缺省绑定
缺省绑定信息在 ws-security.xml 文件中定义,可由管理控制台或通过脚本编制来管理。仅支持用于 JAX-RPC 应用程序的缺省绑定。不支持用于 JAX-WS 应用程序的缺省绑定。
要点: V5.x 与 V6 及更高版本的应用程序之间存在重要差别。本文中的信息仅支持与 WebSphere® Application Server V6.0.x 及更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6 及更高版本应用程序。此外,策略集只能与 JAX-WS 应用程序配合使用。策略集不能用于 JAX-RPC 应用程序。
某些应用程序可以共享某些绑定信息。此信息包括信任密钥库、密钥库和认证方法(令牌验证)。WebSphere Application Server 支持缺省绑定信息。管理员可以定义以下级别的绑定信息:
- 服务器级
- 单元级
您可在 ws-security.xml 文件中定义以下绑定信息:
- 信任锚(信任密钥库)
- 信任锚包含有可信根证书的密钥库配置信息。信任锚用于入局 X.509 格式的安全性令牌的证书路径验证。
- 在绑定文件(ibm-webservices-bnd.xmi 和 ibm-webservicesclient-bnd-xmi(当 Web Service 作为客户机运行时))中使用信任锚名称来表示缺省绑定信息中定义的信任锚。信任锚名称在信任锚集合中必须唯一。
- 证书集合库
- 证书集合库指定不可信的中间证书列表,并用于入局 X.509 格式安全性令牌的证书路径验证。缺省提供程序是 IBMCertPath。
- 在绑定文件(ibm-webservices-bnd.xmi 和 ibm-webservicesclient-bnd-xmi(当 Web Service 作为客户机运行时))中使用证书库名称来表示缺省绑定信息中定义的信任锚。证书库名称在证书库集合中必须唯一。
- 密钥定位器
- 密钥定位器指定 com.ibm.wsspi.wssecurity.config.KeyLocator 接口的实现。此接口用于检索供签名或加密的密钥。客户实现可扩展密钥定位器接口以使用其他方法检索密钥。WebSphere Application Server 提供实现以从密钥库检索密钥、将认证的标识映射至密钥库中的密钥或从签署者证书检索密钥(映射和检索操作用于加密响应)。
- 在绑定文件(ibm-webservices-bnd.xmi 和 ibm-webservicesclient-bnd-xmi(当 Web Service 作为客户机运行时))中使用密钥定位器名称来表示缺省绑定信息中定义的密钥定位器。密钥定位器名称对于缺省绑定信息中的密钥定位器集合必须唯一。
- 可信标识鉴别程序
- 可信标识鉴别程序是 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 接口的实现。此接口用于确保标识(标识)声明的权限是可信的。此外,您可扩展可信标识鉴别程序以验证信任。WebSphere Application Server 提供了一个缺省实现,用于根据预定义的标识列表来验证信任。
- 在绑定文件 (ibm-webservices-bnd.xmi) 中使用可信标识鉴别程序名称引用缺省绑定信息中定义的可信标识鉴别程序。可信标识鉴别程序名称对于可信标识鉴别程序集合必须唯一。
- 登录映射
- 登录映射定义认证方法到 Java™ 认证和授权服务 (JAAS) 登录配置的映射。映射用于认证嵌入在 Web Service 安全性 SOAP 消息头中的入局安全性令牌。您可以在管理控制台中,使用 来定义 JAAS 登录配置。
- WebSphere Application Server 定义下列认证方法:
- BasicAuth
- 认证用户名和密码。
- Signature
- 将证书中的主体集专有名称 (DN) 映射至 WebSphere Application Server 凭证。
- IDAssertion
- 将身份映射至 WebSphere Application Server 凭证。
- LTPA
- 认证轻量级第三方认证 (LTPA) 令牌。
- 通过提供定制 JAAS 登录配置并使用 com.ibm.wsspi.wssecurity.auth.module.WSSecurityMappingModule 来创建 WebSphere Application Server 所需要的主体和凭证,可以扩展此方法以认证定制安全性令牌。
- 如果在 IBM® 扩展部署描述符 (ibm-webservices-ext.xmi) 中定义了 LoginConfig (AuthMethod),但是没有为 AuthMethod 定义登录映射绑定 (ibm-webservices-bnd.xmi),那么 Web Service 安全性运行时使用缺省绑定信息中定义的登录映射。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
WebSphere Application Server Network Deployment
当 WebSphere Application Server Network Deployment 单元时,会将服务器的缺省绑定文件 (ws-security.xml)(以及其他服务器级别配置信息)添加至新单元。如果使用单元级别缺省绑定,那么必须移除服务器级别缺省绑定的条目。
有一个用于 WebSphere Application Server Network Deployment 安装的单元级别缺省绑定 (ws-security.xml)。而且,对于 WebSphere Application Server Network Deployment 安装的服务器级别绑定为可选。要在管理控制台中浏览到单元级别缺省绑定,请单击安全性 > Web Service。
图 1. Web Service 安全性应用程序级别、单元级别和服务器级别的缺省绑定信息

缺省绑定信息的顺序是应用程序级别绑定、服务器级别和单元级的缺省绑定。