Utilice esta página para especificar una lista de configuraciones de inicio de sesión del sistema de JAAS (Java Authentication and Authorization Service).
Procesa las solicitudes de inicio de sesión cuando se utiliza ICSF (Integrated Cryptographic Services Facility) como mecanismo de autenticación.
Procesa solicitudes de inicio de sesión de entrada para RMI (invocación de métodos remotos), aplicaciones web y la mayoría de los demás protocolos de inicio de sesión.
Estas tres configuraciones de inicio de sesión se pasarán en la siguiente información de retorno de llamada, que manejan los módulos de inicio de sesión dentro de estas configuraciones. Estos retornos de llamadas no se pasan a la vez. No obstante, la combinación de estos retornos de llamada determina cómo el servidor de aplicaciones autentica el usuario.
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
callbacks[3] = new com.ibm.wsspi.security.auth.callback.
WSTokenHolderCallback("Authz Token List: ");
En configuraciones de inicio de sesión del sistema, el servidor de aplicaciones autentica el usuario basándose en la información recopilada por los retornos de llamada. No obstante, no es necesario que un módulo de inicio de sesión personalizado actúe en ninguno de estos retornos de llamada. En la siguiente lista se explican las combinaciones típicas de estos retornos de llamada:
Este retorno de llamada se produce para la aserción de identidad de CSIv2, inicios de sesión web y de certificados CSIv2 X509, inicios de sesión del interceptor de asociación de confianza antiguos, etc. En un inicio de sesión web y de certificados CSIv2 X509, el servidor de aplicaciones correlaciona el certificado con un nombre de usuario. Este retorno de llamada lo utiliza cualquier tipo de inicio de sesión que establece confianza utilizando únicamente el nombre de usuario.
Esta combinación de retornos de llamada es típica de los inicios de sesión de autenticación básica. La mayor parte de las autenticaciones de usuario se producen utilizando estos dos retornos de llamada.
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
getUserFromUniqueID(uniqueID)
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
Si los atributos se añaden al Asunto desde un cliente puro, los retornos de llamada NameCallback y PasswordCallback autentican la información y los objetos que se serializan en el contenedor de señales se añaden al Asunto autenticado.
Es necesario que los módulos de inicio de sesión personalizados manejen una serialización personalizada. Para obtener más información, consulte "Propagación de atributos de seguridad" en el centro de información.
callbacks[4] = new com.ibm.websphere.security.auth.callback.
WSServletRequestCallback("HttpServletRequest: ");
callbacks[5] = new com.ibm.websphere.security.auth.callback.
WSServletResponseCallback("HttpServletResponse: ");
callbacks[6] = new com.ibm.websphere.security.auth.callback.
WSAppContextCallback("ApplicationContextCallback: ");
callbacks[7] = new WSRealmNameCallbackImpl("Realm Name: ", <reino_predeterminado>);
callbacks[8] = new WSX509CertificateChainCallback("X509Certificate[]: ");
Cuando el objeto java.util.Hashtable existe, el módulo de inicio de sesión se correlaciona con los atributos de objeto en un Asunto válido. Cuando el retorno de llamada WSTokenHolderCallback está presente, el módulo de inicio de sesión deserializa los objetos de señales de byte y vuelve a generar el contenido del sujeto serializado. La tabla de totales de control java.util.Hashtable tiene prioridad sobre todas las demás formas de inicio de sesión. Tenga cuidado y evite duplicar o alterar lo que el servidor de aplicaciones puede haber propagado anteriormente.
Al especificar una tabla de totales de control java.util.Hashtable para que tenga prioridad ante el resto de información de autenticación, el módulo de inicio de sesión personalizado ya debe haber verificado la señal LTPA, si está presente, para establecer la suficiente confianza. El módulo de inicio de sesión personalizado puede utilizar el método com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validationLTPAToken(byte[]) para validar la señal LTPA presente en el retorno de llamada WSCredTokenCallback. La imposibilidad de validar señal LTPA supone un riesgo para la seguridad.
Para obtener más información sobre cómo añadir una tabla de totales de control que contenga atributos bien formados y conocidos, que el servidor de aplicaciones utilice como información de inicio de sesión suficiente, consulte "Configuración de la correlación de identidad de entrada".
Procesa solicitudes RMI (Remote Method Invocation) que se envían de salida a otro servidor cuando la propiedad com.ibm.CSI.rmiOutboundLoginEnabled o la propiedad com.ibm.CSIOutboundPropagationEnabled son verdaderas.
Esta configuración de inicio de sesión determina las prestaciones de seguridad del servidor de destino y su dominio de seguridad. Por ejemplo, si el servidor de aplicaciones Versión 5.1.1 o posterior (o 5.1.0.2 para z/OS) se comunica con WebSphere Application Server Versión 5.x, WebSphere Application Server Versión 5.1.1 sólo envía la información de autenticación, a través de una señal LTPA, a WebSphere Application Server Versión 5.x. Sin embargo, si WebSphere Application Server Versión 5.1.1 o posterior se comunica con WebSphere Application Server Versión 5.1.x, la información de autenticación y autorización se envía al servidor de aplicaciones receptor si la propagación está habilitada en los servidores de envío y recepción. Cuando el servidor de aplicaciones envía la información de autenticación y autorización en sentido descendente, éste elimina la necesidad de volver a acceder al registro de usuarios y buscar los atributos de seguridad del usuario para fines de autorización. Adicionalmente, cualquier objeto personalizado añadido en el servidor emisor está presente en el sujeto del servidor en sentido descendente.
