Sous Propriétés des services Web, cliquez sur Liaisons et ensemble de règles du fournisseur de services pour configurer les liaisons de service ou cliquez sur Liaisons et ensembles de règles de client de service pour configurer les liaisons du client.
  4. Sélectionnez la ressource à associer à l'ensemble de règles de jeton Kerberos et sélectionnez Associer un ensemble de règles > nom_ensemble_règles. Pour configurer l'ensemble de règles de jeton Kerberos, voir Configuration de l'ensemble de règles de jeton Kerberos pour les applications JAX-WS.
  5. Cliquez sur Affecter une liaison et sélectionnez la liaison propre à l'application ou sélectionnez Nouvelle liaison spécifique de l'application ou encore créez une liaison. Pour créer une liaison, procédez comme suit :
    1. Entrez un nom pour la nouvelle liaison dans la zone du nom de la configuration de liaison et éventuellement une description ce cette liaison dans la zone Description.
    2. Cliquez sur Ajouter et sélectionnez WS-Security pour spécifier un nouvel ensemble de règles.
    3. Cliquez sur Authentification et protection > Nouveau.
    4. Facultatif : Définissez un jeton de protection symétrique pour le générateur de jeton.
      Important : Si vous configurez un jeton de protection symétrique pour le générateur de jeton, vous devez définir un jeton de protection symétrique complémentaire pour le consommateur de jeton.
      1. Sous Jetons de protection, cliquez sur Nouveau et sélectionnez Générateur de jeton.
      2. Spécifiez le nom du jeton de protection dans la zone Nom.
      3. Sélectionnez Personnalisé parmi les options du menu Type de jeton.
      4. Spécifiez la valeur du nom local dans la zone Nom local.
        Pour l'interopérabilité avec d'autres technologies de services Web, spécifiez le nom local suivant : http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si vous ne vous préoccupez pas des problèmes d'interopérabilité, vous pouvez spécifier l'une des valeurs de nom local suivantes :
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Ces valeurs alternatives dépendent du niveau de spécification pour le jeton Kerberos généré par le centre de distribution de clés (KDC). Pour plus d'informations sur le moment où ces valeurs doivent être utilisées, voir Paramètres des jetons de protection (générateur et consommateur).

      5. N'indiquez pas de valeur dans la zone URI de l'espace de nom.
      6. Sélectionnez la valeur wss.generate.KRB5BST dans le menu déroulant de connexion JAAS.
        Si vous avez précédemment défini votre propre module de connexion JAAS (Java™ Authentication and Authorization Service), vous pouvez sélectionner votre module de connexion pour gérer le jeton Kerberos personnalisé. Pour définir un module de connexion JAAS personnalisé, cliquez sur Connexion à une nouvelle application > Nouveau, spécifiez un alias pour le nouveau module et cliquez sur Valider. Pour plus d'informations, voir Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service).
        Avertissement : Bien que les informations contenues dans la rubrique "Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service)" s'appliquent à la sécurité et non à la sécurité des services Web, la configuration d'un module de connexion pour la sécurité des services Web est identique à celle de la sécurité.
      7. Spécifiez les propriétés personnalisées du générateur de jeton pour le nom du service cible, l'hôte et le domaine.
        La combinaison des valeurs du nom du service cible et de l'hôte forme un SPN (Service Principal Name) qui représente le nom principal du service Kerberos cible. Le client Kerberos demande le jeton Kerberos AP_REQ initial pour le SPN. Spécifiez les propriétés personnalisées suivantes :
        Tableau 1. Propriétés personnalisées du service cible. Utilisez ces propriétés pour indiquer les informations relatives au générateur de jeton.
        Chaîne valeur Type
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Spécifiez le nom du service cible. Obligatoire
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Spécifiez le nom de l'hôte associé au service cible dans le format suivant : myhost.mycompany.com Obligatoire
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Spécifiez le nom du domaine associé au service cible. 1
        Pour utiliser la sécurité de jeton Kerberos dans un environnement à domaines sécurisés ou à domaines multiples, vous devez fournir une valeur pour la propriété targetServiceRealm.

        Pour spécifier plusieurs paires nom-valeur de propriété personnalisée, cliquez sur Nouveau.

