Configurando o Conjunto de Política de Token Kerberos para Aplicativos JAX-WS

Utilize este tópico para ativar o conjunto de política do token Kerberos para aplicativos JAX-WS.

Antes de Iniciar

Antes de começar esta tarefa, é necessário especificar as informações de configuração do Kerberos para o IBM® WebSphere Application Server. Para obter informações adicionais, consulte o suporte do mecanismo de autenticação Kerberos (KRB5) para segurança.

O modelo de configuração para o token Kerberos possibilita a escolha dentre as estruturas existentes de WebSphere Application Servers a seguir:
  • Para aplicativos JAX-RPC, o descritor de implementação e as ligações são utilizados na configuração. O aplicativo JAX-RPC inclui o descritor de implementação para um token customizado Kerberos, configurado com tokens de autenticação.
  • Para aplicativos JAX-WS, a configuração utiliza um conjunto de política e ligações. O aplicativo JAX-WS é anexado por uma política customizada com o token Kerberos configurado com tokens de autenticação, tokens de proteção de mensagens, ou ambos.
Nota: Fix packs que incluem atualizações para o Software Development Kit (SDK) podem substituir arquivos de política irrestritos. Faça backup dos arquivos de política irrestritos antes de aplicar um fix pack e reaplique esses arquivos depois que o fix pack for aplicado.

Sobre Esta Tarefa

Conclua as etapas a seguir para configurar o conjunto de política de token Kerberos para aplicativos JAX-WS utilizando o console administrativo do WebSphere Application Server. Nessas etapas, o painel Configuração da Política Principal faz referência ao painel do console administrativo disponível após a conclusão das primeiras cinco etapas.

Procedimento

  1. Expanda Serviços > Conjuntos de Políticas e clique em Conjuntos de Políticas do Aplicativo > Novo para criar um novo conjunto de política.
  2. Especifique um nome e uma descrição resumida do novo conjunto de política e clique em Aplicar.
  3. No título Políticas, clique em Incluir e, em seguida, selecione o tipo de política de segurança WS-Security.
  4. Clique em OK e em Salvar para salvar a nova configuração diretamente na configuração principal.
  5. No campo Políticas, clique em WS-Security, e clique em Política principal no painel WS-Security para configurar a política principal do conjunto de política do token Kerberos.
  6. No título Simetria da Chave, selecione Utilizar tokens simétricos para proteção de mensagens.
  7. Clique em Políticas de assinatura e criptografia simétricas para configurar o tipo de token customizado Kerberos ou limpe a caixa de opção Proteção no nível de mensagem se estiver configurando apenas um token de autenticação.
    Importante: Não será necessário configurar a política de token do pedido se você estiver utilizando o token Kerberos para proteção de mensagens. Se estiver configurando apenas o token de autenticação, continue com a próxima etapa. Se não estiver configurando a política de token do pedido para o token de autenticação, ignore a próxima etapa.
  8. No painel de configuração Política Principal, configure a política para o token de pedido se estiver configurando o token de autenticação.
    1. No título Detalhes da Política, clique em Solicitar Políticas do Token.
    2. Clique em Incluir tipo de token e selecione Customizado.
    3. Especifique o nome do token customizado no campo Nome do token customizado.
    4. Especifique o valor de parte local no campo Parte Local. Para interoperabilidade com outras tecnologias de serviços da Web, especifique a seguinte parte local: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Se você não estiver preocupado com os problemas de interoperabilidade, poderá especificar um dos seguintes valores de nomes locais:
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

      Esses valores alternativos dependem do nível de especificação do token Kerberos AP-REQ gerado pelo KDC (Key Distribution Center). Para obter informações adicionais sobre quando utilizar esses valores, consulte Configurações do Tipo de Token.

    5. Não especifique um valor para o campo URI do Espaço de Nomes se estiver gerando um token Kerberos.
    6. Clique em OK e em Salvar para salvar a configuração diretamente na configuração principal.
    Esta etapa conclui o processo de configuração da política de token do pedido para o token de autenticação. Não é necessário concluir as duas etapas seguintes. Conclua as próximas etapas para configurar as políticas de criptografia e de assinatura simétrica.
  9. Retorne ao painel de configuração de política principal do conjunto de política do aplicativo e clique em Políticas de Criptografia e Assinatura Simétrica para configurar as políticas de criptografia e assinatura simétrica.
    1. No título Integridade da Mensagem, clique na lista de menus Ação do campo Tipo de token para assinar e validar mensagens e selecione Customizado.
    2. No título Sigilo de Mensagem, selecione a opção Utilizar o mesmo token para sigilo que o utilizado para integridade.
    3. Clique em OK e em Salvar para salvar as alterações na configuração.
    4. No título Integridade da Mensagem, clique na lista de menus Ação do campo Tipo de token para assinar e validar mensagens e selecione Editar Política de Tipo Selecionada.
    5. Edite o tipo de token customizado para a assinatura e criptografia, especificando a parte local do token customizado Kerberos.

