Configurando as Ligações para Proteção de Mensagem para Kerberos

Para configurar ligações para proteção de mensagens com aplicativos JAX-WS, é necessário criar uma ligação customizada. Conclua estas tarefas para configurar as ligações para um token Kerberos conforme definido no OASIS Web Services Security Specification for Kerberos Token Profile Versão 1.1.

Antes de Iniciar

É necessário configurar o Kerberos para IBM WebSphere Application Server. Para obter informações adicionais, consulte o suporte do mecanismo de autenticação Kerberos (KRB5) para segurança. Além disso, é necessário configurar o conjunto de política de token Kerberos para aplicativos JAX-WS. Para obter informações adicionais, consulte Configurando o Conjunto de Política de Token Kerberos para Aplicativos JAX-WS.

Sobre Esta Tarefa

É possível potencializar as estruturas existentes, incluindo o conjunto de política e as ligações para aplicativos JAX-WS.

Você pode configurar um token de proteção simétrica ou um token de autenticação. Ambas as configurações, do token de proteção simétrica e do token de autenticação utilizam dados de configuração semelhantes. No entanto, não será necessário configurar o token de autenticação se pretender utilizar o token de proteção simétrica do Kerberos. Seja qual for o tipo de token utilizado, configure o gerador de token e o consumidor de token conforme indicado na seguinte lista:
  • Token de proteção simétrica
    • Gerador de Token
    • Consumidor de Token
  • Token de Autenticação
    • Gerador de Token
    • Consumidor de Token

Utilize o console administrativo para configurar as ligações específicas de aplicativo para usar um token do Kerberos em proteção de mensagens de serviços da Web.

Procedimento

  1. Expanda Aplicativos > Tipos de Aplicativos.
  2. Clique em WebSphere enterprise applications > application name .
  3. No título Propriedades de Serviços da Web, clique em Conjuntos de políticas e ligações do provedor de serviços para configurar as ligações de serviços ou clique em Conjuntos de políticas e ligações do cliente de serviços para configurar as ligações com o cliente.
  4. Selecione o recurso a ser anexado ao conjunto de política do token Kerberos e selecione Anexar Conjunto de Política > policy set name. Para configurar o conjunto de política do token Kerberos, consulte Configurando o Conjunto de Política de Token Kerberos para Aplicativos JAX-WS.
  5. Clique em Designar ligações e selecione a ligação específica do aplicativo ou selecione Nova Ligação Específica do Aplicativo para criar uma nova ligação. Para criar uma nova ligação, conclua as ações a seguir.
    1. Digite um nome para a nova ligação no campo Nome da Configuração de Ligação e digite, opcionalmente, uma descrição para a ligação no campo Descrição.
    2. Clique em Incluir e selecione WS-Security para especificar um novo conjunto de política.
    3. Clique em Autenticação e proteção > Novo.
    4. Opcional: Defina um token de proteção simétrica para o gerador de token.
      Importante: Se você configurar um token de proteção simétrica para o gerador de token, deverá definir um token de proteção simétrica complementar para o consumidor de token.
      1. No título Tokens de Proteção, clique em Novo e selecione Gerador de Token.
      2. Especifique o nome do token de proteção no campo Nome.
      3. Selecione Customizado nos valores na lista de menus Tipo de token.
      4. Especifique o valor de nome local no campo Nome Local.
        Para interoperabilidade com outras tecnologias de serviços da Web, especifique o seguinte nome local: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Se você não estiver preocupado com os problemas de interoperabilidade, poderá especificar um dos seguintes valores de nomes locais:
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Esses valores alternativos dependem do nível de especificação do token Kerberos gerado pelo KDC (Key Distribution Center). Para obter informações adicionais sobre quando utilizar esses valores, consulte Configurações do Token de Proteção (gerador ou consumidor).

