Utilizzare questa pagina per specificare un elenco di configurazioni di login di sistema JAAS (Java Authentication and Authorization Service).
Elabora le richieste di login quando ICFS (Integrated Cryptographic Services Facility) viene utilizzato come meccanismo di autenticazione.
Richieste di login in entrata dei processi per RMI (Remote Method Invocation), per le applicazioni Web e per la maggior parte degli altri protocolli di login.
Queste tre configurazioni di login verranno trasmesse alle seguenti informazioni relative alla richiamata, gestite dai moduli di login all'interno delle suddette configurazioni. Tali richiamate non vengono inoltrate nello stesso momento. Tuttavia, la combinazione di queste richiamate determina la modalità che verrà utilizzata dal server delle applicazioni per autenticare l'utente.
callbacks[0] = new
javax.security.auth.callback.NameCallback("Username: ");
callbacks[1] = new
javax.security.auth.callback.PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential
Token: ");
callbacks[3] = new
com.ibm.wsspi.security.auth.callback.WSTokenHolderCallback("Authz Token List: ");
Nelle configurazioni di login del sistema, il server delle applicazioni autentica l'utente in base alle informazioni raccolte dalle richiamate. Tuttavia, un modulo di login personalizzato non deve agire su alcuna di queste richiamate. L'elenco riportato di seguito illustra le combinazioni tipiche di queste richiamate:
Questa richiamata si verifica per l'asserzione di identità CSIv2, Web e login del certificato CSIv2 X509, vecchi login TAI (trust association interceptor) e così via. Nel Web e nei login del certificato CSIv2 X509, il server delle applicazioni mappa il certificato su un nome utente. Questa richiamata viene utilizzata da qualsiasi tipo di login che mostra affidabilità con il solo nome utente.
Questa combinazione di richiamate è tipica per i login di autenticazione di base. La maggior parte delle autenticazioni utente avvengono utilizzando queste due richiamate.
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
getUserFromUniqueID(uniqueID)
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
callbacks[0] = new
javax.security.auth.callback.NameCallback("Username: ");
callbacks[1] = new
javax.security.auth.callback.PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential
Token: ");
Se gli attributi vengono aggiunti a Subject da un client semplice, le richiamate NameCallback e PasswordCallback autenticano le informazioni e gli oggetti serializzati nel supporto token aggiunti al Subject autenticato.
Un modulo di login personalizzato necessita della gestione della serializzazione personalizzata. Per ulteriori informazioni, vedere "Propagazione degli attributi di sicurezza" nell'Information Center.
callbacks[4] = new com.ibm.websphere.security.auth.callback.WSServletRequestCallback("HttpServletRequest:
");
callbacks[5] = new com.ibm.websphere.security.auth.callback.WSServletResponseCallback("HttpServletResponse:
");
callbacks[6] = new com.ibm.websphere.security.auth.callback.WSAppContextCallback("ApplicationContextCallback:
");
callbacks[7] = new WSRealmNameCallbackImpl("Realm Name: ", <default_realm>);
callbacks[8] = new WSX509CertificateChainCallback("X509Certificate[]: ");
In presenza dell'oggetto java.util.Hashtable, il modulo di login mappa gli attributi degli oggetti in un Subject valido. Se la richiamata WSTokenHolderCallback è presente, il modulo di login deserializza gli oggetti token byte e ricrea i contenuti serializzati dell'Oggetto. java.util.Hashtable ha la precedenza su tutte le altre forme di login. Prestare molta attenzione ed evitare di duplicare o sovrascrivere ciò che il server delle applicazioni potrebbe aver diffuso in precedenza.
Specificando la precedenza di java.util.Hashtable sulle altre informazioni di autenticazione, il modulo di login personalizzato deve aver già verificato il token LTPA, se presente, in modo da stabilire una sicurezza sufficiente. Il modulo login personalizzato può utilizzare il metodo com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validationLTPAToken(byte[]) per convalidare il token LTPA presente nella richiamata WSCredTokenCallback. Errori nella convalida del token LTPA potrebbero determinare dei rischi.
Per ulteriori informazioni sull'aggiunta di una hashtable contenente attributi noti e corretti usati dal server delle applicazioni come informazioni di login sufficienti, consultare "Configurazione della mappatura dell'identità in entrata" nell'Information center.
Elabora le richieste RMI (Remote Method Invocation) inviate in uscita su un altro server quando le proprietà com.ibm.CSI.rmiOutboundLoginEnabled o com.ibm.CSIOutboundPropagationEnabled sono impostate su true.
