Propriedades de Ligação e Política do WSSecurity

Utilize o parâmetro attributes dos comandos setPolicyType e setBinding para especificar informações de configuração adicionais para as configurações de ligação e política do WSSecurity. Os conjuntos de políticas de aplicativo e de sistema podem usar a configuração de ligação e de política do WSSecurity.

Antes de utilizar os comandos neste tópico, verifique se você está utilizando a versão mais recente da ferramenta wsadmin. Os comandos de gerenciamento de conjunto de política que aceitam um objeto propriedades como valor para os parâmetros attributes ou bindingLocation não são suportados nas versões anteriores da ferramenta wsadmin. Por exemplo, os comandos não são executados em um nó da Versão 6.1.0.x.

Utilize os seguintes comandos e parâmetros no grupo PolicySetManagement do objeto AdminTask para customizar sua configuração de conjunto de política.
  • Use o parâmetro -attributes para os comandos getPolicyType e getBinding para visualizar as propriedades para a configuração de política e ligação. Para obter um atributo, transmita o nome da propriedade para o comando getPolicyType ou getBinding.
  • Use o parâmetro -attributes para os comandos setPolicyType e setBinding para incluir, atualizar ou remover propriedades das configurações de política e ligação. Para incluir ou atualizar um atributo, especifique o nome da propriedade e o valor. Os comandos setPolicyType e setBinding atualizarão o valor se o atributo existir, ou incluirão o atributo e o valor se o atributo não existir. Para remover um atributo, especifique o valor como uma cadeia vazia (""). O parâmetro -attributes aceita um objeto de propriedades.
Nota: Se um nome ou valor de propriedade fornecido com o parâmetro-attributes não for válido, os comandos setPolicyType e setBinding falharão com uma exceção. A propriedade inválida é registrada como erro ou aviso no arquivo SystemOut.log. Entretanto, a exceção de comando poderá não conter as informações detalhadas da propriedade que causou a exceção. Quando os comandos setPolicyType e setBinding falharem, examine o arquivo SystemOut.log em busca de alguma mensagem de erro e aviso que indique se a entrada para o parâmetro -attributes contém uma ou diversas propriedades que não são válidas.
Nota: Esse tópico faz referência a um ou mais arquivos de log do servidor de aplicativos. Como uma recomendação alternativa, é possível configurar o servidor para usar a infraestrutura de log e rastreio do High Performance Extensible Logging (HPEL) em vez de usar os arquivos SystemOut.log , SystemErr.log, trace.log e activity.log em sistemas distribuídos e IBM® i. Também é possível usar HPEL em conjunção com os recursos de criação de log z/OS nativos. Se você estiver usando HPEL, será possível acessar todas as informações de log e rastreio usando a ferramenta de linha de comandos LogViewer a partir do diretório bin do perfil do servidor. Consulte as informações sobre a utilização do HPEL para resolução de problemas dos aplicativos para obter mais informações sobre o uso do HPEL.
Para Usuários de Transição Para Usuários de Transição: No WebSphere Application Server Versão 7.0 e posterior, o modelo de segurança foi aprimorado para um modelo de segurança centralizado no domínio em vez de um modelo de segurança baseado em servidor. A configuração das ligações do nível de segurança global padrão (célula) e do nível de servidor padrão também foi alterada nesta versão do produto. No WebSphere Application Server Versão 6.1 Feature Pack para Web Services, é possível configurar um conjunto de ligações padrão para a célula e configurar opcionalmente um conjunto de ligações padrão para cada servidor. Na Versão 7.0 e posterior, é possível configurar uma ou mais ligações gerais do provedor de serviços e uma ou mais ligações gerais do cliente de serviço. Depois de ter configurado as ligações gerais, será possível especificar quais dessas ligações é a ligação padrão global. Também é possível especificar opcionalmente a ligação geral que é utilizada como padrão para um servidor de aplicativos ou um domínio de segurança. trns

Para suportar um ambiente de célula mista, o WebSphere Application Server suporta ligações de Versão 7.0 e Versão 6.1. As ligações gerais no nível da célula são específicas à Versão 7.0 e posterior e as ligações específicas do aplicativo permanecem na versão que aplicativo requer. Quando o usuário cria uma ligação específica do aplicativo, o servidor de aplicativos determina a versão de ligação exigida para uso do aplicativo.

