Exemples de liaisons généraux pour les applications JAX-WS applications

Vous pouvez utiliser des exemples de liaison avec la console d'administration pour les opérations de test. Les configurations que vous spécifiez sont reflétées au niveau de la cellule ou du serveur.

WebSphere Application Server version 7.0 et les versions ultérieures incluent des exemples de liaisons de fournisseurs et de clients pour les opérations de test. Dans les liaisons, le produit fournit des exemples de valeur pour la prise en charge des jetons de différents types, par exemple le jeton X.509, le jeton nom d'utilisateur, le jeton LTPA et le jeton Kerberos. Les liaisons comprennent également des exemples de valeurs pour les informations sur la protection des messages pour des types de jeton tels que les jetons X.509 et les jetons de conversation sécurisée. Les exemples de liaisons de fournisseurs et de clients peuvent être appliqués aux applications rattachées à un ensemble de règles d'un système ou d'une application à partir du répertoire local par défaut.

Ces informations décrivent les exemples généraux de liaisons pour le modèle de programmation JAX-WS (Java™ API for XML-Based Web Services). Vous pouvez développer des services web en utilisant le modèle de programmation Java API for XML-based RPC (JAX-RPC) ou pour WebSphere Application Server Version 7.0 et les versions suivantes, en utilisant le modèle de programmation Java API for XML-Based Web Services (JAX-WS). Les exemples de liaisons généraux peuvent être différents selon le modèle de programmation utilisé. Les sections suivantes décrivent divers modèles généraux de liaison :
meilleures pratiques : IBM® WebSphere Application Server prend en charge les modèles de programmation JAX-WS (Java API for XML-Based Web Services) et JAX-RPC (Java API for XML-based RPC). JAX-WS représente la future génération du modèle de programmation des services Web qui étend la base du modèle JAX-RPC. L'utilisation du modèle de programmation JAX-WS stratégique simplifie le développement des services et des clients Web par la prise en charge d'un modèle d'annotations normalisé. Bien que le modèle de programmation et les applications JAX-RPC soient toujours pris en charge, vous avez tout avantage à recourir au modèle de programmation JAX-WS, facile à mettre en oeuvre, pour développer de nouvelles applications et de nouveaux clients de services Web.

N'utilisez pas ces exemples de liaisons de fournisseurs et de clients dans leur état par défaut dans un environnement de production. Avant de les utiliser dans un environnement de production, vous devez copier les liaisons et modifier les copies afin de répondre à vos impératifs de sécurité. Par exemple, vous devez modifier les paramètres de la clé et du fichier de clés, et modifier les paramètres de liaison pour qu'ils correspondent à votre environnement.

Eviter les incidents Eviter les incidents: Après avoir copié les exemples de liaisons fournisseur ou client, ne personnalisez que les paramètres de votre copie en fonction de vos besoins. Ne supprimez rien de l'exemple de liaison client, comme les générateurs de jeton, les consommateurs de jeton, les parties signature ou les parties chiffrement.gotcha
Les applications partagent un ensemble de liaisons générales par défaut pour faciliter le déploiement. Vous pouvez indiquer les liaisons par défaut pour votre fournisseur de service ou client utilisé au niveau de sécurité (cellule) globale, pour un domaine de sécurité, ou pour un serveur spécifique. Les liaisons par défaut sont utilisées en l'absence d'une liaison de substitution spécifiée à une échelle plus petite. L'ordre de priorité (de la plus basse à la plus élevée) utilisé par le serveur d'applications pour déterminer les liaisons par défaut à utiliser est le suivant :
  1. Paramètres par défaut au niveau du serveur
  2. Paramètres par défaut au niveau du domaine de sécurité
  3. Paramètres par défaut de la sécurité globale (cellule)