El siguiente retorno de llamada está disponible en la configuración de inicio de sesión RMI_OUTBOUND. Puede utilizar el objeto com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy devuelto por este retorno de llamada para consultar la política de seguridad para esta solicitud de salida concreta. Esta consulta puede ayudar a determinar si el reino de destino es distinto del reino actual y si el servidor de aplicaciones debe correlacionarse con el reino. Para obtener más información, consulte "Configuración de la correlación de salida a un reino de destino distinto" en el centro de información.
Proporciona información de política específica del protocolo para los módulos de inicio de sesión en esta invocación de salida. Esta información se utiliza para determinar el nivel de seguridad, incluido el reino de destino, los requisitos de seguridad del destino y los requisitos de seguridad fusionados.
csiv2PerformPolicy = (CSIv2PerformPolicy)((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();
Un protocolo distinto del RMI puede tener un tipo distinto de objeto de política.
Puede utilizar un módulo de inicio de sesión personalizado antes de este módulo de inicio de sesión antes de realizar la correlación de credenciales. No obstante, se recomienda que el módulo de inicio de sesión cambie el contenido del Asunto que se pasa durante la fase de inicio de sesión. Si se sigue esta recomendación, los módulos de inicio de sesión procesados después de que este módulo de inicio de sesión actúa sobre el nuevo contenido del Asunto.
Para obtener más información, consulte "Configuración de la correlación de salida a un reino de destino distinto" en el centro de información.
Procesa solicitudes de inicio de sesión en un entorno de un solo servidor cuando se utiliza SWAM (Simple WebSphere Authentication Mechanism) como método de autenticación.
Esta configuración de inicio de sesión le permite correlacionar un ID de un registro de usuarios LDAP (Lightweight Directory Access Protocol) con un ID de usuario SAF (System Authorization Facility)
Procesa solicitudes de configuración de inicio de sesión para la seguridad de servicios web utilizando la aserción de identidad.
Esta configuración de inicio de sesión es para los sistemas de la versión 5.x. Para obtener más información, consulte "Método de autenticación de la aserción de identidad" en el centro de información.
Verifica un certificado X.509 con una lista de revocación de certificados de un objeto PKCS7 (Public Key Cryptography Standards #7).
Esta configuración de inicio de sesión es para los sistemas de la versión 6.0.x.
Verifica un certificado X.509 con una vía de acceso PKI (Infraestructura de claves públicas)
Esta configuración de inicio de sesión es para los sistemas de la versión 6.0.x.
Procesa solicitudes de configuración de inicio de sesión para la seguridad de servicios web utilizando la validación de signatura digital.
Esta configuración de inicio de sesión es para los sistemas de la versión 5.x.
Comprueba la autenticación básica (nombre de usuario y contraseña).
Esta configuración de inicio de sesión es para los sistemas de la versión 6.0.x.
Verifica una señal de seguridad binaria (BST) X.509 comprobando la validez del certificado y la vía de acceso del certificado.
Esta configuración de inicio de sesión es para los sistemas de la versión 6.0.x.
Procesa las solicitudes de inicio a los componentes del contenedor web, como servlets y archivos JSP (JavaServer Pages).
El módulo de inicio de sesión com.ibm.ws.security.web.AuthenLoginModule está predefinido en la configuración de inicio de sesión LTPA. Puede añadir módulos de inicio de sesión personalizados antes o después de este módulo en la configuración de inicio de sesión LTPA_WEB.
La configuración de inicio de sesión LTPA_WEB puede procesar el objeto HttpServletRequest, el objeto HttpServletResponse y el nombre de aplicación web que se pasan utilizando un manejador de retorno de llamada. Para obtener más información, consulte "Ejemplo: Personalización de una configuración de inicio de sesión y autenticación JAAS (Java Authentication and Authorization Service) del servidor" en el centro de información.
Procesa solicitudes de inicio de sesión que no maneja la configuración de inicio de sesión LTPA_WEB.
Esta configuración de inicio de sesión la utiliza WebSphere Application Server Versión 5.1 y versiones anteriores.
El módulo de inicio de sesión com.ibm.ws.security.server.lm.ltpaLoginModule está predefinido en la configuración de inicio de sesión LTPA. Puede añadir módulos de inicio de sesión personalizados antes o después de este módulo en la configuración de inicio de sesión LTPA. Para obtener más información, consulte "Ejemplo: Personalización de una configuración de inicio de sesión y autenticación JAAS (Java Authentication and Authorization Service) del servidor" en el centro de información.
Los enlaces marcados (en línea) requieren acceso a Internet.