Se o parâmetro attributes não for especificado para o comando getPolicyType ou getBinding, o comando retornará todas as propriedades. Se um nome parcial de propriedade for transmitido para o comando getPolicyType ou getBinding, o comando retornará todas as propriedades com nomes que começam com o nome parcial da propriedade. Por exemplo, se SignatureProtection for transmitido para o comando getPolicyType, o comando retornará todas as propriedades com nomes que começam com "SignatureProtection", o que pode incluir:
SignatureProtection.response:
   int_body.SignedParts.Body,SignatureProtection.response:int_body.SignedParts.Header_0.Name
e a
SignatureProtection.response:int_body.SignedParts.Header_0.Namespace
Há um número extensivo de combinações de configurações que estão disponíveis para proteger seus aplicativos de serviço da Web. Em virtude do número de atributos e opções de configuração da especificação do WS-Security Versão 1.0, nem todos os atributos são definidos neste tópico. As seções a seguir explicam a estrutura hierárquica dos atributos de ligação e política do WSSecurity:

Propriedades de Política do WSSecurity

Utilize o comando getPolicyType para revisar um objeto properties com as propriedades que estão configuradas no arquivo de políticas atual do WSSecurity. Os esquemas de política de segurança definem as asserções de segurança. Como os elementos no esquema possuem relacionamento hierárquico, os nomes de propriedade para política de segurança também têm a hierarquia similar. O relacionamento hierárquico entre os nomes das propriedades na política de segurança é representado por um ponto (.) entre dois níveis, concatenando os atributos pai e filho. Os exemplos da propriedades incluem, mas não estão limitados a, IncludeToken, Name, Namespace, XPath, XPathVersion. A lista a seguir descreve os nomes de propriedade da política de asserção de nível superior para o arquivo de políticas do WSSecurity:
AsymmetricBinding
Você não pode especificar uma asserção de ligação ou pode especificar apenas uma.
SymmetricBinding
Você não pode especificar uma asserção de ligação ou pode especificar apenas uma. AsymmetricBinding e SymmetricBinding não podem coexistir em um arquivo de políticas de segurança.
Wss11
Você não pode especificar uma asserção Wss11 ou pode especificar apenas uma.
Wss10
Você não pode especificar uma asserção Wss10 ou pode especificar apenas uma.
Trust10
Você não pode especificar uma asserção Trust10 ou pode especificar apenas uma.
SignatureProtection
Você não pode especificar nenhuma asserção de proteção de assinatura ou pode especificar qualquer número de asserções de proteção de assinatura.
EncryptionProtection
Você não pode especificar nenhuma asserção de proteção de criptografia ou pode especificar qualquer número de asserções de proteção de criptografia.
SupportingTokens
Você não pode especificar nenhuma asserção de token de suporte ou pode especificar qualquer número de asserções de token de suporte.
O exemplo a seguir de arquivo de políticas exibe uma asserção AsymmetricBinding:
    <sp:AsymmetricBinding>
      <wsp:Policy>
        <sp:InitiatorSignatureToken>
          <wsp:Policy>
            <sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy
						/200512/IncludeToken/AlwaysToRecipient">
              <wsp:Policy>
                <sp:WssX509V3Token10 />
              </wsp:Policy>
            </sp:X509Token>
          </wsp:Policy>
        </sp:InitiatorSignatureToken>
        <sp:RecipientSignatureToken>
          <wsp:Policy>
            <sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy
						/200512/IncludeToken/AlwaysToInitiator">
              <wsp:Policy>
                <sp:WssX509V3Token10 />
              </wsp:Policy>
            </sp:X509Token>
          </wsp:Policy>
        </sp:RecipientSignatureToken>
        <sp:AlgorithmSuite>
          <wsp:Policy>
            <sp:Basic256/>
          </wsp:Policy>
        </sp:AlgorithmSuite>
        <sp:Layout>
          <wsp:Policy>
            <sp:Strict/>
          </wsp:Policy>
        </sp:Layout>
      </wsp:Policy>
    </sp:AsymmetricBinding><sp:AsymmetricBinding>
      <wsp:Policy>
        <sp:InitiatorSignatureToken>
          <wsp:Policy>
            <sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy
						/200512/IncludeToken/AlwaysToRecipient">
              <wsp:Policy>
                <sp:WssX509V3Token10 />
              </wsp:Policy>
            </sp:X509Token>
          </wsp:Policy>
        </sp:InitiatorSignatureToken>
        <sp:RecipientSignatureToken>
          <wsp:Policy>
            <sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy
						/200512/IncludeToken/AlwaysToInitiator">