      8. Cliquez sur Apply.
      9. Sous Liaisons supplémentaires, cliquez sur Gestionnaire d'appel.
      10. Sous Nom de classe, sélectionnez l'option Utiliser un nom de classe personnalisé et spécifiez com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler dans la zone associée.
      11. Sous Authentification de base, spécifiez les valeurs appropriées pour les zones Nom d'utilisateur, Mot de passe et Confirmation du mot de passe.

        Le nom d'utilisateur spécifie l'ID utilisateur par défaut qui est transmis au constructeur du gestionnaire d'appel, kerberosuser par exemple.

      12. Spécifiez les propriétés personnalisées du générateur de jeton pour le nom et le mot de passe du principal client Kerberos afin d'initialiser la connexion Kerberos.
        Ces propriétés personnalisées contrôlent l'invite et établissent le jeton en fonction du cache des données d'identification. Spécifiez les propriétés personnalisées suivantes :
        Tableau 2. Propriétés personnalisées de connexion Kerberos. Utilisez cette propriété pour indiquer les informations relatives au générateur de jeton.
        Chaîne valeur Type
        com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Active la connexion Kerberos lorsque la valeur est True. La valeur par défaut est False. Facultatif

        Pour spécifier plusieurs paires nom-valeur de propriété personnalisée, cliquez sur Nouveau.

      13. Cliquez sur Valider et sur OK.
      Lorsque vous retournez dans le panneau Authentification et protection à l'étape suivante, un nouveau jeton de protection est défini pour le générateur de jeton. Pour éditer la configuration pour ce nouveau jeton, cliquez sur son nom dans le panneau.
    5. Facultatif : Retournez au panneau Authentification et protection pour définir un jeton de protection symétrique pour le consommateur de jeton. Pour retourner dans le panneau Authentification et protection, cliquez sur le lien Authentification et protection après la section des messages sur le panneau.
      Important : Si vous configurez un jeton de protection symétrique pour le consommateur de jeton, assurez-vous d'avoir défini au préalable un jeton de protection symétrique complémentaire pour le générateur de jeton.
      1. Sous Jetons de protection, cliquez sur Nouveau et sélectionnez Consommateur de jeton.
      2. Spécifiez le nom du jeton de protection dans la zone Nom.
      3. Sélectionnez Personnalisé parmi les options du menu Type de jeton.
      4. Spécifiez la valeur du nom local dans la zone Nom local.
        Pour l'interopérabilité avec d'autres technologies de services Web, spécifiez le nom local suivant : http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si vous ne vous préoccupez pas des problèmes d'interopérabilité, vous pouvez spécifier l'une des valeurs de nom local suivantes :
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Ces valeurs alternatives dépendent du niveau de spécification pour le jeton Kerberos généré par le centre de distribution de clés (KDC). Pour plus d'informations sur le moment où ces valeurs doivent être utilisées, voir Paramètres des jetons de protection (générateur et consommateur).

      5. N'indiquez pas de valeur dans la zone URI de l'espace de nom.
      6. Sélectionnez la valeur wss.consume.KRB5BST dans le menu déroulant de connexion JAAS.
        Si vous avez précédemment défini votre propre module de connexion JAAS (Java Authentication and Authorization Service), vous pouvez sélectionner ce module de connexion pour gérer le jeton Kerberos personnalisé. Pour définir un module de connexion JAAS personnalisé, cliquez sur Connexion à une nouvelle application > Nouveau, spécifiez un alias pour le nouveau module et cliquez sur Valider. Pour plus d'informations, voir Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service).
        Avertissement : Bien que les informations contenues dans la rubrique Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service) s'appliquent à la sécurité et non à la sécurité des services Web, la configuration d'un module de connexion pour la sécurité des services Web est identique à celle de la sécurité.
      7. Cliquez sur Apply.
      8. Sous Liaisons supplémentaires, cliquez sur Gestionnaire d'appel.
      9. Sous Nom de classe, sélectionnez l'option Utiliser un nom de classe personnalisé et spécifiez com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler dans la zone associée.
      10. Cliquez sur Valider et sur OK.
      Lorsque vous retournez dans le panneau Authentification et protection à l'étape suivante, un nouveau jeton de protection est défini pour le consommateur de jeton. Pour éditer la configuration pour ce nouveau jeton, cliquez sur son nom dans le panneau.
    6. Facultatif : Retournez au panneau Authentification et protection pour définir la configuration d'un jeton d'authentification pour le générateur de jeton. Pour retourner dans le panneau Authentification et protection, cliquez sur le lien Authentification et protection après la section des messages sur le panneau.

