Verwenden Sie diese Seite, wenn Sie eine Liste von Systemanmeldekonfigurationen für den JAAS (Java Authentication and Authorization Service) angeben möchten.
Verarbeitet Anmeldeanforderungen, wenn Integrated Cryptographic Services Facility (ICSF) als Authentifizierungsverfahren verwendet wird.
Verarbeitet ankommende Anmeldeanforderungen für RMI-Webanwendungen (Remote Method Invocation) und die meisten anderen Anmeldeprotokolle.
Diese drei Anmeldekonfigurationen übergeben die folgenden Callback-Informationen, die von den Anmeldemodulen in diesen Konfigurationen bearbeitet werden. Diese Callbacks werden nicht zur gleichen Zeit übergeben. Die Kombination der Callbacks bestimmt jedoch, wie der Anwendungsserver den Benutzer authentifiziert.
callbacks[0] = new javax.security.auth.callback.NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential Token: ");
callbacks[3] = new com.ibm.wsspi.security.auth.callback.WSTokenHolderCallback("Authz Token List: ");
In Systemanmeldekonfigurationen authentifiziert der Anwendungsserver den Benutzer basierend auf den Informationen, die von den Callbacks erfasst wurden. Ein angepasstes Anmeldemodul muss jedoch nicht auf diese Callbacks einwirken. Nachfolgend sind die typischen Kombinationen dieser Callbacks aufgelistet und erläutert:
Diesen Callback gibt es bei der CSIV2-Zusicherung der Identität, der Web- und CSIV2-Anmeldung mit X509-Zertifikaten, der althergebrachten Anmeldung mit TAI usw. Bei Web- und CSIV2-Anmeldungen mit X509-Zertifikat ordnet der Anwendungsserver das Zertifikat einem Benutzernamen zu. Dieser Callback wird von allen Anmeldetypen verwendet, bei denen die Anerkennung nur anhand des Benutzernamens erfolgt.
Diese Callback-Kombination ist typisch für Anmeldungen mit Basisauthentifizierung. Für die meisten Benutzerauthentifizierungen werden diese beiden Callbacks verwendet.
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validateLTPAToken(byte[])
Verwenden Sie nach dem Abrufen der eindeutigen ID die folgende Methode, um den Benutzernamen anzufordern:com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID(uniqueID)
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validateLTPAToken(byte[])
Dieser Aufruf kann nur funktionieren, wenn der empfangende Server dieselben LTPA-Schlüssel wie der sendende Server hat. Wenn dieses LTPA-Token vorhanden ist und nicht ausgewertet wird, besteht ein Sicherheitsrisiko.callbacks[0] = new javax.security.auth.callback.NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential Token: ");
Werden die Attribute von einem reinen Client zum Subjekt hinzugefügt, authentifizieren die Callbacks NameCallback und PasswordCallback die Informationen. Die im Tokenhalter serialisierten Objekte werden dann zum authentifizierten Subjekt hinzugefügt.
Ein angepasstes Anmeldemodul muss die angepasste Serialisierung verarbeiten. Weitere Informationen hierzu finden Sie im Abschnitt "Weitergabe von Sicherheitsattributen" im Information Center.
callbacks[4] = new com.ibm.websphere.security.auth.callback.WSServletRequestCallback("HttpServletRequest: ");
callbacks[5] = new com.ibm.websphere.security.auth.callback.WSServletResponseCallback("HttpServletResponse: ");
callbacks[6] = new com.ibm.websphere.security.auth.callback.WSAppContextCallback("ApplicationContextCallback: ");
callbacks[7] = new WSRealmNameCallbackImpl("Realm Name: ", <default_realm>);
callbacks[8] = new WSX509CertificateChainCallback("X509Certificate[]: ");
Wenn das Objekt java.util.Hashtable vorhanden ist, ordnet das Anmeldemodul die Objektattribute einem gültigen Subjekt zu. Wenn der WSTokenHolderCallback vorliegt, entserialisiert das Anmeldemodul die Bytetokenobjekte und generiert erneut den serialisierten Subjektinhalt. Die java.util.Hashtable hat Vorrang vor allen anderen Formen der Anmeldung. Achten Sie darauf, dass Sie die zuvor vom Anwendungsserver weitergegebenen Attribute nicht duplizieren oder überschreiben.