              <wsp:Policy>
                <sp:WssX509V3Token10 />
              </wsp:Policy>
            </sp:X509Token>
          </wsp:Policy>
        </sp:RecipientSignatureToken>
      </wsp:Policy>
      <sp:AlgorithmSuite>
        <wsp:Policy>
          <sp:Basic256/>
        </wsp:Policy>
      </sp:AlgorithmSuite>
      <sp:Layout>
        <wsp:Policy>
          <sp:Strict/>
        </wsp:Policy>
      </sp:Layout>
    </sp:AsymmetricBinding>
A asserção AsymmetricBinding retorna os pares de valor e nome de propriedade a seguir. As camadas wsp:Policy aninhadas não são exibidas nas propriedades retornadas. Além disso, algumas propriedades retornam o valor true que indica que a configuração de WSSecurity incluir os elementos XML relacionados. Para editar essas propriedades, configure o valor como true para incluir a propriedade ou como uma cadeia vazia, "", para remover a propriedade.
AsymmetricBinding.Layout = Strict
AsymmetricBinding.AlgorithmSuite.Basic256 = true
AsymmetricBinding.RecipientSignatureToken.X509Token_0.IncludeToken = http://docs.oasis-open.org
/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToInitiator
AsymmetricBinding.InitiatorSignatureToken.X509Token_0.WssX509V3Token10 = true
AsymmetricBinding.InitiatorSignatureToken.X509Token_0.IncludeToken = http://docs.oasis-open.org
/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient
AsymmetricBinding.RecipientSignatureToken.X509Token_0.WssX509V3Token10 = true
Além disso, o exemplo a seguir de arquivo de políticas exibe uma asserção SupportingTokens:
<sp:SupportingTokens>
        <wsp:Policy wsu:Id="request:custom_auth">
            <spe:CustomToken sp:IncludeToken="http://docs.oasis-open.org/ws-sx/
							ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient">
                <wsp:Policy>
                    <spe:WssCustomToken uri=http://bar.com/MyCustomToken localname="tokenv1">
                    </spe:WssCustomToken>
                </wsp:Policy>
            </spe:CustomToken>
        </wsp:Policy>
    </sp:SupportingTokens
A asserção SupportingTokens retorna os pares de valor e nome de propriedade a seguir. As camadas wsp:Policy aninhadas não são exibidas na propriedade retornada.
SupportingTokens.request:custom_auth.CustomToken_0.WssCustomToken.uri=http://bar.com
/MyCustomToken
SupportingTokens.request:custom_auth.CustomToken_0.IncludeToken=http://docs.oasis-open.org
/ws-sx/ws-securitypolicy/200512/IncludeToken/AlwaysToRecipient
SupportingTokens.request:custom_auth.CustomToken_0.WssCustomToken.localname=tokenv1
Nota: A propriedade CustomToken contém uma notação zero de subscript ( _0 ), pois a propriedade pode ser exibida várias vezes a partir do mesmo tipo de token, como o RecipientSignatureToken ou o InitiatorSignatureToken.
Embora a maioria dos nomes da propriedade siga o formato de relacionamento hierárquico descrito anteriormente, as seguintes exceções existem:
  • O elemento wsu:Id
    Esse elemento utiliza o valor real para o ID, em vez de utilizar Id como o nome do atributo. A seguinte propriedade de exemplo de arquivo de políticas:
    <wsp:Policy wsu:Id="response:int_body">
      <sp:SignedParts>
        <sp:Body/>
      </sp:SignedParts>
    </wsp:Policy>
    O exemplo wsu:Id anterior retorna as seguintes propriedades:
    SignatureProtection.response:int_body.SignedParts.Body = true
  • O elemento Header
    Como pode haver vários elementos Header, a notação Header_n é utilizada para representar essa propriedade. Consulte o seguinte exemplo de arquivo de políticas:
     <wsp:Policy wsu:Id="request:conf_body">
         <sp:EncryptedParts>
           <sp:Body/>
           <sp:Header Name="MyElement" Namespace="http://foo.com/MyNamespace" />
         </sp:EncryptedParts>
       </wsp:Policy>
    O exemplo Header anterior retorna as seguintes propriedades:
    EncryptionProtection.request:conf_body.EncryptedParts.Header_0.Name=MyElement
    EncryptionProtection.request:conf_body.EncryptedParts.Header_0.Namespace=http://
    foo.com/MyNamespace
  • O elemento XPath
    The XPath_n notation is used to represent this property because there can be multiple XPath elements. Consulte o seguinte exemplo de arquivo de políticas:
    <wsp:Policy wsu:Id="request:int_body">
          <sp:SignedElements>
            <sp:XPath>SomeXPathExpression</sp:XPath>
            <sp:XPath>SomeOtherXPathExpression</sp:XPath>
          </sp:EncryptedElements>
        </wsp:Policy>
    O exemplo XPath anterior retorna as seguintes propriedades:
    SignatureProtection.request:int_body.SignedElements.XPath_0=SomeXPathExpression
    SignatureProtection.request:int_body.SignedElements.XPath_1=SomeOtherXPathExpression
  • O elemento X509Token

