选择认证机制

认证机制定义有关安全性信息的规则(例如,是否可以将凭证转发到另一个 Java™ 进程),以及安全性信息采用哪种格式存储在凭证和令牌中。可使用管理控制台来选择和配置认证机制。

关于此任务

认证就是确定客户机在特定上下文中是哪个用户或者它被声明为哪个对象的过程。客户机可以是用户、机器或应用程序。WebSphere® Application Server 中的认证机制通常与用户注册表紧密合作。用户注册表是执行认证时认证机制查询的用户和组帐户存储库。认证机制负责创建凭证,它是成功认证的客户机用户的内部产品表示。并不是所有凭证都是同等创建的。凭证的能力由配置的认证机制确定。

WebSphere Application Server 提供三种认证机制:轻量级第三方认证 (LTPA)、Kerberos 以及 RSA 令牌认证机制。

在此 WebSphere Application Server 发行版中,已添加对作为认证机制的 Kerberos 的安全性支持。Kerberos (KRB5) 是成熟、灵活且非常安全的开放式网络认证协议。Kerberos 包括认证、相互认证、消息完整性和机密性以及委派功能。在管理控制台以及 sas.client.propssoap.client.propsipc.client.props 文件中,将 KRB5 用于 Kerberos。

RSA 令牌认证机制是此 WebSphere Application Server 发行版中的新增功能。它有助于实现以下灵活管理目标:保存基本概要文件配置并从安全性角度对它们进行隔离。此机制允许管理代理程序所管理的基本概要文件具有不同的轻量级第三方认证 (LTPA) 密钥、不同的用户注册表以及不同的管理用户。

注: 此发行版中不推荐使用简单 WebSphere 认证机制 (SWAM)。SWAM 不会在不同服务器之间提供经过认证的通信。

当企业 Bean 客户机和 Web 客户机访问受保护资源时就需要进行认证。企业 Bean 客户机(例如,Servlet、其他企业 Bean 或纯客户机)使用下列其中 一种协议将认证信息发送到 Web 应用程序服务器:

  • 公共安全互操作性 V2 (CSIv2)
  • [AIX Solaris HP-UX Linux Windows][IBM i]安全认证服务 (SAS)
    注: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 SAS。
  • [z/OS]z/OS® 安全认证服务 (z/SAS)
    注: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 z/SAS。

Web 客户机使用 HTTP 或 HTTPS 协议来发送认证信息。

认证信息可以是基本认证(用户标识和密码)、凭证标记或客户机证书。Web 认证是由“Web 认证”模块执行的。

可使用管理控制台来为 Web 客户机配置 Web 认证。单击安全性 > 全局安全性。在“认证”下,展开 Web 和 SIP 安全性并单击常规设置。进行 Web 认证时可以选择以下选项:
仅当 URI 受保护时才进行认证
指定仅当 Web 客户机访问受保护的统一资源标识(URI)时它才能检索经过认证的标识。当 Web 客户机访问受 J2EE 角色保护的 URI 时,WebSphere Application Server 将要求 Web 客户机提供认证数据。在先前版本的 WebSphere Application Server 中,也提供了此缺省选项。
当访问不受保护的 URI 时使用可用的认证数据
指定已授权 Web 客户机调用 getRemoteUserisUserInRolegetUserPrincipal 方法;从受保护或不受保护的 URI 中检索经过认证的标识。尽管当您访问不受保护的 URI 时不会使用认证数据,但还是要保留认证数据以供将来使用。当选择仅当 URI 受保护时才进行认证复选框时,此选项可用。
访问任何 URI 时都进行认证
指定无论 URI 是否受保护,Web 客户机都必须提供认证数据。
当 HTTPS 客户机的证书认证失败时缺省设置为基本认证。
指定当必需的 HTTPS 客户机证书认证失败时,WebSphere Application Server 将要求 Web 客户机端提供用户标识和密码。

企业 Bean 认证由 Enterprise JavaBeans (EJB) 认证模块执行。

[AIX Solaris HP-UX Linux Windows][IBM i]EJB 认证模块位于 CSIv2 和 SAS 层中。

[z/OS]EJB 认证模块位于 CSIv2 和 z/SAS 层中。

使用 Java 认证和授权服务 (JAAS) 登录模块实现认证模块。Web 认证器和 EJB 认证器将认证数据传递到登录模块,该模块可以使用以下机制来认证数据:

  • Kerberos
  • LTPA
  • RSA 令牌
  • [z/OS]简单 WebSphere 认证机制 (SWAM)
    注: 在 WebSphere Application Server V6.1 中,不推荐使用 SWAM,在将来的发行版中将移除此认证机制。
认证模块使用系统上配置的注册表执行认证。支持以下四种类型的注册表:
  • 联合存储库
  • 本地操作系统
  • 独立轻量级目录访问协议 (LDAP) 注册表
  • 独立定制注册表

由 IBM® 指定的注册表接口下的外部注册表实现可以替换本地操作系统或 LDAP 注册表。

认证后,登录模块将创建 JASS 主题,并将来自认证数据的凭证存储在主题的公用凭证列表中。凭证返回到 Web 认证器或企业 Bean 认证器。

[AIX Solaris HP-UX Linux Windows][IBM i]Web 认证器和企业 Bean 认证器将接收到的凭证存储在当前的对象请求代理 (ORB) 中,以在执行进一步的访问控制检查时供授权服务使用。如果可以转发凭证,那么会将它们发送到其他应用程序服务器。

[z/OS]Web 认证器和企业 Bean 认证器存储接收到的凭证,以在执行进一步的访问控制检查时供授权服务使用。

可通过在管理控制台中执行以下操作来配置认证机制:

过程

  1. 单击安全性 > 全局安全性
  2. 在“认证机制和到期”下,选择要配置的认证机制。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_aumech
文件名:tsec_aumech.html