回调处理程序设置

使用此页面来配置回调处理程序设置,这些设置可确定如何从消息头获取安全性令牌。

编辑常规单元级别或服务器级别绑定时,可以配置回调处理程序设置。另外,还可以配置策略集所需的令牌和消息部件的特定于应用程序的绑定。

要在编辑常规单元级别绑定时查看此管理控制台页面,请完成以下操作:
  1. 单击服务 > 策略集 > 缺省策略集绑定。绑定面板指示设置为缺省绑定的绑定,例如,提供者样本绑定。
  2. 要编辑此缺省绑定,请单击服务 > 策略集 > 常规提供程序策略集绑定
  3. 单击在第一步中确定的缺省绑定的名称。例如,提供者样本
  4. 单击“策略”表中的 WS-Security 策略。
  5. 单击“主消息安全策略绑定”部分中的认证与保护链接。
  6. 单击“保护令牌”部分或“认证令牌”部分中的 name_of_token 链接。
  7. 单击回调处理程序链接。
要在配置策略集所需的令牌和消息部件的特定于应用程序的绑定时查看此管理控制台页面,请完成以下操作:
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序
  2. 选择包含 Web Service 的应用程序。该应用程序必须包含服务提供者或服务客户机。
  3. 单击“Web Service 属性”部分中的服务提供程序策略集和绑定链接或服务客户机策略集和绑定
  4. 选择绑定。先前必须已连接策略集并且已指定特定于应用程序的绑定。
  5. 单击“策略”表中的 WS-Security 策略。
  6. 单击“主消息安全策略绑定”部分中的认证与保护链接。
  7. 单击“保护令牌”部分或“认证令牌”部分中的 name_of_token 链接。
  8. 单击回调处理程序链接。

此管理控制台面板仅适用于“针对基于 XML 的 Web Service 的 Java™ API”(JAX-WS) 应用程序。

根据所配置令牌的不同,“回调处理程序”显示的字段不同。根据您是在配置生成者或使用者令牌进行保护,还是配置入站或出站令牌进行认证,此面板上的各个部分和字段将显示此主题中解释的部分或所有字段,这一点在每个字段的描述中作了说明。

类名

“类名”部分中的各个字段适用于所有类型的令牌配置。

选择要用于回调处理程序的类名。选择使用内置缺省值选项执行一般操作。只有在使用定制令牌类型时,才使用使用定制值选项。

对于 Kerberos 定制令牌类型,请将类名 com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler 用于令牌生成者配置。将 com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler 用于令牌使用者配置。

使用内置缺省值

指定对类名使用缺省值。选中此单选按钮时,对类名使用缺省值(如字段中所示)。此名称基于令牌类型以及回调处理程序是用于令牌生成者还是用于令牌使用者。此选项与使用定制值选项互斥。

使用定制

指定对类名使用定制值。选中此单选按钮并在字段中输入名称以使用定制类名。

此输入字段未提供任何缺省值。请使用下表中的信息确定此值:

表 1. 为回调处理程序和相关联的令牌类型定制类名. 回调处理程序确定如何从消息头获取安全性令牌。
令牌类型 使用者或生成者 回调处理程序类名
UsernameToken 使用者 com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
UsernameToken 生成者 com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
X509Token 使用者 com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
X509Token 生成者 com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
LTPAToken/LTPAPropagationToken 使用者 com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
LTPAToken/LTPAPropagationToken 生成者 com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
SecureConversationToken 使用者 com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
SecureConversationToken 生成者 com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler

此按钮与使用内置缺省值选项互斥。

证书(生成者)

如果您配置的是保护令牌,那么“证书”部分中的各个字段可用。对于生成者令牌,可以单击此选项以从列表中选择的证书库,或者单击新建按钮以添加证书库。

证书(使用者)

如果您配置的是保护令牌,那么“证书”部分中的各个字段可用。对于使用者令牌,您可以使用“信任任何证书”或“证书库”选项来配置证书库。

证书 - 信任任何证书(使用者)

此选项仅适用于令牌使用者。此选项指示系统将信任所有证书,并且不定义特定证书库。此选项与证书库选项互斥。

证书 - 证书库(使用者)

此选项仅适用于令牌使用者。使用此选项指定包含中间证书的证书库集合,该证书库集合可以包含证书撤销列表 (CRL)。选择此选项以信任在输入字段中指定的证书库。此选项与信任任何证书选项互斥。选择证书库选项时,新建按钮处于启用状态,这样您就可以配置新证书库和信任锚库。