    Utilize a notação X509Token_n para representar essa propriedade porque vários elementos X509Token podem existir. Para obter um exemplo, consulte a asserção AsymmetricBinding.

  • O elemento CustomToken

    Utilize a notação CustomToken_n para representar essa propriedade porque vários elementos CustomToken podem existir. Para obter um exemplo, consulte a asserção SupportingTokens.

Propriedades de Ligação do WSSecurity

Utilize o comando getBinding para revisar um objeto properties com as propriedades que estão configuradas na configuração de ligação atual do WSSecurity. É possível também utilizar o console administrativo para configurar as ligações do WSSecurity. Utilize os tópicos do centro de informações para configurar as ligações do WSSecurity com o console administrativo para obter mais informações.

As propriedades definidas nesta seção refletem a hierarquia do esquema de ligação. Cada parte do nome da propriedade é uma versão em letra minúscula do tipo de esquema. Por exemplo, a propriedade application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname segue o formato hierárquico. Os atributos começam com application ou bootstrap. Os atributos que começam com application representam ligações que estão associadas à política principal do WS-Security. Os atributos que começam com bootstrap representam ligações que estão associadas à política de auto-inicialização do WS-Security, em que a política do WS-Security utiliza Conversação Segura.

Alguns nomes da propriedade podem ter uma notação _n anexada a eles. Esta notação representa uma lista de itens. Por exemplo, diversas propriedades tokenconsumer existem e são listadas a partir de tokenconsumer_0 até tokenconsumer_n, em que o conjunto de valores tokenconsumer são:
application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.
certpathsettings.certstoreref.reference
application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.
certpathsettings.trustanchorref.reference
application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.classname
application.securityinboundbindingconfig.tokenconsumer_0.classname
application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname
application.securityinboundbindingconfig.tokenconsumer_0.name
application.securityinboundbindingconfig.tokenconsumer_0.valuetype.localname
application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri

Além disso, algumas propriedades no arquivo de ligação de segurança retornam um valor true quando consultadas. Para configurar essas propriedades, configure o valor como true para incluir a propriedade ou como o valor para uma cadeia vazia ("") para remover a propriedade. Por exemplo, as propriedades time stamp, nonce e trustAnyCertificate seguem este padrão.

