配置全局登录主体映射
可创建新的应用程序登录,以使用 Tivoli® Access Manager GSO 数据库来存储登录凭证。
过程
- 单击安全性 > 全局安全性。
- 在“认证”下,单击 Java™ 认证和授权服务 > 应用程序登录。
- 单击新建以创建 Java 认证和授权服务 (JAAS) 登录配置。
- 输入新应用程序登录的别名。单击应用。
- 在“其他属性”下,单击 JAAS 登录模块以定义 JAAS 登录模块。
- 单击新建,然后输入以下信息:
模块类名:com.tivoli.pdwas.gso.AMPrincipalMapper
使用登录模块代理:enable
认证策略:REQUIRED - 单击应用
- 在“其他属性”部分中,单击定制属性以定义直接传递到底层登录模块的特定于登录模块的值。
- 单击新建。
Tivoli Access Manager 主体映射模块使用 authDataAlias 配置字符串以从安全性配置检索正确的用户名和密码。
将对 J2C 连接工厂配置传递到模块的 authDataAlias 属性。因为 authDataAlias 属性是在配置时输入的任意字符串,所以可能出现以下情况:- authDataAlias 属性同时包含全局登录(GSO)资源名称和用户名。此字符串的格式为“资源/用户”。
- authDataAlias 属性仅包含 GSO 资源名称。用户名称将通过使用当前会话的主题确定。
JAAS 配置选项将确定使用哪种方案,如下所示:- 名称:com.tivoli.pd.as.gso.AliasContainsUserName
- 值:如果别名包含用户名,那么为 true;如果必须从安全上下文检索用户名,那么为 false
通过 WebSphere® Application Server 管理控制台输入 authDataAlias 属性时,节点名将自动加在别名的前面。JAAS 配置条目确定是应该移除此节点名,还是包含为资源名称的一部分,如下所示:- 名称:com.tivoli.pd.as.gso.AliasContainsNodeName
- 值:如果别名包含节点名,那么为 true
注: 如果 PdPerm.properties 配置文件不在 JAVA_HOME/PdPerm.properties 缺省位置中,那么还需要添加以下属性:- 名称:com.tivoli.pd.as.gso.AMCfgURL
- 值:file:///path to PdPerm.properties
使用以下情况信息作为指导输入每个新参数,然后单击应用。
方案 1- 认证数据别名 - BackendEIS/eisUser
- 资源 - BackEndEIS
- 用户 - eisUser
- 主体映射参数
表 1. 主体映射参数. 此表列示主体映射参数。
名称 值 delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName true com.tivoli.pd.as.gso.AliasContainsNodeName false com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path debug False 方案 2- 认证数据别名 - BackendEIS
- 资源 - BackEndEIS
- 用户 - 当前认证的 WebSphere Application Server 用户
- 主体映射参数
表 2. 主体映射参数. 此表列示主体映射参数。
名称 值 delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName false com.tivoli.pd.as.gso.AliasContainsNodeName false com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path debug False 方案 3- 认证数据别名 - nodename/BackendEIS/eisUser
- 资源 - BackEndEIS
- 用户 - eisUser
- 主体映射参数
表 3. 主体映射参数. 此表列示主体映射参数。
名称 值 delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName true com.tivoli.pd.as.gso.AliasContainsNodeName true com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path debug False 方案 4- 认证数据别名 - nodename/BackendEIS/eisUser
- 资源 - nodename/BackEndEIS(注意,不会移除节点名)
- 用户 - eisUser
- 主体映射参数
表 4. 主体映射参数. 此表列示主体映射参数。
名称 值 delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName true com.tivoli.pd.as.gso.AliasContainsNodeName false com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path debug False 场景 5- 认证数据别名 - BackendEIS/eisUser
- 资源 - BackEndEIS
- 用户 - eisUser
- 主体映射参数
表 5. 主体映射参数. 此表列示主体映射参数。
名称 值 delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName false com.tivoli.pd.as.gso.AliasContainsNodeName true com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path debug False 场景 6- 认证数据别名 - nodename/BackendEIS/eisUser
- 资源 - nodename/BackendEIS/eisUser(注意,资源与认证数据别名相同)。
- 用户 - 当前认证的 WebSphere Application Server 用户
- 主体映射参数
表 6. 主体映射参数. 此表列示主体映射参数。
名称 值 delegate com.tivoli.pdwas.gso.AMPrincipalMapper com.tivoli.pd.as.gso.AliasContainsUserName false com.tivoli.pd.as.gso.AliasContainsNodeName false com.tivoli.pd.as.gso.AMLoggingURL file:///jlog_props_path debug False - 创建 Java 2 连接器 (J2C) 认证别名。指定给这些别名条目的用户名和密码与负责提供用户名和密码的 Tivoli Access Manager 不相关。但是,指定给 J2C 认证别名的用户名和密码需要存在,以便在管理控制台中对 J2C 连接工厂选择此用户名和密码。
要创建 J2C 认证别名,请从 WebSphere Application Server 管理控制台,单击安全性全局安全性。在“认证”下,单击 Java 认证和授权服务J2C 认证数据,然后对每个新条目单击新建。请参阅上表以了解方案输入。
需要使用 GSO 数据库的每个资源适配器的连接工厂必须配置成使用 Tivoli Access Manager 主体映射模块:- 在 WebSphere Application Server 管理控制台中,单击应用程序企业应用程序application_name资源引用。注意,必须已经对所选应用程序配置 J2C 连接工厂。要配置新的 J2C 连接工厂,请参阅“在管理控制台中配置 Java EE 连接器连接工厂”一文。
- 在“其他属性”下,单击资源适配器。
资源适配器可以是独立,不需要与应用程序打包在一起。对于独立方案,资源适配器是通过资源资源适配器配置的。
- 在“其他属性”下,单击 J2C 连接工厂。
- 单击新建,并输入连接工厂属性。
- 完成时,单击应用 保存。
注意:在 WebSphere Application Server V6 中不推荐对连接工厂进行定制映射配置。要配置 GSO 凭证映射,请使用管理控制台上的“将资源引用映射到资源”面板。有关更多信息,请参阅“J2EE 连接器安全性”一文。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_gso_mapping
文件名:tsec_config_gso_mapping.html