登录映射配置设置

使用此页面来指定用于验证入局消息内安全性令牌的 Java™ 认证和授权服务(JAAS)登录配置设置。

要点: V6 及更高版本的应用程序之间存在重要差别。这些信息仅支持与 WebSphere® Application Server V6.x 和更高版本配合使用的 V6.x 应用程序。本信息不适用于 V6.0.x 和更高版本的应用程序。
要查看管理控制台中单元级别的此页面,请完成下列步骤:
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
  2. 在“其他属性”下,单击登录映射
  3. 单击新建以创建新的登录映射配置或单击现有配置的名称。
要查看管理控制台中服务器级别的此页面,请完成下列步骤:
  1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
  2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境 混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Services Security 的缺省绑定mixv
  3. 在“其他属性”下,单击登录映射
  4. 单击新建以创建新的登录映射配置或单击现有配置的名称。
要使用管理控制台中应用程序级别的此页面,请完成下列步骤:
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
  2. 在“模块”下,单击管理模块 > URI_name
  3. 在“Web Service 安全性属性”下,单击 Web Service:服务器安全性绑定
  4. 单击“请求接收方绑定”下的编辑
  5. 单击登录映射
  6. 单击新建以创建新的登录映射配置或单击现有配置的名称。
要点: 如果在应用程序级别上未找到登录映射配置,那么 Web Service 运行时将搜索服务器级别上的登录映射配置。如果未找到服务器级别的配置,那么 Web Service 运行时搜索单元级别的配置。

认证方法

指定认证方法。

您可使用任何字符串,但是字符串必须与服务级别配置中的元素相匹配。下列字是被保留的,他们具有特殊含义:
BasicAuth
使用用户名和密码。
IDAssertion
仅使用用户名,但要求在接收服务器上使用 TrustedIDEvaluator 机制建立另一种信任。
Signature
使用签署者的专有名称 (DN)。
LTPA
验证令牌。

JAAS 配置名称

指定 Java 认证和授权服务 (JAAS) 配置的名称。

您可以使用的预定义系统登录配置如下所示:
system.wssecurity.IDAssertion
启用 V6.x 应用程序以使用身份断言将用户名映射至 WebSphere Application Server 凭证主体。
system.wssecurity.Signature
启用 V6.x 应用程序以将已签署证书中的专有名称 (DN) 映射至 WebSphere Application Server 凭证主体。
system.LTPA_WEB
处理 Web 容器(如 Servlet 和 JavaServer Pages (JSP) 文件)使用的登录请求。
system.WEB_INBOUND
处理 Web 应用程序登录请求,包括 Servlet 和 JavaServer Pages 请求。
system.RMI_INBOUND
为入站远程方法调用 (RMI) 请求处理登录。
system.DEFAULT
处理内部认证及大多数其他协议提出的入站登录请求,但不含 Web 应用程序与 RMI 请求。
system.RMI_OUTBOUND
当 com.ibm.CSIOutboundPropagationEnabled 属性为 true 时,处理发送到另一服务器的出站 RMI 请求。此属性是在 CSIv2 认证面板中设置的。要访问此面板,请单击安全性 > 全局安全性。展开 RMI/IIOP 安全性,然后单击 CSIv2 出站认证。要设置 com.ibm.CSIOutboundPropagationEnabled 属性,请选择安全性属性传播
system.wssecurity.X509BST
通过检查证书和证书路径的有效性验证 X.509 二进制安全性令牌 (BST)。
system.wssecurity.PKCS7
用 PKCS7 对象验证 X.509 证书和证书撤销列表。
system.wssecurity.PkiPath
用公共密钥基础结构 (PKI) 路径验证 X.509 证书。
system.wssecurity.UsernameToken
验证基本认证(用户名和密码)。
在“系统登录”面板上定义这些系统登录配置,可通过完成以下步骤访问该面板:
  1. 单击安全性 > 全局安全性
  2. 展开“Java 认证和授权服务”,然后单击系统登录
注意: 在“系统登录配置”面板上列出了预定义的系统登录配置,但没有系统前缀。例如,Java 认证和授权服务(JAAS)配置名称选项中列出的 system.wssecurity.UsernameToken 配置与“系统登录配置”面板上的 wssecurity.UsernameToken 配置对应。
可以使用以下预定义的应用程序登录配置:
ClientContainer
指定客户机容器应用程序使用的登录配置,该应用程序使用在客户机容器的部署描述符中定义的 CallbackHandler API。
WSLogin
指定是否所有应用程序都可以使用 WSLogin 配置来执行 WebSphere Application Server 安全性运行时的认证。
DefaultPrincipalMapping
指定 Java 2 连接器(J2C)使用的登录配置以将用户映射到 J2C 认证数据条目中定义的主体。
在“应用程序登录”面板上定义这些应用程序登录配置,可通过完成以下步骤访问该面板:
  1. 单击安全性 > 全局安全性
  2. 展开“Java 认证和授权服务”,然后单击应用程序登录