Utilize o comando setBinding e o parâmetro attributes para incluir ou remover propriedades para a configuração de ligação do WSSecurity.
  • Para incluir uma propriedade, utilize o comando setBinding para transmitir o nome da propriedade com um valor de cadeia de comprimento diferente de zero. Para incluir um item da lista, utilize a notação _n para refletir um valor numérico que seja maior que qualquer valor numérico atual para a propriedade. Por exemplo, se as propriedades tokenconsumer_0 e tokenconsumer_1 existirem em sua configuração, especifique a nova propriedade tokenconsumer como tokenconsumer_2. Depois de incluir uma propriedade, utilize o comando getBinding para visualizar a lista mais recente de propriedades configuradas.
  • Para remover uma propriedade, utilize o comando setBinding para transmitir o nome da propriedade com uma cadeia vazia (""). Por exemplo, para remover todas as propriedades tokenconsumer_0, especifique a seguinte propriedade com o parâmetro attributes:
    application.securityinboundbindingconfig.tokenconsumer_0=""
    O exemplo anterior remove todas as propriedades que começam com o nome da propriedade application.securityinboundbindingconfig.tokenconsumer_0.

Os exemplos a seguir exibem vários conjuntos de propriedades a serem configurados para a ligação. Esta lista não inclui todas as propriedades a serem configuradas para a ligação do WSSecurity. Utilize estas informações como uma referência para determinar como formatar nomes de propriedade específicos.