Questa configurazione di login determina le funzioni di sicurezza del server di destinazione e del relativo dominio di sicurezza. Ad esempio, se il server delle applicazioni, versione 5.1.1 o successiva (o 5.1.0.2 per z/OS), comunica con un server delle applicazioni versione 5.x, il server delle applicazioni versione 5.1.1 invia solo le informazioni di autenticazione, tramite un token LTPA, al server delle applicazioni versione 5.x. Tuttavia, se WebSphere Application Server versione 5.1.1 o successiva, comunica con un server delle applicazioni versione 5.1.x, le informazioni di autenticazione e autorizzazione vengono inviate al server delle applicazioni ricevente nel caso in cui la propagazione sia abilitata su entrambi i server, il trasmittente e il ricevente. Quando il server delle applicazioni invia le informazioni di autenticazione e autorizzazione a valle, elimina la necessità di riaccedere al registro utenti e di ricercare gli attributi di sicurezza dell'utente per scopi di autorizzazione. Inoltre, qualsiasi oggetto personalizzato aggiunto al server trasmittente è presente nell'Oggetto sul server a valle.
La seguente richiamata è disponibile nella configurazione di login RMI_OUTBOUND. È possibile utilizzare l'oggetto com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy restituito da questa richiamata per interrogare la politica di sicurezza per questa particolare richiesta in uscita. Questa interrogazione può aiutare a determinare se l'ambito di destinazione è diverso da quello corrente e se il server delle applicazioni deve mapparlo. Per ulteriori informazioni, consultare "Configurazione della mappatura in uscita su un dominio di destinazione diverso" nell'Information center.
Fornisce le informazioni sulla politica, specifiche del protocollo, per i moduli di login su questa chiamata in uscita. Tali informazioni sono utilizzate per determinare il livello di sicurezza, inclusi l'ambito di destinazione, i requisiti di sicurezza di destinazione e i requisiti di sicurezza assimilati.
csiv2PerformPolicy = (CSIv2PerformPolicy)
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();
Un altro protocollo, diverso da RMI, potrebbe disporre di un diverso tipo di oggetto della politica.
È possibile utilizzare un modulo di login personalizzato prima di questo modulo di login per eseguire la mappatura delle credenziali. Tuttavia, si consiglia di programmare il modulo di login affinché modifichi i contenuti del Subject inoltrato durante la fase di login. Se si segue questo suggerimento, i moduli di login elaborati dopo questo modulo di login agiscono sui nuovi contenuti di Subject.
Per ulteriori informazioni, consultare "Configurazione della mappatura in uscita su un dominio di destinazione diverso" nell'Information center.
Elabora le richieste di login in un ambiente a server singolo quando SWAM (Simple WebSphere Authentication Mechanism) viene utilizzato come metodo di autenticazione.
Questa configurazione di login abilita alla mappatura di un ID in un registro utente LDAP (Lightweight Directory Access Protocol) ad un ID utente SAF (System Authorization Facility)
Elabora le richieste di configurazione login per la sicurezza dei servizi Web tramite l'asserzione identità.
Questa configurazione login riguarda sistemi versione 5.x. Per ulteriori informazioni, vedere "Metodo di autenticazione dell'asserzione di identità" nell'Information Center.
Verifica un certificato X.509 con un CRL (Certificate Revocation List) in un oggetto PKCS7 (Public Key Cryptography Standards #7).
Questa configurazione login riguarda sistemi versione 6.0.x.
Verifica un certificato X.509 mediante un percorso PKI (public key infrastructure).
Questa configurazione login riguarda sistemi versione 6.0.x.
Elabora le richieste di configurazione login per la sicurezza dei servizi Web tramite la convalida della firma digitale.
Questa configurazione login riguarda sistemi versione 5.x.
Verifica l'autenticazione di base (nome utente e password).
Questa configurazione login riguarda sistemi versione 6.0.x.
Verifica un BST (Binary Security Token) X.509 controllando la validità del certificato e il percorso del certificato.
Questa configurazione login riguarda sistemi versione 6.0.x.
Elabora le richieste di login ai componenti nel contenitore Web, come servlet e file JSP (JavaServer pages).
Il modulo di login com.ibm.ws.security.web.AuthenLoginModule è predefinito nella configurazione login LTPA. È possibile aggiungere moduli di login prima o dopo questo modulo nella configurazione di login LTPA_WEB.
La configurazione di login LTPA_WEB può elaborare l'oggetto HttpServletRequest, l'oggetto HttpServletResponse e il nome dell'applicazione Web, trasferiti utilizzando un gestore richiamate. Per ulteriori informazioni, vedere "Esempio: personalizzazione di una configurazione di login e di un'autenticazione JAAS (Java Authentication and Authorization Service) lato server" nel centro informazioni.
Elabora le richieste di login non gestite dalla configurazione login LTPA_WEB.
Questa configurazione di login viene utilizzata da WebSphere Application Server Versione 5.1 e da versioni precedenti.
Il modulo di login com.ibm.ws.security.server.lm.ltpaLoginModule è predefinito nella configurazione login LTPA. È possibile aggiungere moduli di login prima o dopo questo modulo nella configurazione di login LTPA. Per ulteriori informazioni, vedere "Esempio: personalizzazione di una configurazione di login e di un'autenticazione JAAS (Java Authentication and Authorization Service) lato server" nel centro informazioni.
I collegamenti contrassegnati (online) richiedono un accesso a Internet.