为 Kerberos 消息保护配置绑定
要使用 JAX-WS 应用程序设置消息保护的绑定,必须创建定制绑定。完成此任务以设置 Kerberos 令牌的绑定(如 Kerberos 令牌概要文件 V1.1 的 OASISWeb Service 安全规范中定义的那样)。
开始之前
必须为 IBM WebSphere Application Server 配置 Kerberos。有关更多信息,请参阅 Kerberos (KRB5) 安全性认证机制支持。另外,必须为 JAX-WS 应用程序配置 Kerberos 令牌策略集。有关更多信息,请参阅“为 JAX-WS 应用程序配置 Kerberos 令牌策略集”。
关于此任务
您可以利用 JAX-WS 应用程序的现有框架(包含策略集和绑定)。
- 对称保护令牌
- 令牌生成者
- 令牌使用者
- 认证令牌
- 令牌生成者
- 令牌使用者
使用管理控制台来配置特定于应用程序的绑定,以在 Web Service 消息保护中使用 Kerberos 令牌。
过程
- 展开应用程序 > 应用程序类型。
- 单击 WebSphere 企业应用程序 > application name。
- 从“Web Service 属性”标题中,单击服务提供程序策略集和绑定以配置服务绑定或单击服务客户机策略集和绑定以配置客户机绑定。
- 选择资源以连接到 Kerberos 令牌策略集并选择连接策略集 > 策略集名称。 要配置 Kerberos 令牌策略集,请参阅为 JAX-WS 应用程序配置 Kerberos 令牌策略集。
- 单击指定绑定并选择特定于应用程序的绑定,或选择新建特定于应用程序的绑定以创建新绑定。 要创建新绑定,请完成以下操作。
- 在绑定配置名称字段中输入新绑定的名称,并且可选择在描述字段中输入绑定的描述。
- 单击添加并选择 WS-Security 以指定新的策略集。
- 单击认证和保护 > 新建。
- 可选: 定义令牌生成者的对称保护令牌。 要点: 如果为令牌生成者配置对称保护令牌,那么必须为令牌使用者定义免费的对称保护令牌。
- 从“保护令牌”标题,单击新建并选择令牌生成者。
- 在名称字段中,指定保护令牌的名称。
- 从令牌类型菜单列表中的值选择定制。
- 在局部名字段中指定局部名的值。有关与其他 Web Service 技术的互操作性,请指定以下局部名:http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ。 如果您不关注互操作性问题,那么可指定以下某个局部名值:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
这些备用值取决于密钥分发中心 (KDC) 生成的 Kerberos 令牌的规范级别。有关何时使用这些值的更多信息,请参阅“保护令牌设置(生成者或使用者)”。
- 不要指定名称空间 URI 字段的值。
- 从 JAAS 登录菜单列表选择 wss.generate.KRB5BST 值。如果您先前已定义了自己的 Java™ 认证和授权服务 (JAAS) 登录模块,那么可以选择您的登录模块来处理 Kerberos 定制令牌。要定义定制 JAAS 登录模块,请单击新建应用程序登录 > 新建,指定新模块的别名并单击应用。 有关更多信息,请参阅 Java 认证和授权服务的登录模块设置。注意: 虽然“Java 认证和授权服务的登录模块设置”主题中的信息指的是安全性,而不是 Web Service 安全性,但是 Web Service 安全性登录模块的配置与安全性相同。
- 指定目标服务名称、主机和领域的令牌生成者定制属性。目标服务名称和主机值的组合构成服务主体名称 (SPN),该名称表示目标 Kerberos 服务主体名称。Kerberos 客户机请求该 SPN 的初始 Kerberos AP_REQ 令牌。指定以下定制属性。要在交叉或可信领域环境中使用 Kerberos 令牌安全性,必须提供 targetServiceRealm 属性的值。
表 1. 目标服务定制属性. 使用这些属性来指定令牌生成者信息。 名称 值 类型 com.ibm.wsspi.wssecurity.krbtoken.targetServiceName 指定目标服务的名称。 必需 com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost 按以下格式指定与目标服务相关联的主机名:myhost.mycompany.com 必需 com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm 指定与目标服务相关联的领域名。 1 要指定多个定制属性“名称/值”对,请单击新建。
- 单击应用。
- 从“其他绑定”标题,单击回调处理程序。
- 从“类名”标题,选择使用定制选项并在关联的字段中指定 com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler。