      5. Não especifique um valor para o campo URI de Espaço de Nomes.
      6. Selecione o valor wss.generate.KRB5BST na lista de menus de login do JAAS.
        Se você definiu anteriormente seu próprio Módulo de Login JAAS (Java™ Authentication and Authorization Service), poderá selecioná-lo para manipular o token Kerberos customizado. Para definir um módulo de login JAAS customizado, clique em Novo Login de Aplicativo > Novo, especifique um alias para o novo módulo e clique em Aplicar. Para obter informações adicionais, consulte as configurações do Módulo de Login do Java Authentication and Authorization Service.
        Atenção: Embora as informações no tópico "Configurações do módulo de login para Java Authentication and Authorization Service" faça referência à segurança e não à Segurança de Serviços da Web, a configuração de um módulo de login para a Segurança de Serviços da Web é idêntica à da segurança.
      7. Especifique as propriedades customizadas do gerador de token para o nome do serviço de destino, host e região.
        A combinação do nome de serviço de destino e valores do host forma o SPN (Service Principal Name), que representa o nome do proprietário do serviço Kerberos de destino. O cliente Kerberos solicita o token do Kerberos AP_REQ inicial para o SPN. Especifique as seguintes propriedades customizadas.
        Tabela 1. Propriedades Customizadas do Serviço de Destino. Utilize estas propriedades para especificar informações do gerador de token.
        Nome Valor Type
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Especifique o nome do serviço de destino. Required
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Especifique o nome do host associado ao serviço de destino no seguinte formato: myhost.mycompany.com Required
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Especifique o nome da região associada ao serviço de destino. 1
        Para usar a segurança do token do Kerberos em um ambiente de região cruzado ou confiável, você deverá fornecer um valor para a propriedade targetServiceRealm.

        Para especificar vários pares de nomes e valores de propriedades customizados, clique em Novo.

      8. Clique em Aplicar.
      9. No título Ligações Adicionais, clique em Manipulador de Retorno de Chamada.
      10. No título Nome da Classe, selecione a opção Utilizar customizado e especifique com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler no campo associado.
      11. No título Autenticação Básica, especifique os valores apropriados para os campos Nome do Usuário, Senha e Confirmar Senha.

        O nome de usuário especifica o ID do usuário padrão transmitido ao construtor do manipulador de retorno de chamada, por exemplo, kerberosuser.

      12. Especifique as propriedades customizadas do gerador de token para o nome e a senha do proprietário do cliente Kerberos para iniciar o login do Kerberos.
        Essas propriedades customizadas controlam o prompt e estabelecem o token com base no cache de credenciais. Especifique as seguintes propriedades customizadas.
        Tabela 2. Propriedades Customizadas de Login do Kerberos. Use essa propriedade para especificar as informações do gerador de token.
        Nome Valor Type
        com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Ativa o login do Kerberos quando o valor é True. O valor padrão é False. Opcional

        Para especificar vários pares de nomes e valores de propriedades customizados, clique em Novo.

      13. Clique em Aplicar e em OK.
      Ao retornar para o painel Autenticação e Proteção na próxima etapa, um novo token de proteção é definido para o gerador de token. Para editar a configuração desse novo token, clique em seu nome no painel.
    5. Opcional: Retornar para o painel Autenticação e Proteção para definir um token de proteção simétrica para o consumidor de token. Para retornar ao painel Autenticação e Proteção, clique no link Autenticação e Proteção depois da seção de mensagens do painel.
      Importante: Se você configurar um token de proteção simétrica para o consumidor de token, certifique-se de ter definido anteriormente um token de proteção simétrica complementar para o gerador de token.
      1. No título Tokens de Proteção, clique em Novo e selecione Consumidor de Token.
      2. Especifique o nome do token de proteção no campo Nome.
      3. Selecione Customizado nos valores na lista de menus Tipo de token.
      4. Especifique o valor de nome local no campo Nome Local.
        Para interoperabilidade com outras tecnologias de serviços da Web, especifique o seguinte nome local: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Se você não estiver preocupado com os problemas de interoperabilidade, poderá especificar um dos seguintes valores de nomes locais:
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Esses valores alternativos dependem do nível de especificação do token Kerberos gerado pelo KDC (Key Distribution Center). Para obter informações adicionais sobre quando utilizar esses valores, consulte Configurações do Token de Proteção (gerador ou consumidor).

