Konfigurationseinstellungen für die Anmeldezuordnung

Verwenden Sie diese Seite, um die Einstellungen für die JAAS-Anmeldekonfiguration (Java Authentication and Authorization Service) anzugeben, die zum Validieren der Sicherheitstoken in eingehenden Nachrichten verwendet werden soll.

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Führen Sie zum Anzeigen dieser Seite der Administrationskonsole für die Zellenebene die folgenden Schritte aus:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "Weitere Eigenschaften" auf Anmeldezuordnungen.
  3. Klicken Sie auf Neu, um eine neue Anmeldezuordnungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration.
Führen Sie zum Anzeigen dieser Seite der Administrationskonsole für die Serverebene die folgenden Schritte aus:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer Zelle mit heterogenen Knoten mit einem Server, der WebSphere Application Server Version 6.1 oder früher verwendet, auf Web-Services: Standardbindungen für die Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "Weitere Eigenschaften" auf Anmeldezuordnungen.
  4. Klicken Sie auf Neu, um eine neue Anmeldezuordnungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration.
Führen Sie zum Anzeigen dieser Seite der Administrationskonsole für die Anwendungsebene die folgenden Schritte aus:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-UnternehmensanwendungenAnwendungsname.
  2. Klicken Sie unter "Module" auf Module verwalten > URI-Name.
  3. Klicken Sie unter "Eigenschaften der Web-Service-Sicherheit" auf Web-Services: Serversicherheitsbindungen.
  4. Klicken Sie unter "Bindung für Anforderungsempfänger" auf Bearbeiten.
  5. Klicken Sie auf Anmeldezuordnungen.
  6. Klicken Sie auf Neu, um eine neue Anmeldezuordnungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration.
Wichtig: Wenn die Anmeldezuordnungskonfiguration auf Anwendungsebene nicht gefunden wird, sucht die Web-Service-Laufzeit die Anmeldezuordnungskonfiguration auf Serverebene. Wenn die Konfiguration auf Serverebene nicht gefunden wird, durchsucht die Web-Service-Laufzeitumgebung die Zelle.
Authentifizierungsmethode [nur Version 5]

Die Methode für die Authentifizierung.

Sie können jede Zeichenfolge verwenden, aber die Zeichenfolge muss dem Element in der Konfiguration auf Serviceebene entsprechen. Die folgenden Wörter sind reserviert und haben Sonderbedeutungen:
BasicAuth
Es wird ein Benutzername und ein Kennwort verwendet.
IDAssertion
Es wird nur ein Benutzername verwendet, aber beim Empfangsserver muss durch einen TrustedIDevaluator eine zusätzliche Vertrauensebene eingerichtet werden.
Signature
Es wird der definierte Name (DN, Distinguished Name) des Unterzeichners verwendet.
LTPA
Validiert ein Token.
Name der JAAS-Konfiguration [nur Version 5]

Der Name der JAAS-Konfiguration (Java Authentication and Authorization Service).