Exemple de liaisons générales du client

  • L'exemple de configuration utilisé pour la génération des informations de signature, appelé asymmetric-signingInfoRequest, contient les éléments de configuration suivants :
    • Fait référence aux informations de clé de signature gen_signkeyinfo.
    • La référence de composant, qui contient la configuration de transformation utilisant l'algorithme http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, gen_signkeyinfo, contenant la configuration suivante :
      • La référence du jeton de sécurité.
      • Le générateur de signature asymétrique du jeton de protection gen_signx509token comme suit :
        • Contient le type de jeton V1.0 X.509 version 3.
        • Contient le type de valeur http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.generate.x509
      • Le gestionnaire de rappels X.509. Le gestionnaire de rappels appelle le fichier de clés personnalisé dans ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsigsender.ks, avec les caractéristiques suivantes :
        • Le type de fichier de clés est JKS.
        • Le mot de passe du fichier de clés est client.
        • Le nom d'alias du certificat digne de confiance est soapca.
        • Le nom d'alias du certificat personnel est soaprequester.
        • Le mot de passe clé client est émis par une autorité de certificat intermédiaire Int CA2, qui est elle-même émise par soapca.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#rsa-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la génération des informations de signature appelé symmetric-signingInfoRequest contient les éléments de configuration suivants :
    • Fait référence aux informations de clé de signature gen_signsctkeyinfo.
    • La référence de composant, qui contient la configuration de transformation utilisant l'algorithme http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, gen_signsctkeyinfo, contenant la configuration suivante :
      • La référence du jeton de sécurité.
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le générateur du jeton de protection gen_scttoken, comme suit :
        • Contient le type de jeton de conversation sécurisée version 1.3.
        • Contient le type de valeur http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct comme valeur de la partie locale.
        • Contient la connexion JAAS wss.generate.sct
      • Le gestionnaire de rappels WS-Trust.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#hmac-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la génération des informations de chiffrement, appelé asymmetric-encryptionInfoRequest, contient les éléments de configuration suivants :
    • Fait référence aux informations de clé de chiffrement gen_enckeyinfo.
    • Les informations de clé de chiffrement appelées gen_enckeyinfo, contenant la configuration suivante :
      • L'identificateur de clé.
      • Le générateur de chiffrement asymétrique du jeton de protection gen_encx509token comme suit :
        • Le type du fichier de clés est JCEKS.
        • Le mot de passe du fichier de clés est client.
        • Le nom d'alias du certificat digne de confiance est soapca.
        • Le nom d'alias du certificat personnel est bob.
        • Le mot de passe clé client est émis par une autorité de certificat intermédiaire Int CA2, qui est elle-même émise par soapca.ey.
      • Le gestionnaire de rappels X.509. Le gestionnaire de rappels appelle le fichier de clés personnalisé dans ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks.
    • La méthode de chiffrement de clés http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • L'exemple de configuration utilisé pour la génération des informations de chiffrement, appelé symmetric-encryptionInfoRequest, contient les éléments de configuration suivants :
    • Fait référence aux informations de clé de chiffrement gen_encsctkeyinfo.
    • Les informations de clé de chiffrement, gen_encsctkeyinfo, contenant la configuration suivante :
      • La référence du jeton de sécurité.
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le générateur du jeton de protection gen_scttoken contenant la configuration suivante :
        • Contient le type de jeton de conversation sécurisée version 1.3.
        • Contient le type de valeur http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.generate.sct.
      • Le gestionnaire de rappels WS-Trust.
    • La méthode de chiffrement des données http://www.w3.org/2001/04/xmlenc#aes128-cbc.
  • L'exemple de configuration utilisé pour la consommation des informations de signature appelé asymmetric-signingInfoResponse, contient la configuration suivante :
