使用此主题为 JAX-WS 应用程序启用 Kerberos 令牌策略集。
开始之前
在开始此任务之前,您必须为 IBM® WebSphere® Application
Server 指定 Kerberos 配置信息。有关更多信息,请参阅 Kerberos (KRB5) 安全性认证机制支持。
Kerberos 令牌的配置模型让您可以从以下现有的 WebSphere Application Server 框架进行选择:
- 对于 JAX-RPC 应用程序,将在配置中使用部署描述符和绑定。JAX-RPC 应用程序包括 Kerberos 定制令牌的部署描述符,它使用认证令牌进行配置。
- 对于 JAX-WS 应用程序,该配置使用策略集和绑定。JAX-WS 应用程序通过定制策略与使用认证令牌、消息保护令牌或两者配置的 Kerberos 令牌相连接。
注: 包括软件开发包 (SDK) 更新的修订包可能会覆盖不受限制的策略文件。在应用修订包之前先备份不受限制的策略文件,然后在应用修订包之后再次应用这些文件。
关于此任务
完成以下步骤,以使用 WebSphere Application Server 的管理控制台配置 JAX-WS 应用程序的 Kerberos 令牌策略集。在这些步骤中,主策略配置面板引用完成前五个步骤后可用的管理控制台面板。
过程
- 展开 并单击以创建新的策略集。
- 为新的策略集指定名称和简要描述,并单击应用。
- 从“策略”标题,单击添加,然后选择 WS-Security 安全策略类型。
- 单击确定并单击保存,将新配置直接保存到主配置中。
- 在策略字段中,单击 WS-Security 并在 WS-Security 面板上单击主策略,以便为 Kerberos 令牌策略集配置主策略。
- 从“密钥对称”标题,为消息保护选择使用对称令牌。
- 单击对称签名和加密策略以配置 Kerberos 定制令牌类型,如果仅配置认证令牌,请清除消息级别保护复选框。
要点: 如果使用 Kerberos 令牌以进行消息保护,那么无需配置请求令牌策略。如果仅配置认证令牌,那么请继续执行下一步。如果不为认证令牌配置请求令牌策略,那么请跳过下一步。
- 在主策略配置面板上,如果要配置认证令牌,那么请为请求令牌配置策略。
- 从“策略详细信息”标题,单击请求令牌策略。
- 单击添加令牌类型并选择定制。
- 在定制令牌名称字段中指定定制令牌的名称。
- 在局部部件字段中指定局部部件的值。 有关与其他 Web Service 技术的互操作性,请指定以下局部部件:http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ。
如果您不关注互操作性问题,那么可指定以下某个局部名值:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
这些备用值取决于密钥分发中心 (KDC) 生成的 Kerberos AP-REQ 令牌的规范级别。有关何时使用这些值的更多信息,请参阅“令牌类型设置”。
- 如果要生成 Kerberos 令牌,请不要指定名称空间 URI 字段的值。
- 单击确定和保存,将配置直接保存到主配置中。
此步骤完成了为认证令牌配置请求令牌策略的配置过程您无需完成接下来的两个步骤。完成接下来的步骤以配置加密和对称签名策略。
- 返回到应用程序策略集的主策略配置面板并单击对称签名和加密策略以配置加密和对称签名策略。
- 从“消息完整性”标题,单击签名和验证消息的令牌类型字段的操作菜单列表并选择定制。
- 从“消息机密性”标题,选择对机密性和完整性使用同一令牌选项。
- 单击确定和保存以保存配置更改。
- 从“消息完整性”标题,单击签名和验证消息的令牌类型字段的操作菜单列表并选择编辑选择的类型策略。
- 通过指定 Kerberos 定制令牌的局部部件来编辑签名和加密的定制令牌类型。
例如,对局部部件值指定 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ。不要指定名称空间 URI 值。
- 单击确定,然后单击保存链接以保存配置更改。
- 返回到应用程序策略集的主策略配置面板,并单击对称令牌的算法以配置对称令牌算法。
- 从算法套件菜单列表中选择要用于对称令牌的算法套件。 为符合 RFC-4120 的 Kerberos 令牌选择“高级加密标准”(AES) 算法。
对称密钥合并或专用密钥密码术算法包括:
- 三重 DES 密钥合并:http://www.w3.org/2001/04/xmlenc#kw-tripledes
- AES 密钥合并 (aes128):http://www.w3.org/2001/04/xmlenc#kw-aes128
- AES 密码合并 (aes256):http://www.w3.org/2001/04/xmlenc#kw-aes256
限制: 要使用 256 位 AES 加密算法,您必须应用不受限制的权限策略文件。要保持一致性,请参阅“基本安全概要文件”一致性提示。
在下载这些策略文件之前,请先以读/写方式安装产品 HFS。先备份现有策略文件再覆盖这些策略文件,以备将来复原原始文件。现有策略文件(即 local_policy.jar 和 US_export_policy.jar 文件)位于 WAS_HOME/java/jre/lib/security/ 目录中。
在下载这些策略文件之前,请先以读/写方式安装产品 HFS。先备份现有策略文件再覆盖这些策略文件,以备将来复原原始文件。现有策略文件(即 local_policy.jar 和 US_export_policy.jar 文件)位于 WAS_HOME/java/lib/security/ 目录中。
要点: 您的产地国对加密软件的进口、拥有、使用或再次出口到其他国家可能有一些限制。下载或使用未限制的策略文件之前,必须检查您的国家或地区的法律、规章以及对加密软件进行进口、拥有、使用和再次出口的相关政策,从而确定是否可以使用该文件。
对于使用 IBM Developer Kit, Java™ Technology Edition V5 的应用程序服务器平台来说,可通过完成以下步骤获取无限制的权限策略文件:
- 请访问“IBM developerWorks:安全信息”Web 站点。
- 单击 Java 5。
- 单击 IBM SDK 策略文件。
这将显示 SDK 5 Web 站点的无限制 JCE 策略文件。
- 输入您的用户标识和密码或向 IBM 注册,以下载策略文件。策略文件将下载到您的工作站上。
- 以只读方式重新安装产品 HFS。
有关算法套件组件的更多信息,请参阅算法设置。
- 从规范算法菜单列表选择互斥规范或包含规范值。 有关更多信息,请参阅 XML 数字签名。
- 从 XPath 版本菜单列表指定要使用的 XPath 1.0 或 XPathfilter 2.0 版本。
下一步做什么
为 JAX-WS 应用程序的 Kerberos 消息保护配置绑定。有关更多信息,请参阅为 Kerberos 消息保护配置绑定。