      5. Não especifique um valor para o campo URI de Espaço de Nomes.
      6. Selecione o valor wss.consume.KRB5BST no menu drop-down de login do JAAS.
        Se, anteriormente, você tiver definido seu próprio módulo de login JAAS (Java Authentication and Authorization Service), poderá selecioná-lo para manipular o token Kerberos customizado. Para definir um módulo de login JAAS customizado, clique em Novo Login de Aplicativo > Novo, especifique um alias para o novo módulo e clique em Aplicar. Para obter informações adicionais, consulte as configurações do Módulo de Login do Java Authentication and Authorization Service.
        Atenção: Apesar de as informações no tópico "Configurações do módulo de login paraJava Authentication and Authorization Service" se referirem à segurança e não à Segurança de Serviços da Web, a configuração para um módulo de login para a Segurança de Serviços da Web é idêntica à segurança.
      7. Clique em Aplicar.
      8. No título Ligações Adicionais, clique em Manipulador de Retorno de Chamada.
      9. No título Nome da Classe, selecione a opção Utilizar customizado e especifique com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler no campo associado.
      10. Clique em Aplicar e em OK.
      Ao retornar para o painel Autenticação e Proteção na próxima etapa, você verá um novo token de proteção definido para o consumidor de token. Para editar a configuração desse novo token, clique em seu nome no painel.
    6. Opcional: Retornar para o painel Autenticação e Proteção para definir uma configuração de token de autenticação para o gerador de token. Para retornar ao painel Autenticação e Proteção, clique no link Autenticação e Proteção depois da seção de mensagens do painel.

      Os tokens de autenticação são enviados em mensagens para provar ou declarar uma identidade.

      Importante: Se você configurar um token de autenticação para o gerador de token, deverá definir um token de autenticação complementar para o consumidor de token.
      1. No título Tokens de Autenticação, clique em Novo e selecione Gerador de Token.
      2. Especifique o nome do token de autenticação no campo Nome.
      3. Selecione Customizado nos valores na lista de menus Tipo de token.
      4. Especifique o valor de nome local no campo Nome Local.
        Para interoperabilidade com outras tecnologias de serviços da Web, especifique o seguinte nome local: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Se você não estiver preocupado com os problemas de interoperabilidade, poderá especificar um dos seguintes valores de nomes locais:
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Esses valores alternativos dependem do nível de especificação do token Kerberos gerado pelo KDC (Key Distribution Center). Para obter informações adicionais sobre quando utilizar esses valores, consulte Configurações de Token do Gerador ou do Consumidor de Autenticação.

      5. Não especifique um valor para o campo URI de Espaço de Nomes.
      6. Selecione o valor wss.generate.KRB5BST na lista de menus de login do JAAS.
        Se, anteriormente, você tiver definido seu próprio módulo de login JAAS (Java Authentication and Authorization Service), poderá selecioná-lo para manipular o token Kerberos customizado. Para definir um módulo de login JAAS customizado, clique em Novo Login de Aplicativo > Novo, especifique um alias para o novo módulo e clique em Aplicar. Para obter informações adicionais, consulte as configurações do Módulo de Login do Java Authentication and Authorization Service.
        Atenção: Apesar de as informações no tópico "Configurações do módulo de login paraJava Authentication and Authorization Service" se referirem à segurança e não à Segurança de Serviços da Web, a configuração para um módulo de login para a Segurança de Serviços da Web é idêntica à segurança.
      7. Especifique as propriedades customizadas do gerador de token para o nome do serviço de destino, host e região.
        A combinação do nome de serviço de destino e valores do host forma o SPN (Service Principal Name), que representa o nome do proprietário do serviço Kerberos de destino. O cliente Kerberos solicita o token do Kerberos AP_REQ inicial para o SPN. Especifique as seguintes propriedades customizadas.
        Tabela 3. Propriedades Customizadas do Serviço de Destino. Utilize estas propriedades customizadas para especificar as informações do gerador de token.
        Nome Valor Type
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceName Especifique o nome do serviço de destino. Required
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost Especifique o nome do host associado ao serviço de destino no seguinte formato: myhost.mycompany.com Required
        com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm Especifique o nome da região associada ao serviço de destino. Opcional

        Para especificar vários pares de nomes e valores de propriedades customizados, clique em Novo.

      8. Clique em Aplicar.
      9. No título Ligações Adicionais, clique em Manipulador de Retorno de Chamada.
      10. No título Nome da Classe, selecione a opção Utilizar customizado e especifique com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler no campo associado.
      11. No título Autenticação Básica, especifique os valores apropriados para os campos Nome do Usuário, Senha e Confirmar Senha.

        O nome de usuário especifica o ID do usuário padrão transmitido para o construtor do manipulador de retorno de chamada. Por exemplo: kerberosuser

      12. Especifique as propriedades customizadas do gerador de token para o nome e a senha do proprietário do cliente Kerberos para iniciar o login do Kerberos.
        Essas propriedades customizadas controlam o prompt e estabelecem o token com base no cache de credenciais. Especifique os pares de nome e valor das propriedades customizadas a seguir.
        Tabela 4. Propriedades Customizadas de Login do Kerberos. Utilize as propriedades customizadas para especificar as informações do gerador de token.
        Nome Valor Type
        com.ibm.wsspi.wssecurity.krbtoken.loginPrompt Ativa o login do Kerberos quando o valor é True. O valor padrão é False. Opcional
        com.ibm.wsspi.wssecurity.krbtoken.clientRealm Especifique o nome da região do Kerberos associada ao cliente 2
        Ao implementar a Segurança dos Serviços da Web em um ambiente da região do Kerberos confiável ou cruzada, você deve fornecer um valor para a propriedade clientRealm.

