JAX-RPC용 콜백 핸들러 구성 설정

SOAP 메시지 내 JAX-RPC용 웹 서비스 보안 헤더에 삽입되는 보안 토큰을 획득하는 방법을 지정하려면 이 페이지를 사용하십시오. 토큰 획득은 보안 토큰을 획득하기 위한 JASS(Java™ Authentication and Authorization Service) javax.security.auth.callback.CallbackHandler 인터페이스를 활용하는 플러그 가능 프레임워크입니다.

문제점 방지 문제점 방지: 이 페이지에서 키 저장소 특성에 대한 값을 지정하기 전에, 생성기에 대해 제공하는 키 저장소/별명 정보 및 이용자에 대해 제공되는 키 저장소/별명 정보가 다른 용도로 사용됨을 이해해야 합니다. 기본 차이는 X.509 콜백 핸들러에 대한 별명에 적용됩니다. gotcha
생성기
암호화 생성기와 결합하여 사용되면 생성기에 제공된 별명은 공개 키를 검색하여 메시지를 암호화하는 데 사용됩니다. 비밀번호가 필요하지 않습니다. 암호화 생성기에 연관된 콜백 핸들러에 입력된 별명은 비밀번호 없이 액세스 가능해야 합니다. 즉, 키 저장소에서 개인 키 정보를 별명에 연관하지 않아도 됩니다. 서명 생성기와 결합되어 사용되면, 생성기에 제공된 별명은 공개 키를 검색하여 메시지를 암호화하는 데 사용됩니다. 비밀번호는 필수입니다.
셀 레벨에서 콜백 핸들러를 위한 이 관리 콘솔 페이지를 보려면, 다음 단계를 완료하십시오.
  1. 보안 > JAX-WS 및 JAX-RPC 보안 런타임을 클릭하십시오.
  2. JAX-RPC 기본 생성기 바인딩에서 토큰 생성기 > token_generator_name을 클릭하십시오.
  3. 추가 특성에서 콜백 핸들러를 클릭하십시오.
서버 레벨에서 콜백 핸들러를 위한 이 관리 콘솔 페이지를 보려면, 다음 단계를 완료하십시오.
  1. 서버 > 서버 유형 > WebSphere Application Server > server_name을 클릭하십시오.
  2. 보안에서 JAX-WS 및 JAX-RPC 보안 런타임을 클릭하십시오.
    혼합 버전 환경 혼합 버전 환경: Websphere Application Server 6.1 이전 버전을 사용하는 서버의 혼합 노드 셀에서, 웹 서비스: 웹 서비스 보안을 위한 기본 바인딩을 클릭하십시오.mixv
  3. JAX-RPC 기본 생성기 바인딩 아래에서 토큰 생성기 > token_generator_name을 클릭하십시오.
  4. 추가 특성에서 콜백 핸들러를 클릭하십시오.
애플리케이션 레벨에서 콜백 핸들러를 위한 이 관리 콘솔 페이지를 보려면, 다음 단계를 완료하십시오.
  1. 애플리케이션 > 애플리케이션 유형 > WebSphere enterprise applications > application_name을 클릭하십시오.
  2. 모듈에서 모듈 관리URI_name을 클릭하십시오.
  3. 웹 서비스 보안 특성에서 다음 바인딩을 위한 콜백 핸들러 정보에 액세스할 수 있습니다.
    • 요청 생성기(발신자) 바인딩의 경우 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 요청 생성기(발신자) 바인딩에서 사용자 정의 편집을 클릭하십시오. 추가 특성에서 토큰 생성기를 클릭하십시오. 새로 작성을 클릭하여 새 토큰 생성기 구성을 작성하거나 기존 구성의 이름을 클릭하여 설정을 수정합니다. 추가 특성에서 콜백 핸들러를 클릭하십시오.
    • 응답 생성기(발신자) 바인딩의 경우 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 응답 생성기(발신자) 바인딩에서 사용자 정의 편집을 클릭하십시오. 추가 특성에서 토큰 생성기를 클릭하십시오. 새로 작성을 클릭하여 새 토큰 생성기 구성을 작성하거나 기존 구성의 이름을 클릭하여 설정을 수정합니다. 추가 특성에서 콜백 핸들러를 클릭하십시오.

콜백 핸들러 클래스 이름

보안 토큰 프레임워크에 연결하는 데 사용되는 콜백 핸들러 구현 클래스의 이름을 지정합니다.

