登录映射配置设置

使用此页面来指定用于验证入局消息内安全性令牌的 Java™ 认证和授权服务(JAAS)登录配置设置。

重要: V5.x 与 V6 及更高版本的应用程序之间存在重要差别。本文中的信息仅支持在 WebSphere® Application Server V6.0.x 及更高版本中使用的 V5.x 应用程序。这些信息不适用于 V6.0.x 及更高版本的应用程序。
要查看管理控制台中单元级别的此页面,请完成以下步骤:
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
  2. 在“其他属性”下,单击登录映射
  3. 单击新建以创建新的登录映射配置或单击现有配置的名称。
要查看管理控制台中服务器级别的此页面,请完成以下步骤:
  1. 单击服务器 > 服务器类型 > WebSphere Application Server > server_name
  2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  3. 在“其他属性”下,单击登录映射
  4. 单击新建以创建新的登录映射配置或单击现有配置的名称。
要使用管理控制台中应用程序级别的此页面,请完成以下步骤:
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
  2. 在“模块”下,单击管理模块 > URI_name
  3. 在“Web Service 安全性属性”下,单击 Web Service:服务器安全性绑定
  4. 单击“请求接收方绑定”下的编辑
  5. 单击登录映射
  6. 单击新建以创建新的登录映射配置或单击现有配置的名称。
重要: 如果在应用程序级别上未找到登录映射配置,那么 Web Service 运行时将搜索服务器级别上的登录映射配置。如果未找到服务器级别的配置,那么 Web Service 运行时搜索单元级别的配置。
认证方法 [仅限于 V5]

指定认证方法。

您可使用任何字符串,但是字符串必须与服务级别配置中的元素相匹配。下列字是被保留的,它们具有特殊含义:
BasicAuth
使用用户名和密码。
IDAssertion
仅使用用户名,但要求在接收服务器上使用 TrustedIDEvaluator 机制建立另一种信任。
Signature
使用签署者的专有名称(DN)。
LTPA
验证令牌。
JAAS 配置名称 [仅限于 V5]

指定 Java 认证和授权服务(JAAS)配置的名称。

您可以使用的预定义系统登录配置如下所示:
system.wssecurity.IDAssertion
启用 V5.x 应用程序以使用标识声明将用户名映射到 WebSphere Application Server 凭证主体。
system.wssecurity.Signature
启用 V5.x 应用程序以将已签署证书中的专有名称(DN)映射到 WebSphere Application Server 凭证主体。
system.LTPA_WEB
处理 Web 容器(如 servlet 和 JavaServer Pages(JSP)文件)使用的登录请求。
system.WEB_INBOUND
处理 Web 应用程序登录请求,包括 servlet 和 JavaServer Pages 请求。此登录配置由 WebSphere Application Server V5.1.1 使用。
system.RMI_INBOUND
为入站远程方法调用(RMI)请求处理登录。此登录配置由 WebSphere Application Server V5.1.1 使用。
system.DEFAULT
处理内部认证及大多数其他协议提出的入站登录请求,但不含 Web 应用程序与 RMI 请求。此登录配置由 WebSphere Application Server V5.1.1 使用。
system.RMI_OUTBOUND
当 com.ibm.CSIOutboundPropagationEnabled 属性为 true 时,处理发送到另一服务器的出站 RMI 请求。此属性是在 CSIv2 认证面板中设置的。要访问此面板,请单击安全性 > 全局安全性。展开 RMI/IIOP 安全性,然后单击 CSIv2 出站认证。要设置 com.ibm.CSIOutboundPropagationEnabled 属性,选择安全性属性传播
system.wssecurity.X509BST [仅限于 V6]
通过检查证书和证书路径的有效性验证 X.509 二进制安全性令牌(BST)。
system.wssecurity.PKCS7 [仅限于 V6]
用 PKCS7 对象验证 X.509 证书和证书撤销列表。
system.wssecurity.PkiPath [仅限于 V6]
用公共密钥基础结构(PKI)路径验证 X.509 证书。
system.wssecurity.UsernameToken [仅限于 V6]
验证基本认证(用户名和密码)。
在“系统登录”面板上定义这些系统登录配置,可通过完成以下步骤访问该面板:
  1. 单击安全性 > 全局安全性
  2. 展开“Java 认证和授权服务”,然后单击系统登录
注意: 在“系统登录配置”面板上列出了预定义的系统登录配置,但没有系统前缀。例如,Java 认证和授权服务(JAAS)配置名称选项中列出的 system.wssecurity.UsernameToken 配置与“系统登录配置”面板上的 wssecurity.UsernameToken 配置对应。
可以使用以下预定义的应用程序登录配置:
ClientContainer
指定客户机容器应用程序使用的登录配置,该应用程序使用在客户机容器的部署描述符中定义的 CallbackHandler API。
WSLogin
指定是否所有应用程序都可以使用 WSLogin 配置来执行 WebSphere Application Server 安全性运行时的认证。
DefaultPrincipalMapping
指定 Java 2 连接器(J2C)使用的登录配置以将用户映射到 J2C 认证数据条目中定义的主体。
在“应用程序登录”面板上定义这些应用程序登录配置,可通过完成以下步骤访问该面板:
  1. 单击安全性 > 全局安全性
  2. 展开“Java 认证和授权服务”,然后单击应用程序登录