Elemento signinginfo
Utilize essa propriedade para configurar informações sobre assinatura. Para uma ligação customizada, pode existir um número ilimitado de elementos signinginfo especificado para as asserções securityoutboundbindingconfig e securityinboundbindingconfig. Nas ligações padrão, o sistema permite um máximo de dois elementos signinginfo para as asserções securityoutboundbindingconfig e securityinboundbindingconfig. O exemplo a seguir exibe o formato para dois elementos signinginfo:
application.securityinboundbindingconfig.signinginfo_0.signingkeyinfo_0
.reference=con_signkeyinfo
application.securityinboundbindingconfig.signinginfo_0.signingpartreference_0
.reference=request:int_body
application.securityoutboundbindingconfig.signinginfo_0.signingpartreference_0
.reference=response:int_body
application.securityoutboundbindingconfig.signinginfo_0.signingpartreference_0.timestamp=true
Elemento encryptioninfo
Utilize essa propriedade para configurar informações sobre criptografia. Para uma ligação customizada, pode existir um número ilimitado de elementos encryptioninfo especificado para as asserções securityoutboundbindingconfig e securityinboundbindingconfig. Nas ligações padrão, o sistema aceita um máximo de dois elementos encryptioninfo para as asserções securityoutboundbindingconfig e securityinboundbindingconfig. O exemplo a seguir exibe o formato para duas propriedades encryptioninfo:
application.securityinboundbindingconfig.encryptioninfo_0.encryptionpartreference
.nonce=true
application.securityinboundbindingconfig.encryptioninfo_0.encryptionpartreference
.reference=request:conf_body
application.securityoutboundbindingconfig.encryptioninfo_0.encryptionpartreference
.nonce=true
application.securityoutboundbindingconfig.encryptioninfo_0.encryptionpartreference
.timestamp=true
Elemento tokengenerator
Nas ligações padrão, os elementos tokengenerator a que os elementos signinginfo ou encryptioninfo não fazem referência são considerados para serem geradores de token de autenticação. Cada gerador de token de autenticação deve ter um elemento valuetype exclusivo. O exemplo a seguir exibe um exemplo de um gerador para um token de proteção X.509:
application.securityoutboundbindingconfig.tokengenerator_0.name=gen_signtgen
application.securityoutboundbindingconfig.tokengenerator_0.classname=com.ibm.ws.wssecurity.wssapi.token
.impl.CommonTokenGenerator
application.securityoutboundbindingconfig.tokengenerator_0.valuetype.uri=
application.securityoutboundbindingconfig.tokengenerator_0.valuetype.localname=http://docs.oasis-open.org
/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.classname=com.ibm.websphere.wssecurity
.callbackhandler.X509GenerateCallbackHandler
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.key.alias=soaprequester
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.key.keypass={xor}PDM2OjEr
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.key.name=CN=SOAPRequester, 
OU=TRL, O=IBM, ST=Kanagawa, C=JP
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.keystore.path=${USER_INSTALL_ROOT}
/etc/ws-security/samples/dsig-sender.ks
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.keystore.storepass={xor}PDM2OjEr
application.securityoutboundbindingconfig.tokengenerator_0.callbackhandler.keystore.type=JKS
application.securityoutboundbindingconfig.tokengenerator_0.jaasconfig.configname=system.wss.generate.x509
O exemplo a seguir exibe um gerador para um token de autenticação de nome do usuário:
application.securityoutboundbindingconfig.tokengenerator_1.name=gen_usernametoken
application.securityoutboundbindingconfig.tokengenerator_1.classname=com.ibm.ws.wssecurity
.wssapi.token.impl.CommonTokenGenerator
application.securityoutboundbindingconfig.tokengenerator_1.valuetype.uri=
application.securityoutboundbindingconfig.tokengenerator_1.valuetype.localname=http://docs
.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
application.securityoutboundbindingconfig.tokengenerator_1.callbackhandler.classname=com.ibm
.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
application.securityoutboundbindingconfig.tokengenerator_1.callbackhandler.basicAuth.userid=user1
application.securityoutboundbindingconfig.tokengenerator_1.callbackhandler.basicAuth.password=myPassword
application.securityoutboundbindingconfig.tokengenerator_1.securityTokenReference.reference=request:uname_token
application.securityoutboundbindingconfig.tokengenerator_1.jaasconfig.configname=system.wss.generate.unt
Elemento tokenconsumer
Nas ligações padrão, os elementos tokenconsumer a que os elementos signinginfo ou encryptioninfo não fazem referência são consumidores de token de autenticação. Cada consumidor de token de autenticação deve ter um elemento valuetype exclusivo. O exemplo a seguir exibe o formato para um conjunto de elementos tokenconsumer:
application.securityinboundbindingconfig.tokenconsumer_0.name=con_unametoken
application.securityinboundbindingconfig.tokenconsumer_0.classname=com.ibm.ws.wssecurity.wssapi
.token.impl.CommonTokenConsumer
application.securityinboundbindingconfig.tokenconsumer_0.valuetype.localname=http://docs.oasis-open.org
/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
application.securityinboundbindingconfig.tokenconsumer_0.valuetype.uri=
application.securityinboundbindingconfig.tokenconsumer_0.callbackhandler.classname=com.ibm.websphere
.wssecurity.callbackhandler.UNTConsumeCallbackHandler
application.securityinboundbindingconfig.tokenconsumer_0.jaasconfig.configname=system.wss.consume.unt
application.securityinboundbindingconfig.tokenconsumer_0.securitytokenreference.reference=request:uname_token
Elemento actor
Define o URI (Identificador Uniforme de Recursos) do ator a ser incluído nos cabeçalhos do WSSecurity de uma mensagem gerada, conforme exibido pelo seguinte exemplo:
application.securityinboundbindingconfig.actor=http://myActor.com
application.securityoutboundbindingconfig.actor=http://myActor.com
Elemento certstorelist
Define configurações de armazenamento de certificados e informações sobre assinatura, conforme exibido pelo seguinte exemplo:
application.securityinboundbindingconfig.certstorelist.collectioncertstores_0
.name=DigSigCertStore
application.securityinboundbindingconfig.certstorelist.collectioncertstores_0
.provider=IBMCertPath
application.securityinboundbindingconfig.certstorelist.collectioncertstores_0
.x509certificates_0.path=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
Elemento keyinfo
Define informações chave para configurações de assinatura e criptografia, conforme exibido pelo seguinte exemplo:
application.securityinboundbindingconfig.keyinfo_0.classname=com.ibm.ws.wssecurity.wssapi
.CommonContentConsumer
application.securityinboundbindingconfig.keyinfo_0.name=con_signkeyinfo
application.securityinboundbindingconfig.keyinfo_0.tokenreference.reference=con_tcon
application.securityinboundbindingconfig.keyinfo_0.type=STRREF
Propriedade trustanchor
Define as informações de configuração que são utilizadas para validar a confiança do certificado do signatário, conforme exibido pelo exemplo a seguir:
application.securityinboundbindingconfig.trustanchor_0.keystore.path=${USER_INSTALL_ROOT}
/etc/ws-security/samples/dsig-receiver.ks
application.securityinboundbindingconfig.trustanchor_0.keystore.storepass={xor}LDotKTot
application.securityinboundbindingconfig.trustanchor_0.keystore.type=JKS
application.securityinboundbindingconfig.trustanchor_0.name=DigSigTrustAnchor
Elemento timestampexpires
Define uma data de expiração para a configuração, conforme exibido pelo seguinte exemplo:
application.securityoutboundbindingconfig.timestampexpires.expires=5
application.securityinboundbindingconfig.caller_X.order
Especifica a ordem para um responsável pela chamada ao utilizar scripts wsadmin, em que X é a cadeia exclusiva que identifica a instância do responsável pela chamada:
-attributes [[application.securityinboundbindingconfig.caller_0.order 2]]

