配置服务器或单元级别的令牌使用者

如果未定义应用程序级别的安全性令牌,则服务器或单元级别上的令牌使用者用于指定处理安全性令牌所需的信息。WebSphere® Application Server 为绑定提供了缺省值。您必须修改生产环境的缺省值。

完成以下步骤在服务器级别上配置令牌使用者。

  1. 访问服务器级别的缺省绑定。
    1. 单击服务器 > 应用程序服务器 > server_name
    2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  2. 在“缺省使用者绑定”下,单击令牌使用者
  3. 单击新建以创建令牌使用者配置,单击删除以删除现有配置,或者单击现有令牌使用者配置的名称以编辑其设置。 如果您正在创建新配置,则在“令牌使用者名称”字段中输入令牌使用者配置的唯一名称。例如,您可以指定 sig_cgen。此字段指定令牌使用者元素的名称。
  4. 在“令牌使用者类名”字段中指定类名。 该令牌使用者类必须实现 com.ibm.wsspi.wssecurity.token.TokenConsumerComponent 接口。令牌使用者类名必须类似于令牌生成者类名。
    例如,如果您的应用程序需要 X.509 证书令牌使用者,则可以在令牌生成者面板上指定 com.ibm.wsspi.wssecurity.token.X509TokenGenerator 类名,并在此字段中指定 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 类名。WebSphere Application Server 提供了下列缺省令牌使用者类实现:
    com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer
    此实现集成用户名令牌。
    com.ibm.wsspi.wssecurity.token.X509TokenConsumer
    此实现集成 X.509 证书令牌。
    com.ibm.wsspi.wssecurity.token.LTPATokenConsumer
    此实现集成轻量级第三方认证(LTPA)令牌。
    com.ibm.wsspi.wssecurity.token.IDAssertionUsernameTokenConsumer
    此实现集成 IDAssertionUsername 令牌。

    此实现不存在相应的令牌生成者类。

  5. 选择证书路径选项。 证书路径指定证书撤销列表(CRL),用于生成采用 PKCS#7 格式与 CRL 合并在一起的安全性令牌。WebSphere Application Server 提供了下列证书路径选项:
    如果选择此选项,则不指定证书路径。
    信任全部
    如果选择此选项,则信任全部证书。使用接收到的令牌时,将不处理证书路径验证。
    专用签名信息
    如果选择此选项,则可以指定信任锚和证书库。选择信任锚或可信证书的证书库时,必须在设置证书路径前配置集合证书库。要在服务器或单元级别上定义集合证书库,请参阅对服务器级别绑定或单元级别绑定配置集合证书库
    1. 在“信任锚”字段中选择信任锚。 WebSphere Application Server 提供了两个样本信任锚。但是,建议您为生产环境配置自己的信任锚。有关配置信任锚的信息,请参阅配置服务器或单元级别的信任锚
    2. 在“证书库”字段中选择集合证书库。 WebSphere Application Server 提供了样本集合证书库。如果选择,则未指定集合证书库。有关指定包含等待验证的不可信的中间证书文件的证书库列表的信息,请参阅在服务器或单元级别上配置可信标识鉴别程序
  6. 从“可信标识鉴别程序引用”字段中选择可信标识。 此字段指定对可信标识鉴别程序面板中定义的可信标识鉴别程序类名的引用。该可信标识鉴别程序用于评估接收的标识是否可信。如果选择,则此令牌使用者配置未引用可信标识鉴别程序。要配置可信标识鉴别程序,请参阅在服务器或单元级别上配置可信标识鉴别程序
  7. 如果生成者端上的用户名令牌包含现时标志,则选择验证现时标志 现时标志是唯一加密数字,它嵌入在消息中以帮助停止用户名令牌的重复未授权攻击。如果您为令牌使用者指定用户名令牌并且将现时标志添加到生成者端上的用户名令牌,则可使用验证现时标志选项。
  8. 如果生成者端上的用户名令牌包含时间戳记,则选择验证时间戳记 如果您为令牌使用者指定用户名令牌并且将时间戳记添加到生成者端上的用户名令牌,则可使用验证时间戳记选项。
  9. 指定集成令牌的值类型局部名。 此条目为密钥标识引用的安全性令牌指定值类型的局部名。当您将密钥标识选为密钥信息类型时,此属性是有效的。要指定密钥信息类型,请参阅配置服务器或单元级别的使用者绑定的密钥信息。对于用户名令牌和 X.509 证书安全性令牌,WebSphere Application Server 提供了预定义值类型局部名。输入以下某个用户名令牌和 X.509 证书安全性令牌的局部名。指定以下局部名时,不需要指定值类型的 URI。
    用户名令牌
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    X.509 证书令牌
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath 格式的 X.509 证书
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7 格式的 X.509 证书和 CRL 的列表
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    注: 要指定轻量级第三方认证(LTPA),必须同时指定值类型局部名和统一资源标识(URI)。对于局部名指定 LTPA,对于 URI 指定 http://www.ibm.com/websphere/appserver/tokentype/5.0.2
    例如,当指定 X.509 证书令牌时,您可将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 用于局部名。指定另一个令牌的局部名时,必须指定值类型 Qname。例如:uri=http://www.ibm.com/custom,localName=CustomToken
  10. 在 URI 字段中指定值类型统一资源标识(URI)。 此条目为密钥标识引用的安全性令牌指定值类型的名称空间 URI。在缺省生成者的密钥信息面板上将密钥标识选为密钥信息类型时,此属性是有效的。指定用户名令牌或 X.509 证书安全性令牌的令牌使用者时,不需要指定此选项。如果要指定另一个令牌,则需要为值类型指定 QName 的 URI。
  11. 单击确定,然后单击保存保存配置。 在保存令牌生成者配置之后,可以为令牌使用者指定 Java™ 认证和授权服务(JAAS)配置。
  12. 单击令牌生成者配置的名称。
  13. 在“其他属性”下,单击 JAAS 配置
  14. 从“JAAS 配置名称”字段中选择 JAAS 配置。 该字段为应用程序登录配置指定 JAAS 系统名。您可以通过单击安全性 > 全局安全性指定其他 JAAS 系统和应用程序配置。在“认证”下面,单击 JAAS 配置并单击应用程序登录 > 新建系统登录 > 新建