Sie können eine Auswahl aus den folgenden vordefinierten Systemanmeldekonfigurationen treffen:
system.wssecurity.IDAssertion
Bei Auswahl dieser Konfiguration können Anwendungen der Version 5.x die Zusicherung der Identität (IDAssertion) verwenden, um einen Benutzernamen dem Principal eines Berechtigungsnachweises von WebSphere Application Server zuzuordnen.
system.wssecurity.Signature
Wenn Sie diese Konfiguration verwenden, können Anwendungen der Version 5.x einen definierten Namen (DN in einem signierten Zertifikat einem Principal eines Berechtigungsnachweises in WebSphere Application Server zuordnen.
system.LTPA_WEB
Verarbeitet vom Webcontainer verwendete Anmeldeanforderungen wie Servlets und JSP-Dateien.
system.WEB_INBOUND
Bearbeitet die Anmeldungen für Webanwendungsanforderungen, einschließlich Servlets und JSPs (JavaServer Pages). Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1.1 verwendet.
system.RMI_INBOUND
Bearbeitet die Anmeldungen für eingehende RMI-Anforderungen (Remote Method Invocation). Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1.1 verwendet.
system.DEFAULT
Bearbeitet die Anmeldungen für eingehende Anforderungen interner Authentifizierungen und der meisten anderen Protokolle mit Ausnahme von Webanwendungen und RMI-Anforderungen. Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1.1 verwendet.
system.RMI_OUTBOUND
Verarbeitet RMI-Anforderungen, die an einen anderen Server gesendet werden, wenn die Eigenschaft com.ibm.CSIOutboundPropagationEnabled den Wert true hat. Diese Eigenschaft wird in der Anzeige für CSIV2-Authentifizierung festgelegt. Klicken Sie zum Aufrufen dieser Anzeige auf Sicherheit > Globale Sicherheit. Erweitern Sie den Eintrag "RMI/IIOP-Sicherheit", und klicken Sie auf Abgehende Authentifizierung gemäß CSIv2. Wählen Sie die Option Weitergabe von Sicherheitsattributen aus, um die Eigenschaft com.ibm.CSIOutboundPropagationEnabled zu setzen.
system.wssecurity.X509BST [nur Version 6]
Diese Konfiguration überprüft X.509 Binary Security Token (BST, binäres Sicherheitstoken), indem sie die Gültigkeit des Zertifikats und des Zertifikatpfads prüft.
system.wssecurity.PKCS7 [nur Version 6]
Dies Konfiguration überprüft X.509-Zertifikate anhand von Zertifikatswiderrufslisten in einem PKCS7-Objekt.
system.wssecurity.PkiPath [nur Version 6]
Diese Konfiguration überprüft ein X.509-Zertifikat mit einem PKI-Pfad (Public Key Infrastructure).
system.wssecurity.UsernameToken [nur Version 6]
Diese Konfiguration überprüft die Basisauthentifizierung (Benutzername und Kennwort).
Diese Systemanmeldekonfigurationen werden in der Anzeige "Systemanmeldungen" definiert, die Sie wie folgt aufrufen können:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Erweitern Sie den Eintrag "Java Authentication and Authorization Service", und klicken Sie auf Systemanmeldungen.
Achtung: Die vordefinierten Systemanmeldekonfigurationen werden in der Anzeige "Systemanmeldekonfigurationen" ohne das Systempräfix aufgelistet. Beispielsweise entspricht die angegebene JAAS-Konfiguration (Java Authentication and Authorization Service) system.wssecurity.UsernameToken der Konfiguration wssecurity.UsernameToken in der Konfigurationsanzeige "Systemanmeldungen".
Sie können die folgenden vordefinierten Anwendungsanmeldekonfigurationen verwenden:
ClientContainer
Gibt die Anmeldekonfiguration an, die von der ClientContainer-Anwendung verwendet wird. Diese Anwendung verwendet die CallbackHandler-API, die im Implementierungsdeskriptor des Clientcontainers definiert ist.
WSLogin
Gibt an, ob alle Anwendungen die WSLogin-Konfiguration verwenden sollen, um die Authentifizierung für die Laufzeit der Sicherheitslaufzeitumgebung von WebSphere Application Server durchzuführen.
DefaultPrincipalMapping
Gibt die Anmeldekonfiguration an, die Java-2-Connector (J2C) verwenden, um Benutzer Principals zuzuordnen, die unter "Dateneinträge für J2C-Authentifizierung" definiert sind.
Diese Anwendungsanmeldekonfigurationen werden in der Anzeige "Anwendungsanmeldungen" definiert, die Sie wie folgt aufrufen können:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Erweitern Sie den Eintrag "Java Authentication and Authorization Service", und klicken Sie auf Anwendungsanmeldungen.

Sie dürfen keine der vordefinierten Konfigurationen für System- oder Anwendungsanmeldungen entfernen. Sie können in diesen Konfigurationen Modulklassennamen hinzufügen und die Reihenfolge festlegen, in der WebSphere Application Server die einzelnen Module lädt.

Klassenname der Callback-Handler-Factory [nur Version 5]

Der Name der Factory für die CallbackHandler-Klasse.

Sie müssen in diesem Feld die Klasse Klassenname der Callback-Handler-Factory angeben.

URI des Tokentyps [nur Version 5]

Der Namespace-URI, der den Typ der akzeptierten Sicherheitstoken angibt.

Wenn binäre Sicherheitstoken akzeptiert werden, muss der Wert das Attribut ValueType im Element enthalten. Das Element ValueType gibt den Typ des Sicherheitstoken und dessen Namespace an. Wenn XML-Token (Extensible Markup Language) akzeptiert werden, gibt der Wert den Namen des Elements der höchsten ebene des XML-Token an.

Falls im Feld "Authentifizierungsmethode" eines der reservierten Wörter angegeben wurde, wird dieses Feld ignoriert.

Datentyp Unicode-Zeichen außer Nicht-ASCII-Zeichen, aber einschließlich des Nummernzeichens (#), des Prozentzeichens (%) und der eckigen Klammern ([ ]).
Lokaler Name für Tokentyp [nur Version 5]

Der lokale Name für den Typ des Sicherheitstoken, z. B. X509v3.

