在服务器或单元级别使用 JAX-RPC 配置令牌使用者以保护消息真实性

如果未定义应用程序级别的安全性令牌,那么服务器或单元级别上的令牌使用者用于指定处理安全性令牌所需的信息。

开始之前

您需要了解为生成器提供的密钥库/别名信息以及为使用者提供的密钥库/别名信息是用于不同用途的。主要区别在于 X.509 回调处理程序的别名。

当用于关联的加密使用者时,为使用者提供的别名用于检索用来解密消息的专用密钥。需要密码。当与签名使用者关联时,为使用者提供的别名严格用于检索用于解析公用密钥,该密钥用于解析在 SOAP 安全性头中作为 BinarySecurityToken 传入的 X.509 证书。不需要密码。

关于此任务

WebSphere® Application Server 提供绑定的缺省值。必须修改生产环境的缺省值。

可以在服务器级别和单元级别上配置令牌使用者。在以下步骤中,使用第一步访问服务器级别的缺省绑定,使用第二步访问单元级别绑定。

过程

  1. 访问服务器级别的缺省绑定。
    1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
    2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
      混合版本环境 混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  2. 单击安全性 > Web Service 以访问单元级别的缺省绑定。
  3. 在“缺省使用者绑定”下面,单击令牌使用者
  4. 单击新建创建令牌使用者配置,单击删除删除现有配置,或者单击现有令牌使用者配置的名称以编辑其设置。 如果您正在创建新配置,那么在令牌使用者名称字段中输入令牌使用者配置的唯一名称。例如,您可以指定 sig_tcon。此字段指定令牌使用者元素的名称。
  5. 在“令牌使用者类名”字段中指定类名。 Java™ 认证和授权服务 (JAAS) 登录模块实现用于验证(认证)使用者端的安全性令牌。
    限制: com.ibm.wsspi.wssecurity.token.TokenConsumingComponent 接口不与 JAX-WS Web Service 配合使用。如果要使用 JAX-RPC Web Service,那么此接口仍然有效。

    令牌使用者类名必须类似于令牌生成者类名。

    例如,如果您的应用程序需要 X.509 证书令牌使用者,则可以在令牌生成者面板上指定 com.ibm.wsspi.wssecurity.token.X509TokenGenerator 类名,并在此字段中指定 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 类名。WebSphere Application Server 提供以下缺省令牌使用者类实现:
    com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer
    此实现集成用户名令牌。
    com.ibm.wsspi.wssecurity.token.X509TokenConsumer
    此实现集成 X.509 证书令牌。
    com.ibm.wsspi.wssecurity.token.LTPATokenConsumer
    此实现集成轻量级第三方认证 (LTPA) 令牌。
    com.ibm.wsspi.wssecurity.token.IDAssertionUsernameTokenConsumer
    此实现集成 IDAssertionUsername 令牌。

    此实现不存在相应的令牌生成者类。

  6. 选择证书路径选项。 该证书路径指定证书撤销列表 (CRL),用它生成装入 CRL 的 PKCS#7 格式的安全性令牌。WebSphere Application Server 提供以下证书路径选项:
    如果选择此选项,那么不指定证书路径。
    信任全部
    如果选择此选项,那么信任全部证书。使用接收到的令牌时,将不处理证书路径验证。
    专用签名信息
    如果选择此选项,那么可以指定信任锚和证书库。选择信任锚或可信证书的证书库时,必须在设置证书路径前配置证书集合库。要在服务器或单元级别上定义证书集合库,请参阅配置服务器或单元级别的集合证书
    1. 在“信任锚”字段中选择信任锚。 WebSphere Application Server 提供两个样本信任锚。但是,建议您为生产环境配置自己的信任锚。有关配置信任锚的信息,请参阅配置服务器或单元级别的信任锚
    2. 在“证书库”字段中选择证书集合库。 WebSphere Application Server 提供样本证书集合库。如果选择,那么未指定证书集合库。有关指定包含等待验证的不可信的中介证书文件的证书库列表的信息,请参阅配置服务器或单元级别的可信标识鉴别程序
  7. 从“可信标识鉴别程序引用”字段中选择可信标识。 此字段指定对可信标识鉴别程序面板中定义的可信标识鉴别程序类名的引用。该可信标识鉴别程序用于评估接收的标识是否可信。如果选择,那么此令牌使用者配置未引用可信标识鉴别程序。要配置可信标识鉴别程序,请参阅配置服务器或单元级别的可信标识鉴别程序
  8. 如果生成者端上的用户名令牌包含现时标志,请选择验证现时标志 现时标志是唯一加密数字,它嵌入在消息中以帮助停止用户名令牌的重复未授权攻击。如果您为令牌使用者指定用户名令牌并且将现时标志添加到生成者端上的用户名令牌,那么可使用验证现时标志选项。
  9. 如果生成者端上的用户名令牌包含时间戳记,请选择验证时间戳记 如果您为令牌使用者指定用户名令牌并且将时间戳记添加到生成者端上的用户名令牌,那么可使用验证时间戳记选项。
  10. 指定集成令牌的值类型局部名。 此条目为密钥标识引用的安全性令牌指定值类型的局部名。当您将密钥标识选为密钥信息类型时,此属性是有效的。要指定密钥信息类型,请参阅在服务器或单元级别上,使用 JAX-RPC 配置使用者绑定的密钥信息。WebSphere Application Server 已预定义用户名令牌和 X.509 证书安全性令牌的值类型局部名。输入以下某个用户名令牌和 X.509 证书安全性令牌的局部名。指定以下局部名时,不需要指定值类型的 URI。
    用户名令牌
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    X.509 证书令牌
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath 格式的 X.509 证书
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7 格式的 X.509 证书和 CRL 的列表
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    注: 要指定轻量级第三方认证 (LTPA) 或令牌传播 (LTPA_PROPAGATION),必须同时指定值类型局部名和统一资源标识 (URI)。对于 LTPA,请指定 LTPA 作为局部名,并指定 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 作为 URI。对于 LTPA 令牌传播,请指定 LTPA_PROPAGATION 作为局部名,并指定 http://www.ibm.com/websphere/appserver/tokentype 作为 URI。
    例如,当指定 X.509 证书令牌时,您可将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 用于局部名。指定另一个令牌的局部名时,必须指定值类型 Qname。例如:uri=http://www.ibm.com/custom,localName=CustomToken
  11. 在 URI 字段中指定值类型统一资源标识 (URI)。 此条目为密钥标识引用的安全性令牌指定值类型的名称空间 URI。在缺省生成者的密钥信息面板上将密钥标识选为密钥信息类型时,此属性是有效的。指定用户名令牌或 X.509 证书安全性令牌的令牌使用者时,不需要指定此选项。如果要指定另一个令牌,那么需要为值类型指定 QName 的 URI。
  12. 单击确定,然后单击保存保存配置。 在保存令牌生成者配置后,您可以为令牌使用者指定 JAAS 配置。
  13. 单击令牌生成者配置的名称。
  14. 在“其他属性”下面,单击 JAAS 配置
  15. 从“JAAS 配置名称”字段中选择 JAAS 配置。