      Les jetons d'authentification sont envoyés dans des messages afin de prouver ou d'attester une identité.

      Important : Si vous configurez un jeton d'authentification pour le générateur de jeton, vous devez définir un jeton d'authentification complémentaire pour le consommateur de jeton.
      1. Sous Jetons d'authentification, cliquez sur Nouveau et sélectionnez Générateur de jeton.
      2. Spécifiez le nom du jeton d'authentification dans la zone Nom.
      3. Sélectionnez Personnalisé parmi les options du menu Type de jeton.
      4. Spécifiez la valeur du nom local dans la zone Nom local.
        Pour l'interopérabilité avec d'autres technologies de services Web, spécifiez le nom local suivant : http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si vous ne vous préoccupez pas des problèmes d'interopérabilité, vous pouvez spécifier l'une des valeurs de nom local suivantes :
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Ces valeurs alternatives dépendent du niveau de spécification pour le jeton Kerberos généré par le centre de distribution de clés (KDC). Pour plus d'informations sur le moment où ces valeurs doivent être utilisées, voir Paramètres des jetons d'authentification du générateur ou du consommateur.

      5. N'indiquez pas de valeur dans la zone URI de l'espace de nom.
      6. Sélectionnez la valeur wss.generate.KRB5BST dans le menu déroulant de connexion JAAS.
        Si vous avez précédemment défini votre propre module de connexion JAAS (Java Authentication and Authorization Service), vous pouvez sélectionner ce module de connexion pour gérer le jeton Kerberos personnalisé. Pour définir un module de connexion JAAS personnalisé, cliquez sur Connexion à une nouvelle application > Nouveau, spécifiez un alias pour le nouveau module et cliquez sur Valider. Pour plus d'informations, voir Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service).
        Avertissement : Bien que les informations contenues dans la rubrique Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service) s'appliquent à la sécurité et non à la sécurité des services Web, la configuration d'un module de connexion pour la sécurité des services Web est identique à celle de la sécurité.
      7. Spécifiez les propriétés personnalisées du générateur de jeton pour le nom du service cible, l'hôte et le domaine.
        La combinaison des valeurs du nom du service cible et de l'hôte forme un SPN (Service Principal Name) qui représente le nom principal du service Kerberos cible. Le client Kerberos demande le jeton Kerberos AP_REQ initial pour le SPN. Spécifiez les propriétés personnalisées suivantes :
        Tableau 3. Propriétés personnalisées du service cible. Utilisez ces propriétés personnalisées pour indiquer les informations relatives au générateur de jeton.
        Chaîne valeur Type
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Spécifiez le nom du service cible. Obligatoire
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Spécifiez le nom de l'hôte associé au service cible dans le format suivant : myhost.mycompany.com Obligatoire
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Spécifiez le nom du domaine associé au service cible. Facultatif

        Pour spécifier plusieurs paires nom-valeur de propriété personnalisée, cliquez sur Nouveau.

      8. Cliquez sur Apply.
      9. Sous Liaisons supplémentaires, cliquez sur Gestionnaire d'appel.
      10. Sous Nom de classe, sélectionnez l'option Utiliser un nom de classe personnalisé et spécifiez com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler dans la zone associée.
      11. Sous Authentification de base, spécifiez les valeurs appropriées pour les zones Nom d'utilisateur, Mot de passe et Confirmation du mot de passe.

        Le nom d'utilisateur précise l'ID utilisateur par défaut transmis au constructeur du gestionnaire d'appel, kerberosuser par exemple.

      12. Spécifiez les propriétés personnalisées du générateur de jeton pour le nom et le mot de passe du principal client Kerberos afin d'initialiser la connexion Kerberos.
        Ces propriétés personnalisées contrôlent l'invite et établissent le jeton en fonction du cache des données d'identification. Spécifiez les paires nom-valeur des propriétés personnalisées suivantes :
        Tableau 4. Propriétés personnalisées de connexion Kerberos. Utilisez les propriétés personnalisées pour indiquer les informations relatives au générateur de jeton.
        Chaîne valeur Type
        com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Active la connexion Kerberos lorsque la valeur est True. La valeur par défaut est False. Facultatif
        com.ibm.wsspi.wssecurity.krbtoken.clientRealm Spécifiez le nom du domaine Kerberos associé au client. 2
        Lors de l'implémentation de la sécurité des services Web dans un environnement Kerberos inter-domaines ou de confiance, vous devez spécifier une valeur pour la propriété clientRealm.

