Konfigurationseinstellungen für Callback-Handler

Verwenden Sie diese Seite, um anzugeben, wie das in den Web-Service-Sicherheits-Header der SOAP-Nachricht eingefügte Sicherheitstoken abgerufen wird. Für den Tokenabruf gibt es ein modular aufgebautes Gerüst, das die Schnittstelle javax.security.auth.callback.CallbackHandler des Java Authentication and Authorization Service (JAAS) nutzt, um das Sicherheitstoken abzurufen.

Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole für den Callback-Handler auf Zellenebene anzuzeigen:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf Tokengeneratoren > Name_des_Tokengenerators.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole für den Callback-Handler auf Serverebene anzuzeigen:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer Zelle mit heterogenen Knoten mit einem Server, der WebSphere Application Server Version 6.1 oder früher verwendet, auf Web-Services: Standardbindungen für die Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf Tokengeneratoren > Name_des_Tokengenerators.
  4. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole für den Callback-Handler auf Anwendungsebene anzuzeigen:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-UnternehmensanwendungenAnwendungsname.
  2. Klicken Sie unter "Module" auf Module verwalten > URI-Name.
  3. Unter "Weitere Eigenschaften" können Sie auf die Informationen zum Callback-Handler für die folgenden Bindungen zugreifen:
    • Klicken Sie für die Bindung des Anforderungsgenerators (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Bindung für Anforderungsgenerator (Sender)" auf Angepasste Bindung bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Tokengenerator. Klicken Sie auf Neu, um eine neue Tokengeneratorkonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
    • Klicken Sie für die Bindung des Antwortgenerators (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Bindung für Antwortgenerator (Sender)" auf Angepasste Bindung bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Tokengenerator. Klicken Sie auf Neu, um eine neue Tokengeneratorkonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
Klassenname des Callback-Handler [nur Version 6]

Gibt den Namen der Implementierungsklasse für den Callback-Handler an, mit der ein Framework für Sicherheitstoken implementiert wird.

Die angegebene Callback-Handler-Klasse muss die Klasse javax.security.auth.callback.CallbackHandler implementieren. Die Implementierung der JAAS-Schnittstelle javax.security.auth.callback.CallbackHandler muss mit der folgenden Syntax einen Konstruktor bereitstellen:
MyCallbackHandler(String Benutzername, char[] Kennwort,
    java.util.Map properties)
Für diese Angaben gilt Folgendes:
Benutzername
Gibt den Benutzernamen an, der an die Konfiguration übergeben wird.
Kennwort
Gibt das Kennwort an, das an die Konfiguration übergeben wird.
Eigenschaften
Gibt die übrigen Konfigurationseigenschaften an, die an die Konfiguration übergeben werden.
Der Anwendungsserver stellt die folgenden Standardimplementierungen für Callback-Handler bereit:
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler [nur Version 6]
Dieser Callback-Handler fordert den Benutzernamen und das Kennwort in einem Anmeldedialog an. Wenn Sie in dieser Anzeige den Benutzernamen und das Kennwort angeben, wird jedoch keine Eingabeaufforderung angezeigt. Der Anwendungsserver gibt den in dieser Anzeige angegebenen Benutzernamen und das Kennwort an den Tokengenerator zurück. Verwenden Sie diese Implementierung nur für einen Java-EE-Anwendungsclient (Java Platform, Enterprise Edition).
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler [nur Version 6]
Dieser Callback-Handler setzt keine Eingabeaufforderung ab und gibt den in dieser Anzeige angegebenen Benutzernamen und das Kennwort zurück. Diesen Callback-Handler können Sie verwenden, wenn der Web Service die Rolle eines Clients hat.
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [nur Version 6]
Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind, setzt der Anwendungsserver jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator zurück. Verwenden Sie diese Implementierung nur für einen Java-EE-Anwendungsclient (Java Platform, Enterprise Edition).
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [nur Version 6]
Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind, setzt der Anwendungsserver jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator zurück. Verwenden Sie diese Implementierung nur für einen Java-EE-Anwendungsclient (Java Platform, Enterprise Edition).
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler [nur Version 6]
Mit diesem Callback-Handler können Sie das LTPA-Sicherheitstoken (Lightweight Third Party Authentication) aus dem Subjekt des RunAs-Aufrufs anfordern. Dieses Token wird als binäres Sicherheitstoken in den Web-Service-Sicherheits-Header einer SOAP-Nachricht eingefügt. Wenn der Benutzername und das Kennwort jedoch in dieser Anzeige angegeben sind, authentifiziert der Anwendungsserver diese beiden Angaben, um das LTPA-Sicherheitstoken anzufordern, anstatt es vom RunAs-Subjekt abzurufen. Verwenden Sie diesen Callback-Handler nur, wenn der Web-Service für den Anwendungsserver als Client fungiert. Sie sollten diesen Callback-Handler nicht für einen Java-EE-Anwendungsclient verwenden.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler [nur Version 6]
Mit diesem Callback-Handler können Sie das X.509-Zertifikat erstellen, das als binäres Sicherheitstoken in den Web-Service-Sicherheits-Header einer SOAP-Nachricht eingefügt wird. Für diesen Callback-Handler sind ein Keystore und eine Schlüsseldefinition erforderlich.
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler [nur Version 6]
Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PKCS#7 codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Web-Service-Sicherheits-Header einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Sie müssen im Zertifikatssammelspeicher eine Liste der entzogenen Zertifikate (CRL, Certificate Revocation List) angeben. Die CRL wird mit dem X.509-Zertifikat im Format PKCS#7 codiert.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler [nur Version 6]
Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PkiPath codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Web-Service-Sicherheits-Header einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Der Callback-Handler unterstützt keine CRL. Deshalb wird auch kein Zertifikatssammelspeicher benötigt oder verwendet.

