回调处理程序配置设置

使用此页面来指定如何获取插入在 SOAP 消息中的 Web Service 安全性头中的安全性令牌。令牌获取是可插入的框架,它利用 Java™ 认证和授权服务(JAAS)javax.security.auth.callback.CallbackHandler 接口来获取安全性令牌。

要查看管理控制台中单元级别的此回调处理程序页面,请完成以下步骤:
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
  2. 在“JAX-RPC 缺省生成者绑定”下,单击令牌生成者 > token_generator_name
  3. 在“其他属性”下,单击回调处理程序
要查看管理控制台中服务器级别的此回调处理程序页面,请完成以下步骤:
  1. 单击服务器 > 服务器类型 > WebSphere Application Server > server_name
  2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  3. 在“JAX-RPC 缺省生成者绑定”下,单击令牌生成者 > token_generator_name
  4. 在“其他属性”下,单击回调处理程序
要查看管理控制台中应用程序级别的此回调处理程序页面,请完成以下步骤:
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
  2. 在“模块”下,单击管理模块 > URI_name
  3. 在“Web Service 安全性属性”下,您可以访问以下绑定的回调处理程序信息:
    • 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成者(发送方)绑定”下,单击编辑定制。在“其他属性”下,单击令牌生成者。单击新建以创建新的令牌生成者配置,或者单击现有配置的名称以修改其设置。在“其他属性”下,单击回调处理程序
    • 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成者(发送方)绑定”下,单击编辑定制。在“其他属性”下,单击令牌生成者。单击新建以创建新的令牌生成者配置,或者单击现有配置的名称以修改其设置。在“其他属性”下,单击回调处理程序
回调处理程序类名 [仅限于 V6]

指定用于插入安全性令牌框架的回调处理程序实现类的名称。

指定的回调处理程序类必须实现 javax.security.auth.callback.CallbackHandler 类。JAAS javax.security.auth.callback.CallbackHandler 接口的实现必须提供使用以下语法的构造函数:
MyCallbackHandler(String username, char[] password, 
    java.util.Map properties)
其中:
username
指定传递到配置中的用户名。
password
指定传递到配置中的密码。
properties
指定传递到配置中的其他配置属性。
应用程序服务器提供了以下缺省回调处理程序实现:
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler [仅限于 V6]
此回调处理程序使用登录提示收集用户名和密码信息。但是,如果在此面板上指定了用户名和密码,就不会显示提示,应用程序服务器将该用户名和密码返回给响应生成者。仅将此实现用于 Java Platform, Enterprise Edition(Java EE)应用程序客户机。
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler [仅限于 V6]
如果在此面板上指定了用户名和密码,那么此回调处理程序不发出提示并返回用户名和密码。当 Web Service 作为客户机时可以使用此回调处理程序。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [仅限于 V6]
此回调处理程序使用标准提示符收集用户名和密码。然而,如果在此面板上指定了用户名和密码,应用程序服务器就不会发出提示,而是将该用户名和密码返回到响应生成者。仅将此实现用于 Java Platform, Enterprise Edition(Java EE)应用程序客户机。
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [仅限于 V6]
此回调处理程序使用标准提示符收集用户名和密码。然而,如果在此面板上指定了用户名和密码,应用程序服务器就不会发出提示,而是将该用户名和密码返回到响应生成者。仅将此实现用于 Java Platform, Enterprise Edition(Java EE)应用程序客户机。
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler [仅限于 V6]
此回调处理程序用于从“运行方式调用主体集”获取轻量级第三方认证(LTPA)安全性令牌。此令牌作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。然而,如果在此面板上指定了用户名和密码,应用程序服务器就会认证该用户名和密码以获取 LTPA 安全性令牌,而不是从运行方式主体集获取它。仅当 Web Service 作为应用程序服务器上的客户机时,才使用此回调处理程序。建议不要在 Java EE 应用程序客户机上使用此回调处理程序。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler [仅限于 V6]
此回调处理程序用于创建 X.509 证书,此证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。密钥库和密钥定义对于此回调处理程序来说是必需的。
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler [仅限于 V6]
此回调处理程序用于创建以 PKCS#7 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入在 SOAP 消息的 Web Service 安全性头中。此回调处理程序需要密钥库。必须在证书集合库中指定证书撤销列表(CRL)。CRL 使用 PKCS#7 格式的 X.509 证书进行编码。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler [仅限于 V6]
此回调处理程序用于创建以 PkiPath 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入在 SOAP 消息的 Web Service 安全性头中。此回调处理程序需要密钥库。此回调处理程序不支持 CRL;因此,不需要或不使用证书集合库。