不要除去这些预定义的系统或应用程序登录配置。在这些配置中,可以添加模块类名并指定 WebSphere Application Server 装入每个模块的顺序。

回调处理程序工厂类名 [仅限于 V5]

指定 CallbackHandler 类的工厂名。

必须用此字段实现 com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory 类。

令牌类型 URI [仅限于 V5]

指定名称空间统一资源标识(URI),它表示接受的安全性令牌类型。

如果接受二进制安全性令牌,此值表示元素中的 ValueType 属性。ValueType 元素识别安全性令牌的类型及其名称空间。如果接受了可扩展标记语言(XML)令牌,那么该值表示 XML 令牌的顶层元素名称。

如果先前在“认证方法”字段中指定了保留字,将忽略此字段。

数据类型: 除非 ASCII 字符之外的 Unicode 字符,但包含编号符号(#)、百分号(%)和方括号([ ])。
令牌类型局部名 [仅限于 V5]

指定安全性令牌类型的局部名,例如 X509v3。

如果接受二进制安全性令牌,此值表示元素中的 ValueType 属性。ValueType 属性标识安全性令牌及其名称空间的类型。如果接受了可扩展标记语言(XML)令牌,那么该值表示 XML 令牌的顶层元素名称。

如果先前在“认证方法”字段中指定了保留字,将忽略此字段。

现时标志最大时限 [仅限于 V5]

指定现时标志时间戳记到期前的时间(以秒计)。现时标志是随机生成的值。

您必须为“现时标志最大时限”字段指定不小于 300 秒的值。但是,最大值不能超过在单元级别或者服务器级别的“现时标志高速缓存超时”字段中指定的秒数。

可通过完成以下步骤指定单元级别的“现时标志最大时限”值:
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
可通过完成以下步骤指定服务器级别的“现时标志最大时限”值:
  1. 单击服务器 > 服务器类型 > WebSphere Application Server > server_name
  2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
重要: 此面板上的“现时标志最大时限”字段是可选的,并且仅当指定了 BasicAuth 认证方法时才有效。如果指定了另一种认证方法并且尝试指定此字段的值,那么将显示以下错误消息:现时标志只受 BasicAuth 认证方法支持,您必须除去指定的值。

如果您指定了 BasicAuth 方法,但未指定“现时标志最大时限”字段的值,那么 Web Service 安全性运行时搜索服务器级别上的“现时标志最大时限”值。如果未找到服务器级别的值,那么运行时搜索单元级别。如果未找到服务器级别或单元级别的值,那么缺省值是 300 秒。

缺省值 300 秒
范围 300 到“现时标志高速缓存超时”秒数
现时标志时钟偏差 [仅限于 V5]

指定当 WebSphere Application Server 检查消息的及时性时要考虑的时钟偏差值(以秒计)。现时标志是随机生成的值。

可通过完成以下步骤指定单元级别的“现时标志时钟偏差”值:
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
可通过完成以下步骤指定服务器级别的现时标志时钟偏差值:
  1. 单击服务器 > 服务器类型 > WebSphere Application Server > server_name
  2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv

您必须为“现时标志时钟偏差”字段指定不小于 0 秒的值。然而,最大值不能超过在此“登录映射”面板上的“现时标志最大时限”字段中指定的秒数。

重要: 此面板上的“现时标志时钟偏差”字段是可选的,并且仅当指定了 BasicAuth 认证方法时才有效。如果指定了另一种认证方法并且尝试指定此字段的值,那么将显示以下错误消息:现时标志只受 BasicAuth 认证方法支持,您必须除去指定的值。
注: 如果指定了 BasicAuth,但未指定“现时标志时钟偏差”字段的值,那么 WebSphere Application Server 搜索服务器级别上的“现时标志时钟偏差”值。如果未找到服务器级别的值,那么运行时搜索单元级别。如果未找到服务器级别或单元级别的值,那么缺省值是 0 秒。
缺省值 0 秒
范围 0 到“现时标志最大时限”秒数



标有(在线)的链接要求访问因特网。

相关概念
相关任务
相关参考
登录映射集合
缺省绑定和安全性运行时属性


文件名: uwbs_logmapn.html