Utilize este tópico para ativar o conjunto de política do token Kerberos para aplicativos
JAX-WS.
Antes de Iniciar
Antes de começar esta tarefa, é necessário especificar as informações de configuração
do Kerberos para o IBM® WebSphere Application
Server. Para obter informações adicionais, consulte o suporte do mecanismo de autenticação Kerberos (KRB5)
para segurança.
O modelo de configuração para o token Kerberos
possibilita a escolha dentre as estruturas existentes de WebSphere Application Servers a seguir:
- Para aplicativos JAX-RPC, o descritor de implementação e as ligações são utilizados
na configuração. O aplicativo JAX-RPC inclui o descritor de implementação
para um token customizado Kerberos, configurado com tokens de autenticação.
- Para aplicativos JAX-WS, a configuração utiliza um conjunto de política e ligações. O aplicativo JAX-WS é anexado por uma política customizada com o token Kerberos
configurado com tokens de autenticação, tokens de proteção de mensagens, ou ambos.
Nota: Fix packs que incluem atualizações para o Software Development
Kit (SDK) podem substituir arquivos de política irrestritos. Faça backup dos arquivos de política irrestritos antes de aplicar um fix pack e reaplique esses arquivos depois que o fix pack for aplicado.
Sobre Esta Tarefa
Conclua as etapas a seguir para configurar o conjunto de política de token
Kerberos para aplicativos JAX-WS utilizando o console administrativo do WebSphere Application
Server. Nessas etapas, o painel Configuração da Política Principal faz referência ao
painel do console administrativo disponível após a conclusão das primeiras
cinco etapas.
Procedimento
- Expanda e clique em para criar
um novo conjunto de política.
- Especifique um nome e uma descrição resumida do novo conjunto de política e
clique em Aplicar.
- No título Políticas, clique em Incluir e,
em seguida, selecione o tipo de política de segurança WS-Security.
- Clique em OK e em Salvar para
salvar a nova configuração diretamente na configuração principal.
- No campo Políticas, clique em WS-Security, e
clique em Política principal no painel WS-Security para configurar
a política principal do conjunto de política do token Kerberos.
- No título Simetria da Chave, selecione Utilizar tokens
simétricos para proteção de mensagens.
- Clique em Políticas de assinatura e criptografia simétricas para
configurar o tipo de token customizado Kerberos ou limpe a caixa de opção Proteção no nível
de mensagem se estiver configurando apenas um token de
autenticação.
Importante: Não será necessário configurar
a política de token do pedido se você estiver utilizando o token Kerberos para proteção de mensagens. Se estiver configurando apenas o token de autenticação, continue com a próxima
etapa. Se não estiver configurando a política de token do pedido para o token de
autenticação, ignore a próxima etapa.
- No painel de configuração Política Principal, configure a política para
o token de pedido se estiver configurando o token de autenticação.
- No título Detalhes da Política, clique em Solicitar Políticas
do Token.
- Clique em Incluir tipo de token e selecione Customizado.
- Especifique o nome do token customizado no campo Nome do
token customizado.
- Especifique o valor de parte local no campo Parte Local. Para interoperabilidade com outras tecnologias de serviços da Web, especifique a seguinte parte local: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ.
Se você não estiver preocupado com os problemas de interoperabilidade, poderá especificar um dos seguintes valores de nomes locais:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Esses valores alternativos dependem do nível de especificação do
token Kerberos AP-REQ gerado pelo KDC (Key Distribution Center). Para obter informações adicionais sobre quando utilizar esses valores, consulte Configurações do Tipo de Token.
- Não especifique um valor para o campo URI do Espaço de Nomes
se estiver gerando um token Kerberos.
- Clique em OK e em Salvar para
salvar a configuração diretamente na configuração principal.
Esta etapa conclui o processo de configuração da política de
token do pedido para o token de autenticação. Não é necessário
concluir as duas etapas seguintes. Conclua as próximas etapas para configurar as políticas
de criptografia e de assinatura simétrica.
- Retorne ao painel de configuração de política principal do conjunto de política
do aplicativo e clique em Políticas de Criptografia e Assinatura Simétrica para
configurar as políticas de criptografia e assinatura simétrica.