- 从“基本认证”标题,指定用户名、密码和确认密码字段的相应值。
用户名指定传递到回调处理程序的构造函数的缺省用户标识;例如,kerberosuser。
- 指定 Kerberos 客户机主体名称和密码的令牌生成者定制属性以启动 Kerberos 登录。这些定制属性控制提示并基于凭证高速缓存建立令牌。指定以下定制属性。
表 2. Kerberos 登录定制属性. 使用此属性来指定令牌生成者信息。 名称 值 类型 com.ibm.wsspi.wssecurity.krbtoken.loginPrompt 值为 True 时启用 Kerberos 登录。缺省值为 False。 可选 要指定多个定制属性“名称/值”对,请单击新建。
- 单击应用,然后单击确定。
- 可选: 返回到“认证和保护”面板,以定义令牌使用者的对称保护令牌。 要返回到“认证和保护”面板,请在面板的消息部分后单击认证和保护链接。要点: 如果为令牌使用者配置对称保护令牌,请确保先前已经为令牌生成者定义了免费的对称保护令牌。
- 从“保护令牌”标题,单击新建并选择令牌使用者。
- 在名称字段中,指定保护令牌的名称。
- 从令牌类型菜单列表中的值选择定制。
- 在局部名字段中指定局部名的值。有关与其他 Web Service 技术的互操作性,请指定以下局部名:http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ。 如果您不关注互操作性问题,那么可指定以下某个局部名值:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
这些备用值取决于密钥分发中心 (KDC) 生成的 Kerberos 令牌的规范级别。有关何时使用这些值的更多信息,请参阅“保护令牌设置(生成者或使用者)”。
- 不要指定名称空间 URI 字段的值。
- 从 JAAS 登录下拉菜单选择 wss.consume.KRB5BST 值。如果您先前已定义了自己的 Java 认证和授权服务 (JAAS) 登录模块,那么可选择此登录模块以处理 Kerberos 定制令牌。要定义定制 JAAS 登录模块,请单击新建应用程序登录 > 新建,指定新模块的别名并单击应用。 有关更多信息,请参阅 Java 认证和授权服务的登录模块设置。注意: 虽然“Java 认证和授权服务的登录模块设置”主题中的信息指的是安全性,而不是 Web Service 安全性,但是 Web Service 安全性登录模块的配置与安全性相同。
- 单击应用。
- 从“其他绑定”标题,单击回调处理程序。
- 从“类名”标题,选择使用定制选项并在关联的字段中指定 com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。
- 单击应用,然后单击确定。
- 可选: 返回到“认证和保护”面板,以定义令牌生成者的认证令牌配置。 要返回到“认证和保护”面板,请在面板的消息部分后单击认证和保护链接。
将在消息中发送认证令牌以证明或声明标识。
要点: 如果为令牌生成者配置认证令牌,那么必须为令牌使用者定义免费的认证令牌。- 从“认证令牌”标题,单击新建并选择令牌生成者。
- 在名称字段中指定认证令牌的名称。
- 从令牌类型菜单列表中的值选择定制。
- 在局部名字段中指定局部名的值。有关与其他 Web Service 技术的互操作性,请指定以下局部名:http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ。 如果您不关注互操作性问题,那么可指定以下某个局部名值:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
这些备用值取决于密钥分发中心 (KDC) 生成的 Kerberos 令牌的规范级别。有关何时使用这些值的更多信息,请参阅认证生成者或使用者令牌设置。
- 不要指定名称空间 URI 字段的值。
- 从 JAAS 登录菜单列表选择 wss.generate.KRB5BST 值。如果您先前已定义了自己的 Java 认证和授权服务 (JAAS) 登录模块,那么可选择此登录模块以处理 Kerberos 定制令牌。要定义定制 JAAS 登录模块,请单击新建应用程序登录 > 新建,指定新模块的别名并单击应用。 有关更多信息,请参阅 Java 认证和授权服务的登录模块设置。注意: 虽然“Java 认证和授权服务的登录模块设置”主题中的信息指的是安全性,而不是 Web Service 安全性,但是 Web Service 安全性登录模块的配置与安全性相同。
- 指定目标服务名称、主机和领域的令牌生成者定制属性。目标服务名称和主机值的组合构成服务主体名称 (SPN),该名称表示目标 Kerberos 服务主体名称。Kerberos 客户机请求该 SPN 的初始 Kerberos AP_REQ 令牌。指定以下定制属性。