不要移除这些预定义的系统或应用程序登录配置。在这些配置中,可以添加模块类名并指定 WebSphere Application Server 装入每个模块的顺序。

回调处理程序工厂类名

指定 CallbackHandler 类的工厂名。

必须在此字段中实现 com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory 类。

令牌类型 URI

指定名称空间统一资源标识 (URI),它表示接受的安全性令牌类型。

如果接受二进制安全性令牌,此值表示元素中的 ValueType 属性。ValueType 元素识别安全性令牌的类型及其名称空间。如果接受了可扩展标记语言 (XML) 令牌,那么该值表示 XML 令牌的顶层元素名称。

如果先前在“认证方法”字段中指定了保留字,将忽略此字段。

信息
数据类型: 除非 ASCII 字符之外的 Unicode 字符,但包含编号符号 (#)、百分号 (%) 和方括号 ([ ])。

令牌类型局部名

指定安全性令牌类型的局部名,例如 X509v3。

如果接受二进制安全性令牌,此值表示元素中的 ValueType 属性。ValueType 属性标识安全性令牌及其名称空间的类型。如果接受了可扩展标记语言 (XML) 令牌,那么该值表示 XML 令牌的顶层元素名称。

如果先前在“认证方法”字段中指定了保留字,将忽略此字段。

现时标志最大时限

指定现时标志时间戳记到期前的时间(以秒计)。现时标志是随机生成的值。

您必须为“现时标志最大时限”字段指定不小于 300 秒的值。但是,最大值不能超过在单元级别或者服务器级别的“现时标志高速缓存超时”字段中指定的秒数。

可通过完成以下步骤指定单元级别的“现时标志最大时限”值:
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
可通过完成以下步骤指定服务器级别的“现时标志最大时限”值:
  1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
  2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境 混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Services Security 的缺省绑定mixv
要点: 此面板上的“现时标志最大时限”字段是可选的,并且仅当指定了 BasicAuth 认证方法时才有效。如果指定了另一种认证方法并且尝试指定此字段的值,那么将显示以下错误消息:现时标志只受 BasicAuth 认证方法支持,您必须移除指定的值。

如果您指定了 BasicAuth 方法,但未指定“现时标志最大时限”字段的值,那么 Web Service 安全性运行时搜索服务器级别上的“现时标志最大时限”值。如果未找到服务器级别的值,那么运行时搜索单元级别。如果未找到服务器级别或单元级别的值,那么缺省值是 300 秒。

信息
缺省 300 秒
范围 300 到“现时标志高速缓存超时”秒数

现时标志时钟偏差

指定当 WebSphere Application Server 检查消息的及时性时要考虑的时钟偏差值(以秒计)。现时标志是随机生成的值。

可通过完成以下步骤指定单元级别的“现时标志时钟偏差”值:
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
可通过完成以下步骤指定服务器级别的现时标志时钟偏差值:
  1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
  2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境 混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Services Security 的缺省绑定mixv

您必须为“现时标志时钟偏差”字段指定不小于 0 秒的值。但是,最大值不能超过在此“登录映射”面板上的“现时标志最大时限”字段中指定的秒数。

要点: 此面板上的“现时标志时钟偏差”字段是可选的,并且仅当指定了 BasicAuth 认证方法时才有效。如果指定了另一种认证方法并且尝试指定此字段的值,那么将显示以下错误消息:现时标志只受 BasicAuth 认证方法支持,您必须移除指定的值。
注: 如果指定了 BasicAuth,但未指定“现时标志时钟偏差”字段的值,那么 WebSphere Application Server 搜索服务器级别上的“现时标志时钟偏差”值。如果未找到服务器级别的值,那么运行时搜索单元级别。如果未找到服务器级别或单元级别的值,那么缺省值是 0 秒。
信息
缺省 0 秒
范围 0 到“现时标志最大时限”秒数

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_logmapn
文件名:uwbs_logmapn.html