Configurando o Mapeamento de Identidade de Saída para uma Região de Destino Diferente
Por padrão, quando o WebSphere Application Server faz um pedido de saída de um servidor para outro em uma região de segurança diferente, o pedido é rejeitado. Este tópico detalha alternativas para ativar um servidor para enviar pedidos de saída para um servidor de destino em uma região diferente.
Sobre Esta Tarefa
Procedimento
- Não desempenhe o mapeamento. Em vez disso, permita que as informações de segurança existentes
fluam para um servidor de destino confiável, mesmo se o servidor de destino residir em uma região
diferente. Conclua as seguintes etapas no console administrativo:
- Clique em Segurança > Segurança Global.
- Em Segurança de RMI/IIOP, clique em Autenticação de Saída de CSIv2.
- Especifique as regiões de destino no campo Regiões de Destino Confiáveis. É possível especificar cada região de destino confiável separada por um caractere de barra vertical (|). Por exemplo, especifique server_name.domain:port_number para um servidor LDAP (Lightweight Directory Access Protocol) ou o nome da máquina para o sistema operacional local. Se quiser propagar os atributos de segurança para uma região de destino diferente, você deve especificar essa região de destino no campo Regiões de Destino Confiáveis.
- Use a configuração de login do aplicativo WSLogin do JAAS (Java™ Authentication and Authorization Service)
para criar um Assunto de autenticação básica que contenha
as credenciais da nova região de destino. Essa configuração
permite efetuar login com uma região, um ID do usuário e uma senha, específicos do
registro do usuário da região de destino. É possível fornecer as informações de login
a partir do aplicativo Java EE (Java Platform, Enterprise Edition)
que está fazendo o pedido de saída, ou a partir da configuração de login do sistema
RMI_OUTBOUND.
Essas duas opções de login são descritas nas seguintes informações:
- Use a configuração de login do aplicativo WSLogin a partir do aplicativo Java EE para efetuar login e obter um Assunto que contenha o ID do usuário e a senha da região de destino. O aplicativo pode agrupar a chamada remota com uma chamada WSSubject.doAs. Para obter um exemplo, consulte Example: Using the WSLogin configuration to create a basic authentication subject.
- Utilize a amostra de código em Example: Using the WSLogin configuration to create a basic authentication subject a partir desse ponto de conexão
na configuração de login RMI_OUTBOUND. Todo pedido de saída RMI (Remote
Method Invocation) é transmitido através dessa configuração de login quando
ativada. Execute as etapas a seguir para ativar e efetuar plug-in nessa configuração
de login:
- Clique em Segurança > Segurança Global.
- Em Segurança de RMI/IIOP, clique em Autenticação de Saída de CSIv2.
- Selecione a opção Mapeamento de Saída Personalizado. Se a opção Propagação do Atributo de Segurança estiver selecionada, então o WebSphere Application Server já está usando essa configuração de login e não será necessário ativar o mapeamento de saída customizado.
- Grave um módulo de login personalizado. Para obter mais informações, consulte Desenvolvendo Módulos de Login Customizado para uma Configuração de Login do Sistema para JAAS.
O Example: Sample login configuration for RMI_OUTBOUND mostra um módulo de login customizado que determina se os nomes das regiões correspondem. Neste exemplo, os nomes das regiões não correspondem, portanto, o WSLoginmodule é utilizado para criar um Subject de autenticação básica com base nas regras de mapeamento customizado. As regras de mapeamento personalizado são específicas do ambiente do cliente e devem ser implementadas através de uma região para o utilitário de mapeamento do ID do usuário e da senha.
- Configure a configuração de login RMI_OUTBOUND de forma que seu novo módulo de login
personalizado seja o primeiro da lista.
- Clique em Segurança > Segurança Global.
- Em Java Authentication and Authorization Service, clique em Logins do Sistema > RMI_OUTBOUND
- Em Propriedades Adicionais, clique em Módulos de Login JAAS > Novo para incluir seu módulo de login na configuração RMI_OUTBOUND.
- Retorne ao painel Módulos de Login do JAAS para RMI_OUTBOUND.
- Clique em Configurar Ordem para alterar a ordem de carregamento dos módulos de login, de modo que seu login customizado seja carregado primeiro.
- Inclua as opções use_realm_callback e use_appcontext_callback
no módulo de mapeamento de saída para WSLogin. Para incluir essas opções,
complete as etapas a seguir:
- Clique em Segurança > Segurança Global.
- Em Java Authentication and Authorization Service, clique em Logins de Aplicativo > WSLogin.
- Em Propriedades Adicionais, clique em Módulos de Login do JAAS > com.ibm.ws.security.common.auth.module.WSLoginModuleImpl.
- Em Propriedades Adicionais, clique em Propriedades Customizadas > Nova.
- No painel Propriedades Customizadas, digite use_realm_callback no campo Nome e true no campo Valor.
- Clicar em OK.
- Clique em Novo para digitar a segunda propriedade customizada.
- No painel Propriedades Customizadas, digite use_appcontext_callback no campo Nome e true no campo Valor.
<entries xmi:id="JAASConfigurationEntry_2" alias="WSLogin"> <loginModules xmi:id="JAASLoginModule_2" moduleClassName="com.ibm.ws.security.common.auth.module.proxy.WSLoginModuleProxy" authenticationStrategy="REQUIRED"> <options xmi:id="Property_2" name="delegate" value="com.ibm.ws.security.common.auth.module.WSLoginModuleImpl"/> <options xmi:id="Property_3" name="use_realm_callback" value="true"/> <options xmi:id="Property_4" name="use_appcontext_callback" value="true"/> </loginModules> </entries>
Subtópicos
Example: Using the WSLogin configuration to create a basic authentication subject
This example shows how to use the WSLogin application login configuration from within a Java 2 Platform, Enterprise Edition (J2EE) application to log in and get a Subject that contains the user ID and the password of the target realm.Example: Sample login configuration for RMI_OUTBOUND
This example shows a sample login configuration for RMI_OUTBOUND that determines whether the realm names match between two servers.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_outbdiffrealm
Nome do arquivo: tsec_outbdiffrealm.html