回调处理程序配置设置

使用此页面来指定如何获取插入在简单对象访问协议(SOAP)消息中的 Web Service 安全性头中的安全性令牌。“令牌获取”是一个可插入的框架,它利用 Java™ 认证和授权服务(JAAS)javax.security.auth.callback.CallbackHandler 接口来获取安全性令牌。
要在服务器级别查看此 WebSphere® Application Server 管理控制台页来了解回调处理程序,请完成下列步骤:
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  3. 在“缺省生成者绑定”下面,单击令牌生成者 > token_generator_name
  4. 在“其他属性”下,单击回调处理程序
要在应用程序级别查看此 WebSphere Application Server 管理控制台页来了解回调处理程序,请完成下列步骤:
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 在“其他属性”下,可以访问以下绑定的回调处理程序信息:
    • 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全绑定。在“请求生成者(发送方)绑定”下,单击编辑定制。在“其他属性”下,单击响应生成者。单击新建以创建新的响应生成者配置,或者单击现有配置的名称以修改其设置。在“其他属性”下,单击回调处理程序
    • 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全绑定。在“响应生成者(发送方)绑定”下,单击编辑定制。在“其他属性”下,单击响应生成者。单击新建以创建新的响应生成者配置,或者单击现有配置的名称以修改其设置。在“其他属性”下,单击回调处理程序
相关参考
令牌生成者集合令牌生成者名称
令牌生成者配置设置令牌生成者名称

回调处理程序类名

指定用于插入安全性令牌框架的回调处理程序实现类的名称。
指定的回调处理程序类必须实现 javax.security.auth.callback.CallbackHandler 类。JAAS javax.security.auth.callback.CallbackHandler 接口的实现必须提供使用以下语法的构造函数:

MyCallbackHandler(String username, char[] password, java.util.Map properties)

其中:
username
指定传递到配置中的用户名。
password
指定传递到配置中的密码。
properties
指定传递到配置中的其他配置属性。
WebSphere Application Server 提供了下列缺省的回调处理程序实现:
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
此回调处理程序使用登录提示收集用户名和密码信息。但是,如果在此面板上指定了用户名和密码,就不会显示提示;并且,如果在此面板上指定了用户名和密码,WebSphere Application Server 会将该用户名和密码返回给令牌生成者。但是,只应该对Java 2 Platform, Enterprise Edition(J2EE)应用程序客户机使用此实现。
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
如果在此面板上指定了用户名和密码,则此回调处理程序不发出提示并返回用户名和密码。当 Web Service 作为客户机时可以使用此回调处理程序。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
此回调处理程序使用标准提示符收集用户名和密码。但是,如果在此面板上指定了用户名和密码,则 WebSphere Application Server 不发出提示,而是将该用户名和密码返回给令牌生成者。但是,只应该对Java 2 Platform, Enterprise Edition(J2EE)应用程序客户机使用此实现。
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
此回调处理程序用于从“运行方式调用主体集”获取轻量级第三方认证(LTPA)安全性令牌。此令牌作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。但是,如果在此面板上指定了用户名和密码,则 WebSphere Application Server 将对该用户名和密码进行认证以获取 LTPA 安全性令牌,而不是从“运行方式主体集”中获取该安全性令牌。仅当 Web Service 作为应用程序服务器上的客户机时使用此回调处理程序。建议您不要在 J2EE Application Client 上使用此回调处理程序。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
此回调处理程序用于创建 X.509 证书,此证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。密钥库和密钥定义对于此回调处理程序来说是必需的。
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
此回调处理程序用于创建以 PKCS#7 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入在 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库。必须在集合证书库中指定证书撤销列表(CRL)。CRL 是用 PKCS#7 格式的 X.509 证书编码的。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
此回调处理程序用于创建以 PkiPath 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入在 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库。此回调处理程序不支持 CRL,因此,不需要或不使用集合证书库。

回调处理程序实现获取必需的安全性令牌并将它传递到响应生成者。令牌生成者将安全性令牌插入在 SOAP 消息的 Web Service 安全性头中。令牌生成者也是可插入安全性令牌框架的插入点。服务提供者可以提供它们自己的实现,但是该实现必须使用 com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 接口。

使用标识声明

如果在 IBM® 扩展部署描述符中定义了标识声明,则选择此选项。

此选项表明仅需要初始发送方的标识,并且此标识将插入 SOAP 消息中的 Web Service 安全性头中。例如,对于用户名令牌生成者,WebSphere Application Server 只发送初始调用者的用户名。对于 X.509 令牌生成者,应用程序服务器仅发送原始签署者证书。

使用运行方式标识

如果在 IBM 扩展部署描述符中定义了标识声明,并且要对下游调用中的标识声明使用运行方式标识而不是初始调用者标识,则选择此选项。

仅当将 Username TokenGenerator 配置为响应生成者时此选项有效。

基本认证用户标识

指定传递给回调处理程序实现的构造函数的用户名。
如果选择了下列某一个由 WebSphere Application Server 提供的缺省回调处理程序实现,则将使用基本认证用户名和密码:
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

在本文的回调处理程序类名字段描述中详细描述了这些实现。

基本认证密码

指定传递给回调处理程序的构造函数的密码。
如果选择了下列某一个由 WebSphere Application Server 提供的缺省回调处理程序实现,则将使用密钥库及其相关配置:
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
该密钥库用于构建具有证书路径的 X.509 证书。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
该密钥库用于构建具有证书路径的 X.509 证书。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
该密钥库用于检索 X.509 证书。

密钥库密码

指定用于访问密钥库文件的密码。

密钥库路径

指定密钥库文件的位置。

请在路径名中使用 ${USER_INSTALL_ROOT},这是因为此变量将展开为机器上的 WebSphere Application Server 路径。要更改由此变量使用的路径,请单击环境 > WebSphere 变量并单击 USER_INSTALL_ROOT

密钥库类型

指定密钥库文件格式的类型
可以为此字段选择以下某个值:
JKS
如果密钥库使用 Java 密钥库(JKS)格式,则使用此选项。
JCEKS
如果在软件开发包(SDK)中配置了 Java 密码术扩展,则使用此选项。在 WebSphere Application Server 中配置了缺省 IBM JCE。此选项通过使用三重 DES 加密为存储的专用密钥提供更强的保护。
PKCS11KS(PKCS11)
如果您的密钥库文件使用 PKCS#11 文件格式,则使用此选项。使用此格式的密钥库文件可能包含加密硬件上的 Rivest Shamir Adleman(RSA)密钥,或者包含使用加密硬件的加密密钥来确保安全。
PKCS12KS(PKCS12)
如果密钥库文件使用 PKCS#12 文件格式,则使用此选项。

反馈