配置到不同目标域的出站标识映射
缺省情况下,当 WebSphere® Application Server 从一个服务器向另一安全领域中的另一个服务器发出出站请求时,该请求将被拒绝。本主题详细描述使一个服务器能够向另一域中的目标服务器发送出站请求的备用方法。
关于此任务
过程
- 不要执行映射。而是,允许现有安全信息流到可信目标服务器,即使目标服务器在另一个域中亦如此。 在管理控制台中完成下列步骤:
- 单击安全性 > 全局安全性。
- 在“RMI/IIOP 安全性”下,单击 CSIv2 出站认证。
- 在可信目标域字段中指定目标域。您可指定每个可信目标域,以竖线字符 (|) 分隔。 例如,指定 server_name.domain:port_number 作为轻量级目录访问协议 (LDAP) 服务器或本地操作系统的机器名。如果您要将安全性属性传播到不同的目标域,您必须在可信目标域字段中指定目标域。
- 使用 Java™ 认证和授权服务 (JAAS) WSLogin 应用程序登录配置创建基本认证主体集,其包含新目标域的凭证。 此配置允许您使用特定于目标域的用户注册表的域、用户标识和密码登录。可从发出出站请求的 Java Platform, Enterprise Edition (Java EE) 应用程序或 RMI_OUTBOUND 系统登录配置中提供登录信息。这两个登录选项在下列信息中有所描述:
- 从 Java EE 应用程序中使用 WSLogin 应用程序登录配置进行登录,并获取包含目标域用户标识和密码的主体集。 应用程序可使用 WSSubject.doAs 调用来包装远程调用。要获得示例,请参阅示例:使用 WSLogin 配置创建基本认证主体集。
- 使用示例:使用 WSLogin 配置创建基本认证主体集中 RMI_OUTBOUND 登录配置内从此插件点开始的代码样本。 当启用此登录配置时,每个出站远程方法调用 (RMI) 请求通过它传递。完成以下步骤,以启用和插入此登录配置:
- 单击安全性 > 全局安全性。
- 在“RMI/IIOP 安全性”下,单击 CSIv2 出站认证。
- 选择定制出站映射选项。如果选择安全性属性传播选项,那么 WebSphere Application Server 已使用此登录配置,而且您无须启用定制出站映射。
- 编写定制登录模块。有关更多信息,请参阅针对 JAAS 开发用于系统登录配置的定制登录模块。
示例:RMI_OUTBOUND 的样本登录配置显示了确定域名是否匹配的定制登录模块。在本示例中,域名不匹配,所以使用了 WSLoginmodule 来根据定制映射规则创建基本认证主体集。定制映射规则特定于客户环境,而且必须使用域到用户标识和密码映射实用程序实现。
- 配置 RMI_OUTBOUND 登录配置,以便新的定制登录模块出现在列表的第一位。
- 单击安全性 > 全局安全性。
- 在“Java 认证和授权服务”下面,单击系统登录 > RMI_OUTBOUND。
- 在“其他属性”下,单击 JAAS 登录模块 > 新建,以便将登录模块添加到 RMI_OUTBOUND 配置。
- 返回 RMI_OUTBOUND 的“JAAS 登录模块”面板。
- 单击设置顺序以更改装入登录模块的顺序,以便首先装入定制登录。
- 将 use_realm_callback 和 use_appcontext_callback 选项添加到 WSLogin 的出站映射模块。 要添加这些选项,完成以下步骤:
- 单击安全性 > 全局安全性。
- 在“Java 认证和授权服务”下面,单击应用程序登录 > WSLogin。
- 在“其他属性”下,单击 JAAS 登录模块 > com.ibm.ws.security.common.auth.module.WSLoginModuleImpl。
- 在“其他属性”下面,单击定制属性 > 新建。
- 在“定制属性”面板上,在名称字段中输入 use_realm_callback,在值字段中输入 true。
- 单击确定。
- 单击新建以输入第二个定制属性。
- 在“定制属性”面板上,在名称字段中输入 use_appcontext_callback,在值字段中输入 true。
<entries xmi:id="JAASConfigurationEntry_2" alias="WSLogin"> <loginModules xmi:id="JAASLoginModule_2" moduleClassName="com.ibm.ws.security.common.auth.module.proxy.WSLoginModuleProxy" authenticationStrategy="REQUIRED"> <options xmi:id="Property_2" name="delegate" value="com.ibm.ws.security.common.auth.module.WSLoginModuleImpl"/> <options xmi:id="Property_3" name="use_realm_callback" value="true"/> <options xmi:id="Property_4" name="use_appcontext_callback" value="true"/> </loginModules> </entries>
子主题
示例:使用 WSLogin 配置创建基本认证主体集
此示例显示了如何使用来自 Java 2 Platform, Enterprise Edition (J2EE) 应用程序中的 WSLogin 应用程序登录配置来登录并获取包含目标域用户标识及密码的主体集。示例:RMI_OUTBOUND 的样本登录配置
此示例显示 RMI_OUTBOUND 的样本登录配置,它确定领域名是否在两个服务器之间匹配。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_outbdiffrealm
文件名:tsec_outbdiffrealm.html