      Por exemplo, especifique http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para o valor da parte local. Não especifique um valor URI do Espaço de Nomes.

    6. Clique em OK e, em seguida, no link Salvar para salvar as alterações na configuração.
  10. Retorne ao painel de configuração da política principal do conjunto de política do aplicativo e clique em Algoritmos para Tokens Simétricos para configurar o algoritmo de token simétrico.
    1. Selecione o conjunto de algoritmos a ser utilizado para os tokens simétricos na lista de menus Conjuntos de Algoritmos. Selecione os algoritmos AES (Advanced Encryption Standard) para um token Kerberos que seja compatível com RFC-4120.
      Os algoritmos de agrupamento de chaves simétricas, ou de criptografia de chave privada incluem:
      • Agrupamento de chaves Triple DES: http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • Agrupamento de chaves AES (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
      • Agrupamento de chaves AES (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256
      Restrição: Para utilizar o algoritmo de criptografia AES de 256 bits, é necessário aplicar os arquivos de políticas de jurisdição ilimitados. Para permanecer em conformidade, consulte as dicas de conformidade do Perfil de Segurança Básico.

      [AIX Solaris HP-UX Linux Windows]Antes de fazer download desses arquivos de política, monte o produto HFS como leitura/gravação. Faça backup dos arquivos de política existentes antes de sobrescrevê-los, caso desejar restaurar os arquivos originais mais tarde. Os arquivos de política existentes, que são os arquivos local_policy.jar e US_export_policy.jar, estão localizados no diretório WAS_HOME/java/jre/lib/security/.

      [z/OS]Antes de fazer download desses arquivos de política, monte o produto HFS como leitura/gravação. Faça backup dos arquivos de política existentes antes de sobrescrevê-los, caso desejar restaurar os arquivos originais mais tarde. Os arquivos de política existentes, que são os arquivos local_policy.jar e US_export_policy.jar, estão localizados no diretório WAS_HOME/java/lib/security/.

      Importante: O país de origem pode restringir a importação, posse, uso ou a reexportação para outro país de software de criptografia. Antes de fazer o download ou de usar os arquivos de políticas não-restritas, você deverá consultar as leis do seu país, as regulamentações e as políticas referentes à importação, posse, uso e reexportação do software criptografado para determinar se ele é permitido.
      Para plataformas do servidor de aplicativos que utilizam o IBM Developer Kit, o Java™ Technology Edition Versão 5, é possível obter arquivos de políticas de jurisdição ilimitados concluindo as seguintes etapas:
      1. Visite o Web site doIBM developerWorks: Informações de Segurança.
      2. Clique em Java 5.
      3. Clique em Arquivos da Política SDK IBM.

        O Web site dos Arquivos de políticas JCE não restritos para SDK 5 é exibido.

      4. Insira seu ID do usuário e senha ou registre-se com a IBM para fazer download dos arquivos de política. Os arquivos de políticas são transferidos por download para sua estação de trabalho.
      5. Remonte seu produto HFS como somente leitura.

      Para obter informações adicionais sobre os componentes do conjunto de algoritmos, consulte Configurações de Algoritmos.

    2. Selecione o valor de Canonicalização exclusiva ou Canonicalização inclusiva para a lista de menu Algoritmo de canonicalização. Para obter informações adicionais, consulte Assinatura Digital XML.
    3. Especifique a versão XPath 1.0 ou XPathfilter 2.0 a ser utilizada na lista de menus Versão de XPath.

O que Fazer Depois

Configure as ligações para proteção de mensagens para Kerberos para aplicativos JAX-WS. Para obter informações adicionais, consulte Configurando as Ligações para Proteção de Mensagem para Kerberos.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confkerbprofilejaxws
Nome do arquivo: twbs_confkerbprofilejaxws.html