        Se um aplicativo gerar ou consumir um token Kerberos V5 AP_REQ para cada mensagem de solicitação de serviços da Web, configure a propriedade customizada com.ibm.wsspi.wssecurity.kerberos.attach.apreq para true no gerador de token e nas ligações do consumidor de token para o aplicativo

        Para especificar vários pares de nomes e valores de propriedades customizados, clique em Novo.

      13. Clique em Aplicar e em OK.
      Ao retornar para o painel Autenticação e Proteção na próxima etapa, você verá um novo token de autenticação definido para o gerador de token. Para editar a configuração desse novo token, clique em seu nome no painel.
    7. Opcional: Retornar para o painel Autenticação e Proteção para definir uma configuração de token de autenticação para o consumidor de token. Para retornar ao painel Autenticação e Proteção, clique no link Autenticação e Proteção depois da seção de mensagens do painel.
      Importante: Se você configurar um token de autenticação para o consumidor de token, certifique-se de ter definido anteriormente um token de autenticação para o gerador de token.
      1. Sob o título Tokens de Autenticação, clique em Novo e selecione Consumidor de Token.
      2. Especifique o nome do token de autenticação no campo Nome.
      3. Selecione Customizado nos valores na lista de menus Tipo de token.
      4. Especifique o valor de nome local no campo Nome Local.
        Para interoperabilidade com outras tecnologias de serviços da Web, especifique o seguinte nome local: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Se você não estiver preocupado com os problemas de interoperabilidade, poderá especificar um dos seguintes valores de nomes locais:
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
        • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

        Esses valores alternativos dependem do nível de especificação do token Kerberos gerado pelo KDC (Key Distribution Center). Para obter as condições de informações adicionais nas quais usar esses valores, consulte o link relacionado do tópico "Configurações de Gerador de Autenticação ou de Token do Consumidor".

      5. Não especifique um valor para o campo URI de Espaço de Nomes.
      6. Selecione o valor wss.consume.KRB5BST no menu drop-down de login do JAAS.
        Se, anteriormente, você tiver definido seu próprio módulo de login JAAS (Java Authentication and Authorization Service), poderá selecioná-lo para manipular o token Kerberos customizado. Para definir um módulo de login JAAS customizado, clique em Novo Login de Aplicativo > Novo, especifique um alias para o novo módulo e clique em Aplicar. Para obter informações adicionais, consulte as configurações do Módulo de Login do Java Authentication and Authorization Service.
        Atenção: Apesar de as informações no tópico "Configurações do módulo de login paraJava Authentication and Authorization Service" se referirem à segurança e não à Segurança de Serviços da Web, a configuração para um módulo de login para a Segurança de Serviços da Web é idêntica à segurança.
      7. Clique em Aplicar.
      8. No título Ligações Adicionais, clique em Manipulador de Retorno de Chamada.
      9. No título Nome da Classe, selecione a opção Utilizar customizado e especifique com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler no campo associado.
      10. Clique em Aplicar e em OK.
      Ao retornar para o painel Autenticação e Proteção na próxima etapa, você verá um novo token de autenticação definido para o consumidor de token. Para editar a configuração desse novo token, clique em seu nome no painel.

O que Fazer Depois

É possível definir, opcionalmente, ligações de chaves para a proteção de mensagens de pedido e de resposta. Se você optar por derivar uma chave do token Kerberos, configure as informações da chave derivada ao configurar as informações da chave para assinatura e criptografia.

Retorne às etapas no tópico Configurando o token Kerberos para a Segurança dos Serviços da Web para assegurar que você concluiu as etapas para a configuração do token Kerberos.

1 Opcional: Se a propriedade targetServiceRealm não estiver especificada, o nome da região padrão do arquivo de configuração do Kerberos será usado como o nome da região.
2 Opcional: A propriedade clientRealm é opcional para um único ambiente de região do Kerberos.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confkerbbinding
Nome do arquivo: twbs_confkerbbinding.html