表 3. 目标服务定制属性. 使用这些定制属性来指定令牌生成者信息。 名称 值 类型 com.ibm.wsspi.wssecurity.krbtoken.targetServiceName 指定目标服务的名称。 必需 com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost 按以下格式指定与目标服务相关联的主机名:myhost.mycompany.com 必需 com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm 指定与目标服务相关联的领域名。 可选 要指定多个定制属性“名称/值”对,请单击新建。
- 单击应用。
- 从“其他绑定”标题,单击回调处理程序。
- 从“类名”标题,选择使用定制选项并在关联的字段中指定 com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler。
- 从“基本认证”标题,指定用户名、密码和确认密码字段的相应值。
用户名指定传递到回调处理程序的构造函数的缺省用户标识。例如:kerberosuser
- 指定 Kerberos 客户机主体名称和密码的令牌生成者定制属性以启动 Kerberos 登录。这些定制属性控制提示并基于凭证高速缓存建立令牌。指定以下定制属性“名称/值”对。在交叉或可信 Kerberos 领域环境中实施 Web Service 安全性时,必须提供 clientRealm 属性的值。
表 4. Kerberos 登录定制属性. 使用这些定制属性来指定令牌生成者信息。 名称 值 类型 com.ibm.wsspi.wssecurity.krbtoken.loginPrompt 值为 True 时启用 Kerberos 登录。缺省值为 False。 可选 com.ibm.wsspi.wssecurity.krbtoken.clientRealm 指定与客户机相关联的 Kerberos 领域的名称 2 如果应用程序为每个 Web Service 请求消息生成或使用 Kerberos V5 AP_REQ 令牌,那么在应用程序的令牌生成者和令牌使用者绑定中将 com.ibm.wsspi.wssecurity.kerberos.attach.apreq 定制属性设置为 true
要指定多个定制属性“名称/值”对,请单击新建。
- 单击应用,然后单击确定。
- 可选: 返回到“认证和保护”面板,以定义令牌使用者的认证令牌配置。 要返回到“认证和保护”面板,请在面板的消息部分后单击认证和保护链接。要点: 如果为令牌使用者配置认证令牌,请确保先前已经为令牌生成者定义了认证令牌。
- 从“认证令牌”标题,单击新建并选择令牌使用者。
- 在名称字段中指定认证令牌的名称。
- 从令牌类型菜单列表中的值选择定制。
- 在局部名字段中指定局部名的值。有关与其他 Web Service 技术的互操作性,请指定以下局部名:http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ。 如果您不关注互操作性问题,那么可指定以下某个局部名值:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
这些备用值取决于密钥分发中心 (KDC) 生成的 Kerberos 令牌的规范级别。有关在什么条件下使用这些值的更多信息,请参阅“认证生成者或使用者令牌设置”主题的相关链接。
- 不要指定名称空间 URI 字段的值。
- 从 JAAS 登录下拉菜单选择 wss.consume.KRB5BST 值。如果您先前已定义了自己的 Java 认证和授权服务 (JAAS) 登录模块,那么可选择此登录模块以处理 Kerberos 定制令牌。要定义定制 JAAS 登录模块,请单击新建应用程序登录 > 新建,指定新模块的别名并单击应用。 有关更多信息,请参阅 Java 认证和授权服务的登录模块设置。注意: 虽然“Java 认证和授权服务的登录模块设置”主题中的信息指的是安全性,而不是 Web Service 安全性,但是 Web Service 安全性登录模块的配置与安全性相同。
- 单击应用。
- 从“其他绑定”标题,单击回调处理程序。
- 从“类名”标题,选择使用定制选项并在关联的字段中指定 com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。
- 单击应用,然后单击确定。
下一步做什么
可以选择为请求消息保护和响应消息保护定义密钥绑定。如果选择从 Kerberos 令牌派生密钥,请在为签名和加密配置密钥信息时配置派生的密钥信息。
返回到“为 Web Service 安全性配置 Kerberos 令牌”主题中的步骤以确保您已完成了配置 Kerberos 令牌的步骤。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confkerbbinding
文件名:twbs_confkerbbinding.html