Exemplos de Comando setPolicyType e setBinding

Utilize as informações de referência anteriores com os comandos setPolicyType e setBinding para modificar os dados de configuração de ligação e de política.

Evitar Problemas Evitar Problemas: A assistência do comando do console administrativo fornece a sintaxe de Jython incorreta para o comando setPolicyType. A expressão de XPath para a proteção da parte de mensagem de resposta do conjunto de política Username WSSecurity contém aspas simples (') dentro de cada valor da propriedade XPath, que o Jython não suporta. Para corrigir o comando com base na assistência de comando do console administrativo, inclua um caractere de barra invertida (\) antes de cada aspa simples para sair da aspa simples.gotcha
O exemplo a seguir utiliza o comando setBinding para configurar as ativadas e fornece propriedades para o conjunto de política customizado myCustomSecurityPS, que contém uma política ReliableMessaging:
AdminTask.setBinding('[-bindingLocation "" -bindingName cellWideBinding2 -policyType
 WSSecurity
 -attributes [[application.securityinboundbindingconfig.caller_0.order 2][inResponsewithSSL:configAlias NodeDefaultSSLSettings]
[inResponsewithSSL:config properties_directory/ssl.client.props][outAsyncResponsewithSSL:configFile properties_directory/ssl.client.props]
[outAsyncResponsewithSSL:configAlias NodeDefaultSSLSetings]
[outRequestwithSSL:configFile properties_directory/ssl.client.props]
[outRequestwithSSL:configAlias NodeDefaultSSLSettings]]]')
O comando setPolicyType a seguir ativa a política WSSecurity e cria uma asserção de proteção de assinatura:
AdminTask.setPolicyType('-policySet myPolicySet -policyType WSSecurity -attributes 
"[[enabled true][provides 
Some_amount_of_security][SignatureProtection.request:app_signparts.SignedElements.XPath_0 
SignatureProtectionV2]]"')
O comando setBinding a seguir especifica informações chave para uma ligação de servidor específico:
AdminTask.setBinding('-policyType WSSecurity -bindingLocation "[[server server1][node 
node01]]" 
-attributes "[[application.securityinboundbindingconfig.keyinfo_0.name dec_server_keyinfo]
[application.securityinboundbindingconfig.keyinfo_0.classname 
com.ibm.ws.wssecurity.wssapi.CommonContentGenerator]
[application.securityinboundbindingconfig.keyinfo_0.type STRREF]]"')
O comando setBinding a seguir especifica informações chave para uma ligação de conexão específica:
AdminTask.setBinding('-policyType WSSecurity -bindingLocation "[[application PolicySet]
[attachmentId 999]]" 
-attributes "[[application.securityinboundbindingconfig.keyinfo_0.name dec_app_keyinfo]
[application.securityinboundbindingconfig.keyinfo_0.classname 
com.ibm.ws.wssecurity.wssapi.CommonContentGenerator]
[application.securityinboundbindingconfig.keyinfo_0.type STRREF]]" -attachmentType application 
 -bindingName myBindingName')
O comando setBinding a seguir especifica informações de âncora de confiança para uma ligação em toda a célula:
AdminTask.setBinding('-policyType WSSecurity -bindingLocation "" -attributes 
"[application.securityinboundbindingconfig.trustanchor_0.name DigSigTrustAnchor2]"')

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_wsfpwssecurity
Nome do arquivo: rxml_wsfpwssecurity.html