    • Fait référence aux informations de clé de signature con_signkeyinfo.
    • La référence de composant utilisant l'algorithme de configuration de transformation http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, appelées con_signkeyinfo, contenant la configuration suivante :
      • Le consommateur de signatures asymétriques du jeton de protection con_signx509token, comme suit :
        • Contient le type de jeton V1.0 X.509 version 3.
        • Contient le type de valeur http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.consume.x509.
      • Le gestionnaire de rappels X.509, comme suit :
        • Fait référence à un magasin de certificats appelé DigSigCertStore.
        • Fait référence à un espace de stockage d'ancrages sécurisés appelé DigSigTrustAnchor.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#rsa-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la consommation des informations de signature appelé symmetric-signingInfoResponse, contient la configuration suivante :
    • Fait référence aux informations de clé de signature con_sctsignkeyinfo.
    • La référence de composant utilisant l'algorithme de configuration de transformation http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, appelées con_sctsignkeyinfo, contenant la configuration suivante :
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le destinataire du jeton de protection con_scttoken, comme suit :
        • Contient le type de jeton de conversation sécurisée version 1.3.
        • Contient le type de valeur http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.consume.sct.
      • Le gestionnaire de rappels WS-SecureConversation.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#hmac-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la consommation des informations de chiffrement, appelé asymmetric-encryptionInfoResponse, contenant la configuration suivante :
    • Fait référence aux informations de clé de chiffrement dec_keyinfo.
    • Les informations de clé de chiffrement, appelées dec_keyinfo, contenant la configuration suivante :
      • Le consommateur de chiffrement asymétrique du jeton de protection con_encx509token, comme suit :
        • Contient le type de jeton V1.0 X.509 version 3.
        • Contient le type de valeur http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.consume.x509.
      • Le gestionnaire de rappels X.509. Le gestionnaire de rappels appelle le fichier de clés personnalisé dans ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks, avec les caractéristiques suivantes :
        • Le type de fichier de clés est JCEKS.
        • Le mot de passe du fichier de clés est client.
        • Le nom d'alias du certificat digne de confiance est soapca.
        • Le nom d'alias du certificat personnel est alice.
        • Le mot de passe clé client est émis par une autorité de certificat intermédiaire Int CA2, qui est elle-même émise par soapca.
    • La méthode de chiffrement de clés http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • L'exemple de configuration utilisé pour la consommation des informations de chiffrement appelé symmetric-encryptionInfoResponse, contient la configuration suivante :
    • Fait référence aux informations de clé de chiffrement dec_sctkeyinfo
    • Les informations de clé de chiffrement appelées dec_sctkeyinfo, contiennent la configuration suivante :
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le destinataire du jeton de protection con_scttoken, comme suit :
        • Contient le type de jeton de conversation sécurisée version 1.3.
        • Contient le type de valeur http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct pour la valeur de la partie locale.
        • Contient la connexion wss.consume.sct JAAS.
      • Le gestionnaire de rappels WS-SecureConversation.
    • La méthode de chiffrement des données http://www.w3.org/2001/04/xmlenc#aes128-cbc.
  • L'exemple de configuration utilisé pour la génération des jetons d'authentification, appelé gen_signkrb5token, contient configuration suivante :
    • Le type de jeton personnalisé pour le jeton Kerberos version 5, utilisanthttp://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
    • La connexion JAAS wss.generate.KRB5BST.
    • Les propriétés personnalisées suivantes :
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceName, le nom de service Kerberos cible.
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost, le nom d'hôte associé au nom de service Kerberos cible,