Wenn binäre Sicherheitstoken akzeptiert werden, muss der Wert das Attribut ValueType im Element enthalten. Das Attribut ValueType gibt den Typ des Sicherheitstoken und dessen Namespace an. Wenn XML-Token (Extensible Markup Language) akzeptiert werden, gibt der Wert den Namen des Elements der höchsten ebene des XML-Token an.

Falls im Feld "Authentifizierungsmethode" eines der reservierten Wörter angegeben wurde, wird dieses Feld ignoriert.

Maximale Nonce-Lebensdauer [nur Version 5]

Verfallsdatum für Nonce-Zeitmarke. Nonce ist ein generierter Zufallswert.

Sie müssen im Feld "Maximale Nonce-Lebensdauer" einen Mindestwert von 300 Sekunden angeben. Der Maximalwert darf jedoch nicht das auf Zellenebene oder Serverebene angegebene "Cachezeitlimit für Nonce" überschreiten.

Sie können die maximale Nonce-Lebensdauer auf Zellenebene wie folgt festlegen:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Sie können die maximale Nonce-Lebensdauer auf Serverebene wie folgt festlegen:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer Zelle mit heterogenen Knoten mit einem Server, der WebSphere Application Server Version 6.1 oder früher verwendet, auf Web-Services: Standardbindungen für die Web-Service-Sicherheit.mixv
Wichtig: Das Feld "Maximale Nonce-Lebensdauer" in dieser Anzeige ist optional und nur gültig, wenn als Authentifizierungsmethode BasicAuth definiert ist. Wenn Sie eine andere Authentifizierungsmethode angeben und versuchen, in diesem Feld einen Wert anzugeben, wird die folgende Fehlernachricht angezeigt: Nonce wird nur für die Authentifizierungsmethode BasicAuth unterstützt.

Falls Sie die Authentifizierungsmethode BasicAuth angeben, aber im Feld "Maximale Nonce-Lebensdauer" keinen Wert festlegen, sucht die Web-Service-Sicherheitslaufzeitumgebung einen Wert für die maximale Nonce-Lebensdauer auf Serverebene. Sollte auf Serverebene kein Wert definiert sein, durchsucht die Laufzeitumgebung die Zellenebene. Wird weder auf Server- noch auf Zellenebene ein Wert gefunden, wird der Standardwert von 300 Sekunden verwendet.

Standardeinstellung 300 Sekunden
Bereich 300 Sekunden bis Cachezeitlimit für Nonce
Zeitliche Abweichung vom Nonce [nur Version 5]

Gibt die zeitliche Abweichung an (in Sekunden), die WebSphere Application Server berücksichtigen muss, wenn die Aktualität der Nachricht geprüft wird. Nonce ist ein generierter Zufallswert.

Sie können die "Zeitliche Abweichung vom Nonce" auf Zellenebene wie folgt festlegen:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Sie können die Zeitliche Abweichung vom Nonce auf Serverebene wie folgt festlegen:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer Zelle mit heterogenen Knoten mit einem Server, der WebSphere Application Server Version 6.1 oder früher verwendet, auf Web-Services: Standardbindungen für die Web-Service-Sicherheit.mixv

Sie müssen im Feld "Zeitliche Abweichung vom Nonce" einen Mindestwert von 0 Sekunden angeben. Der Maximalwert darf jedoch nicht die Anzahl der in der Anzeige "Anmeldezuordnungen" im Feld "Maximale Nonce-Lebensdauer" angegebenen Sekunden überschreiten.

Wichtig: Das Feld "Zeitliche Abweichung vom Nonce" in dieser Anzeige ist optional und nur gültig, wenn als Authentifizierungsmethode BasicAuth definiert ist. Wenn Sie eine andere Authentifizierungsmethode angeben und versuchen, in diesem Feld einen Wert anzugeben, wird die folgende Fehlernachricht angezeigt: Nonce wird nur für die Authentifizierungsmethode BasicAuth unterstützt.
Anmerkung: Falls Sie BasicAuth angeben, aber im Feld "Zeitliche Abweichung vom Nonce" keinen Wert festlegen, sucht WebSphere Application Server auf Serverebene nach einem Wert für die zeitliche Abweichung vom Nonce. Sollte auf Serverebene kein Wert definiert sein, durchsucht die Laufzeitumgebung die Zellenebene. Wird weder auf Server- noch auf Zellenebene ein Wert gefunden, wird der Standardwert von null Sekunden verwendet.
Standardeinstellung 0 Sekunden
Bereich 0 Sekunden bis maximale Nonce-Lebensdauer



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Konzepte
Zugehörige Tasks
Zugehörige Verweise
Anmeldezuordnungen
Standardbindungen und Eigenschaften der Sicherheitslaufzeitumgebung


Dateiname: uwbs_logmapn.html