- No título Integridade da Mensagem, clique na lista de menus Ação do campo Tipo de token para assinar e validar mensagens e selecione Customizado.
- No título Sigilo de Mensagem, selecione a opção Utilizar o
mesmo token para sigilo que o utilizado para integridade.
- Clique em OK e em Salvar para
salvar as alterações na configuração.
- No título Integridade da Mensagem, clique na lista de menus Ação do campo Tipo de token para assinar e validar mensagens e selecione Editar Política de Tipo Selecionada.
- Edite o tipo de token customizado para a assinatura e criptografia,
especificando a parte local do token customizado Kerberos.
Por
exemplo, especifique http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para
o valor da parte local. Não especifique um valor URI do Espaço de Nomes.
- Clique em OK e, em seguida, no link Salvar para salvar
as alterações na configuração.
- Retorne ao painel de configuração da política principal do conjunto de política
do aplicativo e clique em Algoritmos para Tokens Simétricos para
configurar o algoritmo de token simétrico.
- Selecione o conjunto de algoritmos a ser utilizado para os tokens simétricos
na lista de menus Conjuntos de Algoritmos. Selecione os
algoritmos AES (Advanced Encryption Standard) para um token Kerberos que seja
compatível com RFC-4120.
Os algoritmos de agrupamento de chaves simétricas, ou de criptografia
de chave privada incluem:
- Agrupamento de chaves Triple DES: http://www.w3.org/2001/04/xmlenc#kw-tripledes
- Agrupamento de chaves AES (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
- Agrupamento de chaves AES (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256
Restrição: Para utilizar o algoritmo de criptografia AES de 256 bits,
é necessário aplicar os arquivos de políticas de jurisdição ilimitados. Para permanecer em conformidade,
consulte as dicas de conformidade do Perfil de Segurança Básico.
Antes de fazer download desses arquivos de política, monte o produto
HFS como leitura/gravação. Faça backup dos arquivos de política existentes antes de sobrescrevê-los,
caso desejar restaurar os arquivos originais mais tarde. Os arquivos de política
existentes, que são os arquivos local_policy.jar e US_export_policy.jar, estão localizados no diretório WAS_HOME/java/jre/lib/security/.
Antes de fazer download desses arquivos de política, monte o produto
HFS como leitura/gravação. Faça backup dos arquivos de política existentes antes de sobrescrevê-los,
caso desejar restaurar os arquivos originais mais tarde. Os arquivos de política
existentes, que são os arquivos local_policy.jar e US_export_policy.jar, estão localizados no diretório WAS_HOME/java/lib/security/.
Importante: O país de origem pode
restringir a importação, posse, uso ou a reexportação para outro país de
software de criptografia. Antes de fazer o download ou de usar os
arquivos de políticas não-restritas, você deverá consultar as leis do seu
país, as regulamentações e as políticas referentes à importação, posse,
uso e reexportação do software criptografado para determinar se ele é permitido.
Para plataformas do servidor de aplicativos que utilizam o IBM Developer Kit, o Java™ Technology
Edition Versão 5, é possível obter arquivos de políticas de jurisdição ilimitados concluindo as seguintes etapas:
- Visite o Web site doIBM developerWorks: Informações de Segurança.
- Clique em Java 5.
- Clique em Arquivos da Política SDK IBM.
O Web site dos Arquivos de políticas JCE não restritos para SDK 5 é exibido.
- Insira seu ID do usuário e senha ou registre-se com a IBM para fazer download dos arquivos de política. Os arquivos
de políticas são transferidos por download para sua estação de trabalho.
- Remonte seu produto HFS como somente leitura.
Para obter informações adicionais sobre os componentes do conjunto de algoritmos,
consulte Configurações de Algoritmos.
- Selecione o valor de Canonicalização exclusiva ou Canonicalização inclusiva para a lista de menu Algoritmo de canonicalização. Para obter informações adicionais, consulte Assinatura Digital XML.
- Especifique a versão XPath 1.0 ou XPathfilter
2.0 a ser utilizada na lista de menus Versão de XPath.
O que Fazer Depois
Configure as ligações para proteção de mensagens para Kerberos para
aplicativos JAX-WS. Para obter informações adicionais, consulte Configurando as Ligações para Proteção de Mensagem para Kerberos.