    该字段为应用程序登录配置指定 JAAS 系统名称。您可以通过单击安全性 > 全局安全性指定其他 JAAS 系统和应用程序配置。展开“Java 认证和授权服务”,然后单击应用程序登录 > 新建服务器登录 > 新建

    [AIX Solaris HP-UX Linux Windows][z/OS]有关 JAAS 配置的更多信息,请参阅JAAS 配置设置

    不要移除预定义的系统或应用程序登录配置。但是,在这些配置中,您可以添加模块类名并指定 WebSphere Application Server 装入每个模块的顺序。WebSphere Application Server 提供以下预定义的 JAAS 配置:
    ClientContainer
    此选择指定客户机容器应用程序使用的登录配置。该配置使用在部署描述符中为客户机容器定义的 CallbackHandler 应用程序编程接口 (API)。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    WSLogin
    此选择指定是否所有应用程序都可以使用 WSLogin 配置来执行安全运行时的认证。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    DefaultPrincipalMapping
    此选择指定登录配置,Java 2 连接器 (J2C) 使用此配置将用户映射到在 J2C 认证数据条目中定义的主体。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    system.wssecurity.IDAssertion
    此选项使 V5.x 应用程序能够使用身份断言将用户名映射到 WebSphere Application Server 凭证主体。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.Signature
    此选项使 V5.x 应用程序能够将已签署证书中的专有名称 (DN) 映射至 WebSphere Application Server 凭证主体。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.LTPA_WEB
    此选择处理 Web 容器(例如 Servlet 和 JavaServer Pages (JSP) 文件)使用的登录请求。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.WEB_INBOUND
    此选择处理 Web 应用程序(包含 Servlet 和 JavaServer Pages (JSP) 文件)的登录请求。此登录配置由 WebSphere Application Server V5.1.1 使用。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.RMI_INBOUND
    此选择处理入站远程方法调用 (RMI) 请求的登录。此登录配置由 WebSphere Application Server V5.1.1 使用。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.DEFAULT
    此选择处理内部认证进行的入站登录请求和大多数其他协议的请求,但不含 Web 应用程序和 RMI 请求。此登录配置由 WebSphere Application Server V5.1.1 使用。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.RMI_OUTBOUND
    com.ibm.CSIOutboundPropagationEnabled 属性为 true 时,此选项处理发送到另一服务器的出站 RMI 请求。此属性是在 CSIv2 认证面板中设置的。要访问此面板,请单击安全性 > 全局安全性。在“认证”下,展开 RMI/IIOP 安全性,然后单击 CSIv2 出站认证。要设置 com.ibm.CSIOutboundPropagationEnabled 属性,请选择安全性属性传播。要修改此 JAAS 登录配置,请参阅“JAAS - 系统登录”面板。
    system.wssecurity.X509BST
    此部分通过检查证书和证书路径的有效性验证 X.509 二进制安全性令牌 (BST)。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.PKCS7
    此部分验证 PKCS7 对象内的 X.509 证书和证书撤销列表。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.PkiPath
    此部分用公共密钥基础结构 (PKI) 路径验证 X.509 证书。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.UsernameToken
    此选择验证基本认证(用户名和密码)数据。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.IDAssertionUsernameToken
    此选项使 V6 和较高版本的应用程序使用身份断言将用户名映射到 WebSphere Application Server 凭证主体。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.WSS_INBOUND
    此选项指定用于使用 Web Service 安全性进行的安全性令牌传播的入站请求或使用者请求的登录配置。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.WSS_OUTBOUND
    此选项指定用于使用 Web Service 安全性进行的安全性令牌传播的出站请求或生成者请求的登录配置。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    此选项表示不指定 JAAS 登录配置。
  16. 单击确定,然后单击保存保存配置。

结果

已配置服务器或单元级别的令牌使用者。

下一步做什么

必须为服务器或单元级别指定类似的令牌生成者配置。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokenconssvrcell
文件名:twbs_configtokenconssvrcell.html