지정된 콜백 핸들러 클래스는 javax.security.auth.callback.CallbackHandler 클래스를 구현해야 합니다. JAAS javax.security.auth.callback.CallbackHandler 인터페이스의 구현은 다음 구문을 사용하는 생성자를 제공해야 합니다.
MyCallbackHandler(String username, char[] password, 
    java.util.Map properties)
여기서,
username
구성으로 전달되는 사용자 이름을 지정합니다.
비밀번호
구성으로 전달되는 비밀번호를 지정합니다.
properties
구성으로 전달되는 다른 구성 특성을 지정합니다.
애플리케이션 서버는 다음 기본 콜백 핸들러 구현을 제공합니다.
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
이 콜백 핸들러는 사용자 이름 및 비밀번호 정보를 수집하기 위해 로그인 프롬프트를 사용합니다. 그러나 이 패널에서 사용자 이름과 비밀번호를 지정하면, 프롬프트는 표시되지 않고 이 패널에 지정되면 애플리케이션 서버가 사용자 이름과 비밀번호를 토큰 생성기로 리턴합니다. Java EE(Java Platform, Enterprise Edition) 애플리케이션 클라이언트에 대해서만 이 구현을 사용합니다.
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
이 콜백 핸들러는 프롬프트를 실행하지 않고 이 패널에서 지정되면 사용자 이름과 비밀번호를 토큰 생성기로 리턴합니다. 웹 서비스가 클라이언트의 역할을 하고 있을 때 이 콜백 핸들러를 사용할 수 있습니다.
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
이 콜백 핸들러는 사용자 이름과 비밀번호를 수집하기 위해 표준 프롬프트를 사용합니다. 그러나 사용자 이름과 비밀번호가 이 패널에 지정되면, 애플리케이션 서버는 프롬프트를 실행하지 않지만, 사용자 이름과 비밀번호를 토큰 생성기로 리턴합니다. Java EE(Java Platform, Enterprise Edition) 애플리케이션 클라이언트에 대해서만 이 구현을 사용합니다.
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
이 콜백 핸들러는 사용자 이름과 비밀번호를 수집하기 위해 표준 프롬프트를 사용합니다. 그러나 사용자 이름과 비밀번호가 이 패널에 지정되면, 애플리케이션 서버는 프롬프트를 실행하지 않지만, 사용자 이름과 비밀번호를 토큰 생성기로 리턴합니다. Java EE(Java Platform, Enterprise Edition) 애플리케이션 클라이언트에 대해서만 이 구현을 사용합니다.
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
이 콜백 핸들러는 LTPA(Lightweight Third Party Authentication) 보안 토큰을 RunAs 호출 주제로부터 획득하는 데 사용됩니다. 이 토큰은 2진 보안 토큰으로써 SOAP 메시지 내 웹 서비스 보안 헤더에 삽입됩니다. 그러나 사용자 이름과 비밀번호가 이 패널에 지정되면, 애플리케이션 서버는 RunAs 주제로부터 얻지 않고 LTPA 보안 토큰을 획득하기 위해 사용자 이름과 비밀번호를 인증합니다. 웹 서비스가 애플리케이션 서버에서 클라이언트의 역할을 하는 경우에만 이 콜백 핸들러를 사용합니다. Java EE 애플리케이션 클라이언트에서 이 콜백 핸들러를 사용하지 않는 것이 좋습니다.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
이 콜백 핸들러는 2진 보안 토큰으로써 SOAP 메시지 내 웹 서비스 보안 헤더에 삽입되는 X.509 인증을 작성하는데 사용됩니다. 키 저장소와 키 정의는 이 콜백 핸들러에 필요합니다.
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
이 콜백 핸들러는 PKCS#7 형식으로 인코딩된 X.509 인증서를 작성하는 데 사용됩니다. 인증서는 2진 보안 토큰으로써 SOAP 메시지의 웹 서비스 보안 헤더에 삽입됩니다. 키 저장소는 이 콜백 핸들러에 필요합니다. 콜렉션 인증서 저장소에 인증서 폐기 목록(CRL)을 지정해야 합니다. CRL은 PKCS#7 형식에서 X.509 인증으로 인코딩됩니다.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
이 콜백 핸들러는 PkiPath 형식으로 인코딩된 X.509 인증서를 작성하는데 사용됩니다. 인증서는 2진 보안 토큰으로써 SOAP 메시지 내 웹 서비스 보안 헤더에 삽입됩니다. 키 저장소는 이 콜백 핸들러에 필요합니다. CRL은 콜백 핸들러에서 지원되지 않습니다. 그러므로, 콜렉션 인증서 저장소가 필요하거나 사용되지 않습니다.

콜백 핸들러 구현은 필수 보안 토큰을 획득하고 토큰 생성기로 전달합니다. 토큰 생성기는 SOAP 메시지 내 웹 서비스 보안 헤더에 보안 토큰을 삽입합니다. 또한 토큰 생성기는 플러그 가능 보안 토큰 프레임워크의 플러그인 위치입니다. 서비스 제공자는 자체 구현을 제공할 수 있지만 구현은 com.ibm.websphere.wssecurity.wssapi.token.SecurityToken 인터페이스를 사용해야 합니다. JAAS(Java Authentication and Authorization Service) 로그인 모듈 구현은 생성기 측에 보안 토큰을 작성하고 이용자 측에서 보안 토큰을 유효성 검증(인증)하는 데 사용됩니다.