Die Callback-Handler-Implementierung ruft das erforderliche Sicherheitstoken ab und übergibt es an den Tokengenerator. Der Tokengenerator fügt das Sicherheitstoken in den Web-Service-Sicherheits-Header einer SOAP-Nachricht ein. Der Tokengenerator ist gleichzeitig der Plug-in-Punkt für das modular aufgebaute Framework für Sicherheitstoken. Serviceprovider können ihre eigene Implementierung bereitstellen. Diese muss jedoch das die Schnittstelle "com.ibm.websphere.wssecurity.wssapi.token.SecurityToken" verwenden. Die Implementierung des JAAS-Anmeldemoduls (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen bzw. das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).

Zusicherung der Identität verwenden [nur Version 6]

Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben.

Diese Option gibt an, dass nur die Identität des ursprünglichen Senders erforderlich ist und in den Web-Service-Sicherheits-Header einer SOAP-Nachricht eingefügt wird. Bei einem Username-Tokengenerator sendet der Anwendungsserver beispielsweise nur den Benutzernamen des ursprünglichen Aufrufers. Bei einem X.509-Tokengenerator sendet der Anwendungsserver nur das Originalausstellerzertifikat.

RunAs-ID verwenden [nur Version 6]

Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben und für die Zusicherung der Identität bei einem untergeordneten Aufruf an Stelle der ID des ursprünglich Aufrufenden die RunAs-ID verwenden möchten.

Diese Option ist nur gültig, wenn Sie den Username-Tokengenerator als Tokengenerator konfiguriert haben.

Benutzer-ID für Basisauthentifizierung [nur Version 6]

Gibt den Benutzernamen an, der an die Konstruktoren der Callback-Handler-Implementierung übergeben wird.

Der Benutzername und das Kennwort für die Basisauthentifizierung werden verwendet, wenn Sie eine der folgenden von diesem Produkt bereitgestellten Standard-Callback-Handler-Implementierungen auswählen:
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

Diese Implementierungen sind ausführlich im Abschnitt Klassenname des Callback-Handler weiter oben in diesem Artikel beschrieben.

Kennwort für Basisauthentifizierung [nur Version 6]

Gibt das Kennwort an, das an die Konstruktoren des Callback-Handler übergeben wird.

Der Keystore und die zugehörige Konfiguration werden verwendet, wenn Sie eine der folgenden von diesem Produkt bereitgestellten Standard-Callback-Handler-Implementierungen auswählen:
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatpfad zu erstellen.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatpfad zu erstellen.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
Der Keystore wird verwendet, um das X.509-Zertifikat abzurufen.
Name der Keystore-Konfiguration [nur Version 6]

Gibt den Namen der Keystore-Konfiguration an, die in den Keystore-Einstellungen für sichere Kommunikation definiert ist.

Kennwort für Keystore [nur Version 6]

Gibt das Kennwort für den Zugriff auf die Keystore-Datei an.

Keystore-Pfad [nur Version 6]

Gibt die Position der Keystore-Datei an.

Verwenden Sie im Pfadnamen ${USER_INSTALL_ROOT}. Diese Variable wird durch den Produktpfad auf Ihrer Maschine ersetzt. Wenn Sie den von dieser Variablen angegebenen Pfad ändern möchten, klicken Sie auf Umgebung > WebSphere-Variablen. Klicken Sie dann auf USER_INSTALL_ROOT.

Keystore-Typ [nur Version 6]

Gibt den Typ des Keystore-Dateiformats an.

Für dieses Feld können Sie einen der folgenden Werte auswählen:
JKS
Geben Sie diese Option an, wenn für den Keystore das JKS-Format (Java Keystore) verwendet wird.
JCEKS
Verwenden Sie diese Option, wenn die Java Cryptography Extension im SDK (Software Development Kit) konfiguriert ist. Die Standard-JCE von IBM ist im Anwendungsserver konfiguriert. Diese Option bietet mit der 3DES-Verschlüsselung einen stärkeren Schutz für gespeicherte private Schlüssel.
JCERACFKS [z/OS]
Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
PKCS11KS (PKCS11)
Verwenden Sie diese Option, wenn Ihre Keystore-Dateien das PKCS#11-Dateiformat verwenden. Keystore-Dateien, die dieses Format verwenden, können RSA-Schlüssel (Rivest Shamir Adleman) auf der Verschlüsselungshardware enthalten oder Schlüssel chiffrieren, die für die Gewährleistung des Zugriffsschutzes Schlüssel chiffrieren.
PKCS12KS (PKCS12)
Verwenden Sie diese Option, wenn Ihre Keystore-Dateien das PKCS#12-Dateiformat verwenden.



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Tokengeneratoren
Konfigurationseinstellungen für Tokengenerator


Dateiname: uwbs_callback.html