        Avant d'utiliser cette configuration, vous devez fournir les valeurs correctes pour votre environnement.

    • Le gestionnaire de rappels du jeton Kerberos personnalisé. Vous devez fournir les valeurs correctes pour le principal et le mot de passe client Kerberos.
  • L'exemple de configuration utilisé pour la génération des jetons d'authentification, appelé gen_signltpaproptoken, contient configuration suivante :
    • Le jeton de propagation LTPA, comme suit :
      • Contient LTPA_PROPAGATION pour la valeur de la partie locale.
      • Contient http://www.ibm.com/websphere/appserver/tokentype pour la valeur de l'URI espace de nom.
    • Contient la connexion JAAS wss.generate.ltpaProp.
    • Utilise le gestionnaire de rappels du jeton LTPA.
  • L'exemple de configuration utilisé pour la génération des jetons d'authentification, appelé gen_signltpatoken, contient configuration suivante :
    • Le type de jeton LTPA 2.0, comme suit :
      • Contient LTPA_PROPAGATION pour la valeur de la partie locale.
      • Contient http://www.ibm.com/websphere/appserver/tokentype pour la valeur de l'URI espace de nom.
    • La connexion JAAS wss.generate.ltpa.
    • Le gestionnaire de rappels du jeton LTPA.
  • L'exemple de configuration utilisé pour la génération des jetons d'authentification, appelé gen_signunametoken, contient configuration suivante :
    • Le type de jeton nom d'utilisateur v1.0, utilisanthttp://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken pour la valeur de la partie locale.
    • La connexion JAAS wss.generate.unt.
    • Le gestionnaire de rappels du jeton de nom d'utilisateur, comme suit :
      • Contient les zones d'authentification de base. Vous devez fournir les valeurs correctes pour le principal et le mot de passe client.
      • Contient les propriétés personnalisées suivantes :
        • com.ibm.wsspi.wssecurity.token.username.addNonce pour ajouter la valeur nonce.
        • com.ibm.wsspi.wssecurity.token.username.addTimestamp pour ajouter la valeur d'horodatage.

Modèles de liaison client V2

Deux nouveaux exemples de liaisons générales, Client sample V2 et Provider sample V2, ont été ajoutés au produit. La plupart des configurations sont les mêmes que pour les modèles de liaison client et fournisseur des versions précédentes. Toutefois, il existe des configurations supplémentaires dans cette nouvelle version. Pour utiliser ces nouvelles liaisons, vous devez créer un profil après l'installation du produit. Pour plus d'informations, reportez-vous à la rubrique Configuration des ensembles de règles Kerberos et des modèles de liaisons générales V2.