ID 어설션 사용

IBM® 확장 배치 디스크립터에서 정의된 ID 어설션이 있는 경우 이 옵션을 선택하십시오.

이 옵션은 초기 발신자의 ID만이 필요하고 SOAP 메시지 내 웹 서비스 보안 헤더에 삽입됨을 표시합니다. 예를 들어, 애플리케이션 서버는 사용자 이름 TokenGenerator의 원래 호출자의 사용자 이름만을 보냅니다. X.509 토큰 생성기의 경우, 애플리케이션 서버는 원래 서명자에게만 인증을 보냅니다.

RunAs ID 사용

IBM 확장 배치 디스크립터에 정의된 ID 어설션이 있고 다운스트림 호출에 대한 ID 어설션의 초기 호출 ID 대신 Run As ID를 사용하려면 이 옵션을 선택하십시오.

토큰 생성기로 구성된 사용자 이름 TokenGenerator가 있는 경우에만 이 옵션은 유효합니다.

기본 인증 사용자 ID

콜백 핸들러 구현의 생성자에 전달되는 사용자 이름을 지정합니다.

이 제품에서 제공한 다음 기본 콜백 핸들러 구현 중 하나를 선택하는 경우 기본 인증 사용자 이름과 비밀번호가 사용됩니다.
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

이러한 구현은 콜백 핸들러 클래스 이름 필드 설명에서 상세하게 설명됩니다.

기본 인증 비밀번호

콜백 핸들러의 생성자에 전달되는 비밀번호를 지정합니다.

이 제품에서 제공된 다음 기본 콜백 핸들러 구현 중 하나를 선택하면 키 저장소와 해당 관련 구성이 사용됩니다.
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
키 저장소는 인증 경로로 X.509 인증서를 빌드하는데 사용됩니다.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
키 저장소는 인증 경로로 X.509 인증서를 빌드하는데 사용됩니다.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
키 저장소는 X.509 인증서를 검색하는데 사용됩니다.

키 저장소

이 구성에 키 저장소가 필요하지 않은 경우 없음을 선택하십시오.

키 저장소 구성 이름으로 사전정의된 키 저장소를 선택하려면 사전정의된 키 저장소를 선택하십시오.

사용자 정의 키 저장소를 사용하려면 사용자 정의 키 저장소를 선택하십시오.

다음 정보를 지정해야 합니다.

키 저장소 구성 이름

보안 통신에서 키 저장소 설정에 정의된 키 저장소 구성의 이름을 지정합니다.

키 저장소 비밀번호

키 저장소 파일에 액세스하는데 사용되는 비밀번호를 지정합니다.

키 저장소 경로

키 저장소 파일의 위치를 지정합니다.

이 변수가 사용자의 머신의 제품 경로까지 확장되기 때문에 경로 이름에 ${USER_INSTALL_ROOT}를 사용합니다. 이 변수에서 사용된 경로를 변경하려면, 환경 > WebSphere 변수를 클릭하고 USER_INSTALL_ROOT를 클릭하십시오.

키 저장소 유형

키 저장소 파일 형식의 유형을 지정합니다.

이 필드에 다음 값 중 하나를 선택하십시오.
JKS
키 저장소가 JKS(Java Keystore) 형식을 사용하는 경우 이 옵션을 사용합니다.
JCEKS
Java Cryptography Extension이 SDK(Software Development Kit)에 구성된 경우 이 옵션을 사용합니다. 기본 IBM JCE는 애플리케이션 서버에서 구성됩니다. 이 옵션은 Triple DES 암호화를 사용하여 저장된 개인 키에 대해 더 강력한 보호를 제공합니다.
[z/OS]JCERACFKS
[z/OS]인증서가 SAF 키 링에 저장된 경우 JCERACFKS를 사용합니다(z/OS® 전용).
PKCS11KS (PKCS11)
사용자의 키 저장소 파일이 PKCS#11 파일 형식을 사용하면 이 옵션을 사용하십시오. 이 형식을 사용하는 키 저장소 파일은 비밀번호 하드웨어에 RSA(Rivest Shamir Adleman) 키를 포함하거나 비밀번호 하드웨어를 사용하는 키를 암호화하여 보호합니다.
PKCS12KS (PKCS12)
사용자의 키 저장소 파일이 PKCS#12 파일 형식을 사용하면 이 옵션을 사용하십시오.

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_callback
파일 이름:uwbs_callback.html