您可以将证书库字段的值设置为缺省值,。然而,信任锚库值必须设置为特定值。没有缺省值。如果未选中“信任任何证书”选项,那么信任锚是必需的。

基本认证

如果配置的认证令牌不是 LTPA 传播令牌,那么“基本认证”部分中的各个字段可用。

对于 Kerberos 定制令牌类型,必须完成 Kerberos 登录的“基本认证”部分。

用户名

指定要进行认证的用户名。

密码

指定要进行认证的密码。在此输入字段中输入要进行认证的密码。

确认密码

指定要确认的密码。

密钥库

如果配置的是保护令牌,那么“密钥库”部分中的各个字段可用。

在“密钥库名称”列表中,可以单击定制以定义定制密钥库、单击其中一个外部定义的密钥库名称或者单击(如果不需要任何密钥库)。

密钥库 - 名称

指定要使用的集中管理密钥库文件的名称。

从此菜单中单击集中管理密钥库的名称,或者输入下列其中一个值:
NodeDefaultKeyStore
NodeDefaultTrustStore
NodeLTPAKeys
指定以不使用集中管理密钥库文件。
定制
指定以使用集中管理密钥库文件。单击定制密钥库配置链接以配置定制密钥库和密钥设置。
密钥库 - 定制密钥库配置

指定一个链接以创建定制密钥库。单击此链接以打开面板,可以在该面板中配置定制密钥库。

密钥

如果您配置的是保护令牌,那么“密钥”部分中的各个字段可用。

名称

指定要使用的密钥的名称。在此必填字段中输入要使用的密钥的名称。

别名

指定要使用的密钥的别名。在此必填字段中输入要使用的密钥的别名。

密码

指定要使用的密钥的密码。

不能对非对称加密生成者或非对称签名使用者的公用密钥设置密码。

确认密码

指定要使用的密钥的确认密码。输入您在“密码”字段中输入的密码进行确认。

不要对非对称出站加密或入站签名的公用密钥提供密钥确认密码。

定制属性

“定制属性”部分中的各个字段适用于所有类型的令牌配置。

可以使用“名称/值”对的形式添加回调处理程序所需的定制属性。

要在使用 JAX-WS 编程模型时实现签署者证书加密,请在加密令牌生成者的回调处理程序中添加值为 true 的定制属性 com.ibm.wsspi.wssecurity.token.cert.useRequestorCert。此实现过程使用 SOAP 请求的签署者的证书对 SOAP 响应进行加密。此定制属性由响应生成者使用。

对于基于 Kerberos 令牌概要文件 V1.1 的 OASIS Web Service 安全性规范的 Kerberos 定制令牌,请为令牌生成指定以下属性:com.ibm.wsspi.wssecurity.krbtoken.clientRealm。这将指定与客户机相关联的 Kerberos 域的名称并允许 Kerberos 客户机域启动 Kerberos 登录。如果未指定,那么使用缺省 Kerberos 域名。此属性对单个 Kerberos 域环境是可选的。在跨 Kerberos 域或信任 Kerberos 域环境中实现 Web Service 时,必须为 clientRealm 属性提供值。

Kerberos 定制属性 com.ibm.wsspi.wssecurity.krbtoken.loginPrompt 的值为 true 时,允许 Kerberos 登录。 缺省值为 False。此属性是可选的。

为 JAX-WS 编程模型配置用户名令牌时,为了防范重放攻击,强烈建议您将以下定制属性添加到回调处理程序配置。 这些定制属性启用消息认证的现时标志和时间戳记并对它们进行验证。
属性名(生成者) 属性值
com.ibm.wsspi.wssecurity.token.username.addNonce true
com.ibm.wsspi.wssecurity.token.username.addTimestamp true
属性名(使用者) 属性值
com.ibm.wsspi.wssecurity.token.username.verifyNonce true
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
名称

指定要使用的定制属性的名称。

此列最初不显示定制属性。单击定制属性的下列其中一个操作:

按钮 执行的操作
新建 创建新的定制属性条目。要添加定制属性,请输入名称和值。
删除 除去所选定制属性。

指定要使用的定制属性的值。使用输入字段可以输入或删除定制属性的值。




标有(在线)的链接要求访问因特网。

相关任务
相关参考
保护令牌设置(生成者或使用者)
应用程序策略集集合
应用程序策略集设置
搜索已连接应用程序集合
策略集绑定设置


文件名: uwbs_wsspsbch.html