  • La configuration du modèle utilisé pour générer les données de signature, appelé symmetric-KrbsignInfoRequest, contient les informations suivantes :
    • La référence aux informations de clé de signature gen_reqKRBsignkeyinfo.
    • La référence de composant, qui contient la configuration de transformation utilisant l'algorithme http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, gen_reqKRBsignkeyinfo, contenant la configuration suivante :
      • La référence du jeton de sécurité.
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le générateur du jeton de protection gen_krb5token, comme suit :
        • Contient le type de jeton de sécurité binaire Kerberos V5 GSS AP_REQ.
        • Contient le type de valeur http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.generate.KRB5BST.
      • Le gestionnaire com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#hmac-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la génération des informations de chiffrement, appelé symmetric-KrbEncInfoRequest, contient les informations suivantes :
    • Référence aux informations de clé de chiffrement gen_reqKRBenckeyinfo.
    • Les informations de clé de chiffrement, gen_reqKRBenckeyinfo, contenant la configuration suivante :
      • La référence du jeton de sécurité.
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le générateur du jeton de protection gen_krb5token contenant la configuration suivante :
        • Contient le type de jeton de sécurité binaire Kerberos V5 GSS AP_REQ.
        • Contient le type de valeur http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.generate.KRB5BST.
      • Le gestionnaire com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler.
    • La méthode de chiffrement des données http://www.w3.org/2001/04/xmlenc#aes128-cbc.
  • L'exemple de configuration utilisé pour la consommation des informations de signature appelé symmetric-KrbsignInfoResponse, contient les informations suivantes :
    • Référence aux informations de clé de signature con_respKRBsignkeyinfo.
    • La référence de composant utilisant l'algorithme de configuration de transformation http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, appelées con_respKRBsignkeyinfo, contenant la configuration suivante :
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le destinataire du jeton de protection con_krb5token, comme suit :
        • Contient le type de jeton de sécurité binaire Kerberos V5 GSS AP_REQ.
        • Contient le type de valeur http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.consume.KRB5BST.
      • Le gestionnaire com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#hmac-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la consommation des informations de chiffrement, appelé symmetric-KrbEncInfoResponse, contient les éléments de configuration suivants :
    • Référence aux informations de clé de chiffrement con_respKRBenckeyinfo.
    • Les informations de clé de chiffrement appelées con_respKRBenckeyinfo, contiennent les informations suivantes :
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le destinataire du jeton de protection con_krb5token, comme suit :
        • Contient le type de jeton de sécurité binaire Kerberos V5 GSS AP_REQ.
        • Contient le type de valeur http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.consume.KRB5BST.
      • Le gestionnaire com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.
    • La méthode de chiffrement des données http://www.w3.org/2001/04/xmlenc#aes128-cbc.
  • L'exemple de configuration utilisé pour la génération des jetons d'authentification, appelé gen_krb5token, contient configuration suivante :
    • Le type de jeton personnalisé pour le jeton Kerberos version 5, utilisant http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
    • La connexion JAAS wss.generate.KRB5BST.
    • Les propriétés personnalisées suivantes :
      • Le nom du service Kerberos cible, com.ibm.wsspi.wssecurity.krbtoken.targetServiceName.
      • Le nom d'hôte associé au nom du service Kerberos cible, com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost.
        Remarque : Avant d'utiliser cette configuration, vous devez fournir les valeurs correctes pour votre environnement.
    • Le gestionnaire de rappels du jeton Kerberos personnalisé.
      Remarque : Vous devez fournir les valeurs correctes pour le principal et le mot de passe client Kerberos.
  • L'exemple de configuration utilisé pour la consommation du jeton d'authentification, appelé con_krb5token, contient les informations suivantes :
    • Le type de jeton personnalisé pour le jeton Kerberos version 5, utilisant http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
    • La connexion JAAS wss.consume.KRB5BST.
    • Le gestionnaire de rappels du jeton Kerberos personnalisé.