    不要除去预定义的系统或应用程序登录配置。但是,在这些配置中,可以添加模块类名和指定 WebSphere Application Server 装入每个模块的顺序。WebSphere Application Server 提供了下列预定义的 JAAS 配置:

    ClientContainer
    此选择指定客户机容器应用程序使用的登录配置。该配置使用在部署描述符中为客户机容器定义的 CallbackHandler 应用程序编程接口(API)。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    WSLogin
    此选择指定是否所有应用程序都可以使用 WSLogin 配置来执行安全运行时的认证。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    DefaultPrincipalMapping
    此选项指定一个登录配置,Java 2 连接器(J2C)使用该登录配置来将用户映射至 J2C 认证数据条目中定义的主体。要修改此配置,请参阅应用程序登录的 JAAS 配置面板。
    system.wssecurity.IDAssertion
    此选项使 V5.x 应用程序能够使用标识声明来将用户名映射至 WebSphere Application Server 凭证主体。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.Signature
    此选项使 V5.x 应用程序能够将已签名的证书中的专有名称(DN)映射至 WebSphere Application Server 凭证主体。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.LTPA_WEB
    此选择处理 Web 容器使用的登录请求,例如,servlet 和 JavaServer Pages(JSP)文件。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.WEB_INBOUND
    此选择处理 Web 应用程序的登录请求,包含 servlet 和 JavaServer Pages(JSP)文件。此登录配置由 WebSphere Application Server V5.1.1 使用。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.RMI_INBOUND
    此选择处理入站远程方法调用(RMI)请求的登录。此登录配置由 WebSphere Application Server V5.1.1 使用。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.DEFAULT
    此选择处理内部认证进行的入站登录请求和大多数其他协议的请求,但不含 Web 应用程序和 RMI 请求。此登录配置由 WebSphere Application Server V5.1.1 使用。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.RMI_OUTBOUND
    当 com.ibm.CSI.rmiOutboundLoginEnabled 或 com.ibm.CSIOutboundPropagationEnabled 属性为 true 时,此选择处理发送出站到另一台服务器的 RMI 请求。在 CSIv2 认证面板中设置这些属性。要访问该面板,请单击安全性 > 全局安全性。在“认证”下,单击认证协议 > CSIv2 出站认证。要设置 com.ibm.CSI.rmiOutboundLoginEnabled 属性,选择定制出站映射选项。要设置 com.ibm.CSIOutboundPropagationEnabled 属性,选择安全属性传播选项。要修改此 JAAS 登录配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.X509BST
    此选择通过检查证书和证书路径的有效性验证 X.509 二进制安全性令牌(BST)。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.PKCS7
    此部分验证 PKCS7 对象内的 X.509 证书和证书撤销列表。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.PkiPath
    此部分使用公用密钥基础结构(PKI)路径验证 X.509 证书。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.UsernameToken
    此选择验证基本认证(用户名和密码)数据。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    system.wssecurity.IDAssertionUsernameToken
    此选项使 V6 应用程序能够使用标识声明来将用户名映射至 WebSphere Application Server 凭证主体。要修改此配置,请参阅系统登录的 JAAS 配置面板。
    此选项表示不指定 JAAS 登录配置。
  15. 单击确定,然后单击保存保存配置。
您已配置服务器或单元级别的令牌使用者。
您必须为服务器或单元级别指定类似的令牌生成者配置。
相关任务
在服务器或单元级别上配置可信标识鉴别程序
对服务器级别绑定或单元级别绑定配置集合证书库
配置服务器或单元级别的信任锚

反馈