回调处理程序实现获取必需的安全性令牌并将它传递到令牌生成者。令牌生成者将安全性令牌插入在 SOAP 消息的 Web Service 安全性头中。令牌生成者也是可插入安全性令牌框架的插入点。服务提供者可以提供其自己的实现,但是该实现必须使用 com.ibm.websphere.wssecurity.wssapi.token.SecurityToken 接口。Java 认证和授权服务(JAAS)登录模块实现分别用来在生成者端创建安全性令牌和在使用者端验证(认证)安全性令牌。

使用标识声明 [仅限于 V6]

如果在 IBM® 扩展部署描述符中定义了标识声明,请选择此选项。

此选项表明仅需要初始发送方的标识,并且此标识将插入 SOAP 消息中的 Web Service 安全性头中。例如,应用程序服务器仅发送 Username TokenGenerator 的原始调用者的用户名。对于 X.509 令牌生成者,应用程序服务器仅发送原始签署者证书。

使用运行方式标识 [仅限于 V6]

如果在 IBM 扩展部署描述符中定义了标识声明,并且要在下游调用的标识声明中使用运行方式标识而不是初始调用者标识,请选择此选项。

仅当将 Username TokenGenerator 配置为响应生成者时此选项有效。

基本认证用户标识 [仅限于 V6]

指定传递给回调处理程序实现的构造函数的用户名。

如果选择本产品提供的下列其中一个缺省回调处理程序实现,那么将使用基本认证用户名和密码:
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

在本文的回调处理程序类名字段描述中详细描述了这些实现。

基本认证密码 [仅限于 V6]

指定传递给回调处理程序的构造函数的密码。

如果选择本产品提供的下列其中一个缺省回调处理程序实现,那么将使用密钥库及其相关配置:
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
该密钥库用于构建具有证书路径的 X.509 证书。
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
该密钥库用于构建具有证书路径的 X.509 证书。
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
此密钥库用于检索 X.509 证书。
密钥库配置名称 [仅限于 V6]

指定安全通信的密钥库设置中定义的密钥库配置的名称。

密钥库密码 [仅限于 V6]

指定用于访问密钥库文件的密码。

密钥库路径 [仅限于 V6]

指定密钥库文件的位置。

因为此变量展开为机器上的产品路径,所以应在路径名中使用 ${USER_INSTALL_ROOT}。要更改此变量使用的路径,请单击环境 > WebSphere 变量并单击 USER_INSTALL_ROOT

密钥库类型 [仅限于 V6]

指定密钥库文件格式的类型

为此字段选择下列其中一个值:
JKS
如果密钥库使用 Java 密钥库(JKS)格式,请使用此选项。
JCEKS
如果在软件开发包(SDK)中配置了 Java 密码术扩展,请使用此选项。缺省 IBM JCE 是在应用程序服务器中配置的。此选项通过使用三重 DES 加密为存储的专用密钥提供更强的保护。
JCERACFKS [z/OS]
如果证书存储在 SAF 密钥环中,请使用 JCERACFKS(仅限于 z/OS®)。
PKCS11KS(PKCS11)
如果您的密钥库文件使用 PKCS#11 文件格式,请使用此选项。使用此格式的密钥库文件可能包含加密硬件上的 Rivest Shamir Adleman(RSA)密钥,或者包含使用加密硬件的加密密钥来确保安全。
PKCS12KS(PKCS12)
如果密钥库文件使用 PKCS#12 文件格式,请使用此选项。



标有(在线)的链接要求访问因特网。

相关任务
相关参考
令牌生成者集合
令牌生成者配置设置


文件名: uwbs_callback.html