Exemple de liaisons générales du fournisseur

  • L'exemple de configuration utilisé pour la consommation des informations de signature, appelé asymmetric-signingInfoRequest, contient les éléments de configuration suivants :
    • Fait référence aux informations de clé de signature con_signkeyinfo.
    • La référence de composant utilisant l'algorithme de configuration de transformation http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, appelées con_signkeyinfo, contenant la configuration suivante :
      • Le consommateur de signatures asymétriques du jeton de protection con_signx509token, comme suit :
        • Contient le type de jeton V1.0 X.509 version 3.
        • Contient le type de valeur http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.consume.x509.
      • Le gestionnaire de rappels X.509, comme suit :
        • Fait référence à un magasin de certificats appelé DigSigCertStore.
        • Fait référence à un espace de stockage d'ancrages sécurisés appelé DigSigTrustAnchor.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#rsa-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la consommation des informations de signature appelé symmetric-signingInfoRequest, contient la configuration suivante :
    • Fait référence aux informations de clé de signature con_sctsignkeyinfo.
    • La référence de composant utilisant l'algorithme de configuration de transformation http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, appelées con_sctsignkeyinfo, contenant la configuration suivante :
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le générateur du jeton de protection con_scttoken, comme suit :
        • Contient le type de jeton de conversation sécurisée version 1.3.
        • Contient le type de valeur http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.consume.sct.
      • Le gestionnaire de rappels WS-SecureConversation.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#hmac-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la consommation des informations de chiffrement, appelé asymmetric-encryptionInfoRequest, contient la configuration suivante :
    • Fait référence aux informations de clé de chiffrement dec_keyinfo.
    • Les informations de clé de chiffrement, appelées dec_keyinfo, contenant la configuration suivante :
      • Le consommateur de chiffrement asymétrique du jeton de protection con_encx509token, comme suit :
        • Contient le type de jeton V1.0 X.509 version 3.
        • Contient le type de valeur http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.consume.x509.
      • Le gestionnaire de rappels X.509. Le gestionnaire de rappels appelle le fichier de clés personnalisé dans ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks, avec les caractéristiques suivantes :
        • Le type de fichier de clés est JCEKS.
        • Le mot de passe du fichier de clés est client.
        • Le nom d'alias du certificat digne de confiance est soapca.
        • Le nom d'alias du certificat personnel est bob.
        • Le mot de passe clé client est émis par une autorité de certificat intermédiaire Int CA2, qui est elle-même émise par soapca.
    • La méthode de chiffrement de clés http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • L'exemple de configuration utilisé pour la consommation des informations de chiffrement, appelé symmetric-encryptionInfoRequest, contient les éléments de configuration suivants :
    • Fait référence aux informations de clé de chiffrement dec_sctkeyinfo
    • Les informations de clé de chiffrement, appelées dec_sctkeyinfo, contenant la configuration suivante :
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le destinataire du jeton de protection con_scttoken, comme suit :
        • Contient le type de jeton de conversation sécurisée version 1.3.
        • Contient le type de valeur http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.consume.sct.
      • Le gestionnaire de rappels WS-SecureConversation.
    • La méthode de chiffrement des données http://www.w3.org/2001/04/xmlenc#aes128-cbc.
  • L'exemple de configuration utilisé pour la génération des informations de signature, appelé asymmetric-signingInfoResponse, contient les éléments de configuration suivants :
    • Fait référence aux informations de clé de signature gen_signkeyinfo.
    • La référence de composant utilisant l'algorithme de configuration de transformation http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, appelées gen_signkeyinfo, contenant la configuration suivante :
      • La référence du jeton de sécurité.
      • Le générateur de signature asymétrique du jeton de protection gen_signx509token comme suit :
        • Contient le type de jeton V1.0 X.509 version 3.
        • Contient le type de valeur http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.generate.x509.
      • Le gestionnaire de rappels X.509. Le gestionnaire de rappels appelle le fichier de clés personnalisé dans ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks, avec les caractéristiques suivantes :
        • Le type de fichier de clés est JKS.
        • Le mot de passe du fichier de clés est client.