        Si une application crée ou consomme un jeton AP_REQ Kerberos V5 pour chaque message de demande des services Web, affectez à la propriété personnalisée com.ibm.wsspi.wssecurity.kerberos.attach.apreq la valeur true dans le créateur de jeton et les liaisons du consommateur de jeton pour cette application.

        Pour spécifier plusieurs paires nom-valeur de propriété personnalisée, cliquez sur Nouveau.

      13. Cliquez sur Valider et sur OK.
      Lorsque vous retournez dans le panneau Authentification et protection à l'étape suivante, un nouveau jeton d'authentification est défini pour le générateur de jetons. Pour éditer la configuration pour ce nouveau jeton, cliquez sur son nom dans le panneau.
    7. Facultatif : Retournez au panneau Authentification et protection pour définir la configuration d'un jeton d'authentification pour le destinataire du jeton. Pour retourner dans le panneau Authentification et protection, cliquez sur le lien Authentification et protection après la section des messages sur le panneau.
      Important : Si vous configurez un jeton d'authentification pour le destinataire du jeton, assurez-vous d'avoir défini au préalable un jeton d'authentification pour le générateur de jetons.
      1. Sous Jetons d'authentification, cliquez sur Nouveau et sélectionnez Destinataire du jeton.
      2. Spécifiez le nom du jeton d'authentification dans la zone Nom.
      3. Sélectionnez Personnalisé parmi les options du menu Type de jeton.
      4. Spécifiez la valeur du nom local dans la zone Nom local.
        Pour l'interopérabilité avec d'autres technologies de services Web, spécifiez le nom local suivant : http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si vous ne vous préoccupez pas des problèmes d'interopérabilité, vous pouvez spécifier l'une des valeurs de nom local suivantes :
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Ces valeurs alternatives dépendent du niveau de spécification pour le jeton Kerberos généré par le centre de distribution de clés (KDC). Pour plus d'informations sur les conditions dans lesquelles ces valeurs doivent être utilisées, voir le lien connexe "Paramètres des jetons d'authentification du générateur ou du destinataire".

      5. N'indiquez pas de valeur dans la zone URI de l'espace de nom.
      6. Sélectionnez la valeur wss.consume.KRB5BST dans le menu déroulant de connexion JAAS.
        Si vous avez précédemment défini votre propre module de connexion JAAS (Java Authentication and Authorization Service), vous pouvez sélectionner ce module de connexion pour gérer le jeton Kerberos personnalisé. Pour définir un module de connexion JAAS personnalisé, cliquez sur Connexion à une nouvelle application > Nouveau, spécifiez un alias pour le nouveau module et cliquez sur Valider. Pour plus d'informations, voir Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service).
        Avertissement : Bien que les informations contenues dans la rubrique Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service) s'appliquent à la sécurité et non à la sécurité des services Web, la configuration d'un module de connexion pour la sécurité des services Web est identique à celle de la sécurité.
      7. Cliquez sur Apply.
      8. Sous Liaisons supplémentaires, cliquez sur Gestionnaire d'appel.
      9. Sous Nom de classe, sélectionnez l'option Utiliser un nom de classe personnalisé et spécifiez com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler dans la zone associée.
      10. Cliquez sur Valider et sur OK.
      Lorsque vous retournez dans le panneau Authentification et protection à l'étape suivante, un nouveau jeton d'authentification est défini pour le destinataire du jeton. Pour éditer la configuration pour ce nouveau jeton, cliquez sur son nom dans le panneau.

Que faire ensuite

Vous pouvez éventuellement définir des liaisons de clés pour protéger les messages de demande et les messages de réponse. Si vous choisissez de dériver un clé du jeton Kerberos, configurez les informations de la clé dérivée lorsque vous configurez les informations de clé pour la signature et le chiffrement.

Retournez aux étapes de la rubrique Configuration du jeton Kerberos pour la sécurité des services Web afin de vous assurer que vous avez rempli les étapes de configuration de ce jeton.

1 Facultatif : Si la propriété targetServiceRealm n'est pas indiquée, le nom de domaine Kerberos par défaut du fichier de configuration Kerberos est utilisé.
2 Facultatif : La propriété clientRealm est facultative pour un environnement à domaine Kerberos unique.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confkerbbinding
Nom du fichier : twbs_confkerbbinding.html