wsadmin スクリプトによるセキュリティー・トークンのカスタム・ポリシーおよびバインディングの構成
カスタム・ポリシーおよびバインディングの構成に対してセキュリティー・トークンを指定するには、AdminTask オブジェクトの setPolicyType コマンドおよび setBinding コマンドを使用します。
始める前に
新規カスタム・ポリシー・セットを作成します。
このタスクについて
以下のシナリオでは、Oasis Kerberos Token Profile V1.1 仕様に基づいた Kerberos トークンを使用するように、カスタム・ポリシーおよびバインディングを構成します。 setPolicyType コマンドおよび setBinding コマンドを使用して、ユーザー名トークン、Lightweight Third Party Authentication (LTPA)、および SecureConversation などの他のバイナリー・セキュリティー・トークンを構成することもできます。
手順
- セキュリティー・トークンのカスタム・ポリシーを構成します。
- Jython スクリプト言語を使用する wsadmin スクリプト・ツールを起動します。 詳しくは、『wsadmin スクリプト・クライアントの開始』を参照してください。
- 対象となるポリシーのプロパティーを表示します。 以下のコマンドが示すように、WS-Security ポリシー・タイプに関する詳細なプロパティー情報を表示するには、getPolicyType コマンドを使用します。
AdminTask.getPolicyType('-policySet AuthenticationTokenService -policyType WSSecurity')
以下の出力例が示すように、getPolicyType コマンドは、各プロパティーの名前と値のペアを含むプロパティー・オブジェクトを返します。'[ [SupportingTokens.request:krb_token.CustomToken.IncludeToken http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient] [enabled true] [type WSSecurity] [description [Policies for sending security tokens and providing message confidentiality and integrity, based on the OASIS Web Service Security and Token Profiles specifications.]] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.uri ] [provides ] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] ]'
- ポリシー・タイプの認証トークンを指定します。 SupportingTokens.request:krb_token.CustomToken.WssCustomToken.uri プロパティーの値としてサービスの認証トークンの Uniform Resource Identifier (URI) を指定するには、setPolicyType コマンドを使用します。 空ストリングを指定するには、[ ] 構文を使用します。 以下の例では、認証トークンの値として空ストリングが指定されます。
AdminTask.setPolicyType('-policySet AuthenticationTokenService -policyType WSSecurity -attributes "[ [SupportingTokens.request:krb_token.CustomToken.IncludeToken http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient] [enabled true] [type WSSecurity] [description [Policies for sending security tokens and providing message confidentiality and integrity, based on the OASIS Web Services Security and Token Profiles specifications.]] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.uri []] [provides []] [SupportingTokens.request:krb_token.CustomToken.WssCustomToken.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] ]"')
- セキュリティー・トークンのカスタム・バインディングを構成します。
- wsadmin スクリプト・ツールを開始します。
- 対象となるバインディングのプロパティーを表示します。 以下のコマンドが示すように、対象となるバインディングに関する詳細なプロパティー情報を表示するには、getBinding コマンドを使用します。
AdminTask.getBinding('-policyType WSSecurity -bindingLocation "" -bindingName AuthenticationTokenService')
以下の出力例が示すように、getBinding コマンドは、各プロパティーの名前と値のペアを含むプロパティー・オブジェクトを返します。'[ [application.securityinboundbindingconfig.tokenconsumer_0.properties_0.name com.ibm.wsspi.wssecurity.krbtoken.serviceSPN] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri ] [application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.classname com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler] [application.name application][application.securityinboundbindingconfig.tokenconsumer_0.properties_0.value HTTP/derekho1.firehorse.austin.ibm.com] [application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname system.wss.consume.KRB5BST] [application.securityinboundbindingconfig.tokenconsumer_0.name con_krbtoken][application.securityinboundbindingconfig.tokenconsumer_0.classname com.ibm.ws.wssecurity.wssapi.token.impl.CommonTokenConsumer] [application.securityinboundbindingconfig.tokenconsumer_0.securitytokenreference.reference request:krb_token] ]'
- ポリシー・タイプの認証トークンを指定します。 application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri プロパティーの値としてサービスの認証トークンの Uniform Resource Identifier (URI) を指定するには、setBinding コマンドを使用します。 空ストリングを指定するには、[ ] 構文を使用します。 以下の例では、認証トークンの値として空ストリングが指定されます。
AdminTask.setBinding('-policyType WSSecurity -bindingLocation "" -bindingName AuthenticationTokenService -attributes "[ [application.securityinboundbindingconfig.tokenconsumer_0.properties_0.name com.ibm.wsspi.wssecurity.krbtoken.serviceSPN] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.localname http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ] [application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri []] [application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.classname com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler] [application.name application][application.securityinboundbindingconfig.tokenconsumer_0.properties_0.value HTTP/derekho1.firehorse.austin.ibm.com] [application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname system.wss.consume.KRB5BST][application.securityinboundbindingconfig.tokenconsumer_0.name con_krbtoken][application.securityinboundbindingconfig.tokenconsumer_0.classname com.ibm.ws.wssecurity.wssapi.token.impl.CommonTokenConsumer] [application.securityinboundbindingconfig.tokenconsumer_0.securitytokenreference.reference request:krb_token] ]"')
タスクの結果
setPolicyType コマンドおよび setBinding コマンドが 'true' 値を返した場合は、システムによってポリシーおよびバインディングの構成が正常に更新されました。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7secpolicy
ファイル名:txml_7secpolicy.html