        • Le nom d'alias du certificat digne de confiance est soapca.
        • Le nom d'alias du certificat personnel est soapprovider.
        • Le mot de passe clé client est émis par une autorité de certificat intermédiaire Int CA2, qui est elle-même émise par soapca.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#rsa-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la génération des informations de signature appelé symmetric-signingInfoResponse, contient la configuration suivante :
    • Fait référence aux informations de clé de signature gen_signsctkeyinfo.
    • La référence de composant utilisant l'algorithme de configuration de transformation http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, appelées gen_signsctkeyinfo, contenant la configuration suivante :
      • La référence du jeton de sécurité.
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le générateur du jeton de protection gen_scttoken, comme suit :
        • Contient le type de jeton de conversation sécurisée version 1.3.
        • Contient le type de valeur http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.generate.sct.
      • Le gestionnaire de rappels WS-Trust.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#hmac-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la génération des informations de chiffrement, appelé asymmetric-encryptionInfoResponse, contient les éléments de configuration suivants :
    • Fait référence aux informations de clé de chiffrement gen_enckeyinfo.
    • Les informations de clé de chiffrement appelées gen_enckeyinfo, contiennent la configuration suivante :
      • L'identificateur de clé.
      • Le générateur de chiffrement asymétrique du jeton de protection gen_encx509token comme suit :
        • Contient le type de jeton V1.0 X.509 version 3.
        • Contient le type de valeur http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.generate.x509.
      • Utilise le gestionnaire de rappels X.509. Le gestionnaire de rappels appelle le fichier de clés personnalisé dans ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks, avec les caractéristiques suivantes :
        • Le type de fichier de clés est JCEKS.
        • Le mot de passe du fichier de clés est client.
        • Le nom d'alias du certificat digne de confiance est soapca.
        • Le nom d'alias du certificat personnel est alice.
        • Le mot de passe clé client est émis par une autorité de certificat intermédiaire Int CA2, qui est elle-même émise par soapca.
    • La méthode de chiffrement de clés http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • L'exemple de configuration utilisé pour la génération des informations de chiffrement appelé symmetric-encryptionInfoResponse, contient la configuration suivante :
    • Fait référence aux informations de clé de chiffrement gen_encsctkeyinfo.
    • Les informations de clé de chiffrement appelées gen_encsctkeyinfo contiennent la configuration suivante :
      • La référence du jeton de sécurité.
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le générateur du jeton de protection gen_scttoken, comme suit :
        • Contient le type de jeton de conversation sécurisée version 1.3.
        • Contient le type de valeur http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.generate.sct.
      • Le gestionnaire de rappels WS-Trust.
    • La méthode de chiffrement des données http://www.w3.org/2001/04/xmlenc#aes128-cbc.
  • L'exemple de configuration utilisé pour la consommation des jetons d'authentification, appelé con_krb5token, contient configuration suivante :
    • Le type personnalisé du jeton Kerberos 5, utilisant http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
    • La connexion JAAS wss.consume.KRB5BST.
    • Le gestionnaire de rappels du jeton Kerberos personnalisé.
  • L'exemple de configuration utilisé pour la consommation des jetons d'authentification, appelé con_ltpaproptoken, contient configuration suivante :
    • Le type de jeton de propagation LTPA.
    • La connexion JAAS wss.consume.ltpaProp.
    • Le gestionnaire de rappels du jeton LTPA.
  • L'exemple de configuration utilisé pour la consommation des jetons d'authentification, appelé con_ltpatoken, contient configuration suivante :
    • Le type de jeton V2.0 LTPA, avec les caractéristiques suivantes :
      • Contient LTPAv2 pour la valeur de la partie locale.
      • Contient http://www.ibm.com/websphere/appserver/tokentype pour la valeur de l'URI espace de nom.
    • Connexion JAAS wss.consume.ltpa
    • Le gestionnaire de rappels du jeton LTPA.
  • L'exemple de configuration utilisé pour la consommation des jetons d'authentification, appelé con_unametoken, contient configuration suivante :
    • Type de jeton de nom d'utilisateur v1.0, utilisant http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken pour la valeur de la partie locale.
    • La connexion JAAS wss.consume.unt.
    • Le gestionnaire de rappels du jeton de nom d'utilisateur, avec les propriétés personnalisées :
      • com.ibm.wsspi.wssecurity.token.username.verifyNonce pour vérifier la valeur nonce.
      • com.ibm.wsspi.wssecurity.token.username.verifyTimestamp pour vérifier la valeur d'horodatage.