Wenn Sie eine java.util.Hashtable angeben, die Vorrang vor anderen Authentifizierungsinformationen haben soll, muss das angepasste Anmeldemodul das LTPA-Token (sofern vorhanden) bereits ausgewertet haben, um eine ausreichende Vertrauensstellung zu gewährleisten. Das angepasste Anmeldemodul kann das im WSCredTokenCallback vorhandene LTPA-Token mit der Methode com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validationLTPAToken(byte[]) auswerten. Wird das LTPA-Token nicht ausgewertet, entsteht ein Sicherheitsrisiko.
Nähere Informationen zum Hinzufügen einer Hash-Tabelle mit anerkannten und korrekt formatierten Attributen, die der Anwendungsserver als Anmeldedaten verwendet, finden Sie im Artikel "Identitätsabgleich für eingehende Anforderungen konfigurieren" im Information Center.
Verarbeitet RMI-Anforderungen, die an einen anderen Server gesendet werden, wenn die Eigenschaft "com.ibm.CSI.rmiOutboundLoginEnabled" oder "com.ibm.CSIOutboundPropagationEnabled" auf "true" gesetzt ist.
Diese Anmeldekonfiguration bestimmt die Sicherheitsfunktionen des Zielservers und seiner Sicherheitsdomäne. Wenn beispielsweise Application Server Version 5.1.1 oder höher (oder 5.1.0.2 for z/OS) mit Application Server der Version 5.x kommuniziert, sendet nur der Application Server Version 5.1.1 die Authentifizierungsinformationen mit einem LTPA-Token an den Application Server der Version 5.x. Wenn WebSphere Application Server ab Version 5.1.1 jedoch mit einem Application Server der Version 5.1.x kommuniziert, werden die Authentifizierungs- und Berechtigungsinformationen an den empfangenden Anwendungsserver gesendet, sofern die Weitergabe sowohl auf dem sendenden als auch dem empfangenden Server aktiviert ist. Sendet der Anwendungsserver die Authentifizierungs- und Berechtigungsinformationen an einen untergeordneten Server, muss kein erneuter Zugriff auf die Benutzer-Registry erfolgen, um für die Autorisierung die Sicherheitsattribute des Benutzers zu suchen. Außerdem sollten im Subjekt auf dem untergeordneten Server alle angepassten, vom sendenden Server hinzugefügten Objekte vorliegen.
Für die Anmeldekonfiguration RMI_OUTBOUND ist der folgende Callback verfügbar. Sie können das von diesem Callback zurückgegebene Objekt com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy verwenden, um die Sicherheitsrichtlinie für diese spezielle abgehende Anforderung abzufragen. Anhand dieser Abfrage kann festgestellt werden, ob der Ziel-Realm vom aktuellen Realm abweicht und vom Anwendungsserver zugeordnet werden muss. Weitere Informationen hierzu finden Sie Information Center in dem Artikel, der sich mit der Konfiguration der Zuordnung abgehender Anforderungen zu einem anderen Ziel-Realm befasst.
Stellt protokollspezifische Richtlinieninformationen für die Anmeldemodule für diesen abgehenden Aufruf bereit. Mit Hilfe dieser Informationen wird die Sicherheitsstufe einschließlich des Ziel-Realm, der Sicherheitsvoraussetzungen des Ziels und gemeinsamer Sicherheitsvoraussetzungen bestimmt.
csiv2PerformPolicy = (CSIv2PerformPolicy)
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();
Ein anderes Protokoll (mit Ausnahme von RMI) kann ein Richtlinienobjekt eines anderen Typs haben.