Modèles de liaison fournisseur V2

Deux nouveaux exemples de liaisons générales, Client sample V2 et Provider sample V2, ont été ajoutés au produit. La plupart des configurations sont les mêmes que pour les modèles de liaison client et fournisseur des versions précédentes. Toutefois, il existe des configurations supplémentaires dans cette nouvelle version. Pour utiliser ces nouvelles liaisons, vous devez créer un profil après l'installation du produit. Pour plus d'informations, reportez-vous à la rubrique Configuration des ensembles de règles Kerberos et des modèles de liaisons générales V2.

  • La configuration du modèle utilisé pour générer les données de signature, appelé symmetric-KrbsignInfoRequest, contient les informations suivantes :
    • Référence aux informations de clé de signature con_respKRBsignkeyinfo.
    • La référence de composant, qui contient la configuration de transformation utilisant l'algorithme http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, con_respKRBsignkeyinfo, contenant la configuration suivante :
      • La référence du jeton de sécurité.
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le destinataire du jeton de protection con_krb5token, comme suit :
        • Contient le type de jeton de sécurité binaire Kerberos V5 GSS AP_REQ.
        • Contient le type de valeur http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.consume.KRB5BST.
      • Le gestionnaire com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#hmac-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la génération des informations de chiffrement, appelé symmetric-KrbEncInfoRequest, contient les informations suivantes :
    • Référence aux informations de clé de chiffrement con_reqKRBenckeyinfo.
    • Les informations de clé de chiffrement, con_reqKRBenckeyinfo, contenant la configuration suivante :
      • La référence du jeton de sécurité.
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le consommateur du jeton de protection con_krb5token contenant la configuration suivante :
        • Contient le type de jeton de sécurité binaire Kerberos V5 GSS AP_REQ.
        • Contient le type de valeur http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.consume.KRB5BST.
      • Le gestionnaire com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.
    • La méthode de chiffrement des données http://www.w3.org/2001/04/xmlenc#aes128-cbc.
  • L'exemple de configuration utilisé pour la consommation des informations de signature appelé symmetric-KrbsignInfoResponse, contient les informations suivantes :
    • La référence aux informations de clé de signature gen_respKRBsignkeyinfo.
    • La référence de composant utilisant l'algorithme de configuration de transformation http://www.w3.org/2001/10/xml-exc-c14n#.
    • Les informations de clé de signature, appelées gen_respKRBsignkeyinfo, contenant la configuration suivante :
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le générateur du jeton de protection gen_krb5token, comme suit :
        • Contient le type de jeton de sécurité binaire Kerberos V5 GSS AP_REQ.
        • Contient le type de valeur http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.generate.KRB5BST.
      • Le gestionnaire com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler.
    • La méthode de signature http://www.w3.org/2000/09/xmldsig#hmac-sha1.
    • La méthode de canonicalisation http://www.w3.org/2001/10/xml-exc-c14n#.
  • L'exemple de configuration utilisé pour la consommation des informations de chiffrement, appelé symmetric-KrbEncInfoResponse, contient les éléments de configuration suivants :
    • Référence aux informations de clé de chiffrement gen_respKRBenckeyinfo.
    • Les informations de clé de chiffrement appelées gen_respKRBenckeyinfo contiennent la configuration suivante :
      • La clé dérivée comme suit :
        • Nécessite un jeton de clé dérivée explicite.
        • WS-SecureConversation comme label client.
        • WS-SecureConversation comme label du service.
        • Longueur de clé de 16 octets.
        • Valeur nonce d'une longueur de 16 octets.
      • Le générateur du jeton de protection gen_krb5token, comme suit :
        • Contient le type de jeton de sécurité binaire Kerberos V5 GSS AP_REQ.
        • Contient le type de valeur http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
        • Contient la connexion JAAS wss.generate.KRB5BST.
      • Le gestionnaire com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler.
    • La méthode de chiffrement des données http://www.w3.org/2001/04/xmlenc#aes128-cbc.
  • L'exemple de configuration utilisé pour la génération des jetons d'authentification, appelé gen_krb5token, contient configuration suivante :
    • Le type de jeton personnalisé pour le jeton Kerberos version 5, utilisant http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
    • La connexion JAAS wss.generate.KRB5BST.
    • Le gestionnaire de rappels du jeton Kerberos personnalisé.
  • L'exemple de configuration utilisé pour la consommation du jeton d'authentification, appelé con_krb5token, contient les informations suivantes :
    • Le type de jeton personnalisé pour le jeton Kerberos version 5, utilisant http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ pour la valeur de la partie locale.
    • La connexion JAAS wss.consume.KRB5BST.
    • Le gestionnaire de rappels du jeton Kerberos personnalisé.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_defaultconfigjaxws
Nom du fichier : cwbs_defaultconfigjaxws.html