Vor diesem Anmeldemodul können Sie ein angepasstes Anmeldemodul für die Zuordnung der Berechtigungsnachweise verwenden. Das Anmeldemodul sollte jedoch den Inhalt des während der Anmeldephase übergebenen Subjekts ändern. Ist dies der Fall, wirken sich die nach diesem Anmeldemodul verarbeiteten Anmeldemodule auf den neuen Subjektinhalt aus.
Weitere Informationen hierzu finden Sie Information Center in dem Artikel, der sich mit der Konfiguration der Zuordnung abgehender Anforderungen zu einem anderen Ziel-Realm befasst.
Verarbeitet Anmeldeanforderungen in einer Einzelserverumgebung wenn als Authentifizierungsverfahren SWAM (Simple WebSphere Authentication Mechanism) verwendet wird.
Mit dieser Anmeldekonfiguration können Sie eine ID in einer LDAP-Benutzer-Registry einer SAF-Benutzer-ID (System Authorization Facility) zuordnen.
Verarbeitet Anforderungen der Anmeldekonfiguration nach Web-Service-Sicherheit mit Zusicherung der Identität.
Diese Anmeldekonfiguration ist für Systeme mit Version 5.x bestimmt. Weitere Informationen hierzu finden Sie im Artikel zur Authentifizierungsmethode IDAssertion (Zusicherung der Identität) im Information Center.
Diese Konfiguration überprüft X.509-Zertifikate anhand von Zertifikatwiderruflisten in einem PKCS7-Objekt (Public Key Cryptography Standards #7).
Diese Anmeldekonfiguration ist für Systeme mit Version 6.0.x bestimmt.
Diese Konfiguration überprüft ein X.509-Zertifikat mit einem PKI-Pfad (Public Key Infrastructure).
Diese Anmeldekonfiguration ist für Systeme mit Version 6.0.x bestimmt.
Verarbeitet Anforderungen der Anmeldekonfiguration nach Web-Service-Sicherheit mit Validierung digitaler Signaturen.
Diese Anmeldekonfiguration ist für Systeme mit Version 5.x bestimmt.
Diese Konfiguration überprüft die Basisauthentifizierung (Benutzername und Kennwort).
Diese Anmeldekonfiguration ist für Systeme mit Version 6.0.x bestimmt.
Diese Konfiguration überprüft X.509 Binary Security Token (BST, binäres Sicherheitstoken), indem sie die Gültigkeit des Zertifikats und des Zertifikatpfads prüft.
Diese Anmeldekonfiguration ist für Systeme mit Version 6.0.x bestimmt.
Verarbeitet Anmeldeanforderungen für Komponenten im Webcontainer, wie z. B. Servlets und JSP-Dateien (JavaServer Pages).
In der LTPA-Anmeldekonfiguration ist das Anmeldemodul com.ibm.ws.security.web.AuthenLoginModule vordefiniert. Vor und nach diesem Modul in der Anmeldekonfiguration LTPA_WEB können Sie angepasste Anmeldemodule hinzufügen.
Die Anmeldekonfiguration LTPA_WEB kann das Objekt HttpServletRequestm das Objekt HttpServletResponse und den Namen der Webanwendung verarbeiten. Diese werden von einem Callback-Handler übergeben. Nähere Informationen finden Sie im Artikel "Beispiel: Serverseitige JAAS-Authentifizierungs- und -Anmeldekonfiguration anpassen" im Information Center.
Verarbeitet Anmeldeanforderungen, die nicht von der Anmeldeanforderung LTPA_WEB bearbeitet werden.
Diese Anmeldekonfiguration wird bis WebSphere Application Server Version 5.1 verwendet.
In der LTPA-Anmeldekonfiguration ist das Anmeldemodul "com.ibm.ws.security.server.lm.ltpaLoginModule" vordefiniert. Vor und nach diesem Modul in der LTPA-Anmeldekonfiguration können Sie angepasste Anmeldemodule hinzufügen. Nähere Informationen finden Sie im Artikel "Beispiel: Serverseitige JAAS-Authentifizierungs- und -Anmeldekonfiguration anpassen" im Information Center.
Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.