登入對映配置設定

請利用這個頁面來指定用來驗證送入訊息內之安全記號的 Java™ 鑑別和授權服務 (JAAS) 登入配置設定。

重要: 在 5.x 版與第 6 版及後續應用程式之間,存在著重大差異。 這篇文章中的資訊只支援搭配 WebSphere® Application Server 6.0.x 版,以及更新版本使用的 5.x 版應用程式。這項資訊不適用於 6.0x 版及後續的應用程式。
如果要檢視 Cell 層次的這個管理主控台頁面,請完成下列步驟:
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「其他內容」下,按一下登入對映
  3. 按一下新建來建立新的登入對映配置,或按一下現有配置的名稱。
如果要檢視伺服器層次的這個管理主控台頁面,請完成下列步驟:
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「其他內容」下,按一下登入對映
  4. 按一下新建來建立新的登入對映配置,或按一下現有配置的名稱。
如果要使用應用程式層次的這個管理主控台頁面,請完成下列步驟:
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 在「Web 服務安全內容」下,按一下 Web 服務:伺服器安全連結
  4. 在「要求接收端連結」下,按一下編輯
  5. 按一下登入對映
  6. 按一下新建來建立新的登入對映配置,或按一下現有配置的名稱。
重要: 如果在應用程式層次中找不到登入對映配置,Web 服務執行時期就會在伺服器層次搜尋登入對映配置。如果在伺服器層次找不到配置,Web 服務執行時期會搜尋 Cell。
鑑別方法 [Version 5 only]

指定鑑別方法。

您可以使用任何字串,但字串必須符合服務層次配置中的元素。 以下是保留字,它們有特殊意義:
BasicAuth
採用使用者名稱和密碼。
IDAssertion
只用使用者名稱,但需要利用 TrustedIDEvaluator 機制在接收端伺服器建立其他信任關係。
Signature
使用簽章者的識別名稱 (DN)。
LTPA
驗證記號。
JAAS 配置名稱 [Version 5 only]

指定 Java 鑑別和授權服務 (JAAS) 配置的名稱。

以下是可供您使用之預先定義的系統登入配置:
system.wssecurity.IDAssertion
使 5.x 版應用程式能夠使用身分主張,將使用者名稱對映至 WebSphere Application Server 認證主體。
system.wssecurity.Signature
使 5.x 版應用程式能夠將已簽章的憑證中的識別名稱 (DN) 對映至 WebSphere Application Server 認證主體。
system.LTPA_WEB
處理 Servlet 和 JavaServer Pages (JSP) 檔之類 Web 儲存器所用的登入要求。
system.WEB_INBOUND
處理 Web 應用程式要求的登入,其中包括 Servlet 和 JavaServer Pages。 WebSphere Application Server 5.1.1 版使用這個登入配置。
system.RMI_INBOUND
處理入埠遠端方法呼叫 (RMI) 要求的登入。 WebSphere Application Server 5.1.1 版使用這個登入配置。
system.DEFAULT
處理內部鑑別和大部分其他通訊協定所發出之入埠要求(Web 應用程式和 RMI 要求除外)的登入。 WebSphere Application Server 5.1.1 版使用這個登入配置。
system.RMI_OUTBOUND
處理當 com.ibm.CSIOutboundPropagationEnabled 內容為 true 因而出埠送往其他伺服器的 RMI 要求。這個內容是在 CSIv2 鑑別畫面中設定的。如果要存取這個畫面,請按一下安全 > 廣域安全。 展開 RMI/IIOP 安全之後,按一下 CSIv2 出埠鑑別。 如果要設定 com.ibm.CSIOutboundPropagationEnabled 內容,請選取傳送安全屬性
system.wssecurity.X509BST [Version 6 only]
檢查憑證和憑證路徑的有效性來驗證 X.509 二進位安全記號 (BST)。
system.wssecurity.PKCS7 [Version 6 only]
利用 PKCS7 物件中的憑證廢止清冊來驗證 X.509 憑證。
system.wssecurity.PkiPath [Version 6 only]
利用公開金鑰基礎架構 (PKI) 路徑來驗證 X.509 憑證。
system.wssecurity.UsernameToken [Version 6 only]
驗證基本鑑別 (BA)(使用者名稱和密碼)。
這些系統登入配置定義在系統登入畫面中,您可以完成下列步驟來存取它:
  1. 按一下安全 > 廣域安全
  2. 展開「Java 鑑別和授權服務」,按一下系統登入
小心: 預先定義的系統登入配置會列在「系統登入配置」畫面中,不含系統字首。 例如,Java 鑑別和授權服務 (JAAS) 配置名稱選項中所列出的 system.wssecurity.UsernameToken 配置對應於「系統登入配置」畫面中的 wssecurity.UsernameToken 配置。
您可以使用下列預先定義的應用程式登入配置:
ClientContainer
指定用戶端儲存器應用程式所用的登入配置,這個配置會用到用戶端儲存器部署描述子所定義的 CallbackHandler API。
WSLogin
指定是否所有應用程式都能利用 WSLogin 配置,來執行 WebSphere Application Server 安全執行時期的鑑別。
DefaultPrincipalMapping
指定登入配置,Java 2 Connectors (J2C) 利用它將使用者對映至 J2C 鑑別資料項目中定義的主體。
這些應用程式登入配置定義在「應用程式登入」畫面中,您可以完成下列步驟來存取這個畫面:
  1. 按一下安全 > 廣域安全
  2. 展開「Java 鑑別和授權服務」,然後按一下應用程式登入

請勿移除這些預先定義的系統或應用程式登入配置。在這些配置內,您可以新增模組類別名稱以及指定 WebSphere Application Server 載入每個模組的次序。

回呼處理常式 Factory 類別名稱 [Version 5 only]

指定 CallbackHandler 類別的 Factory 名稱。

您必須在這個欄位中實作 com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory 類別。

記號類型 URI [Version 5 only]

指定表示接受的安全記號類型之名稱空間統一資源識別碼 (URI)。

如果接受二進位安全記號,這個值就表示元素中的 ValueType 屬性。ValueType 元素用來識別安全記號類型及其名稱空間。 如果接受延伸標記語言 (XML) 記號,這個值就表示 XML 記號的最上層元素名稱。

如果先前在「鑑別方法」欄位中指定了保留字,就會忽略這個欄位。

資料類型: 除了非 ASCII 字元的 Unicode 字元,但包括井號 (#)、錢幣符號 (%) 和方括弧 ([ ])。
記號類型本端名稱 [Version 5 only]

指定安全記號類型的本端名稱,如 X509v3。

如果接受二進位安全記號,這個值就表示元素中的 ValueType 屬性。ValueType 屬性用來識別安全記號類型及其名稱空間。 如果接受延伸標記語言 (XML) 記號,這個值就表示 XML 記號的最上層元素名稱。

如果先前在「鑑別方法」欄位中指定了保留字,就會忽略這個欄位。

Nonce 存在期間上限 [Version 5 only]

指定 Nonce 時間戳記到期之前的時間(秒)。Nonce 是隨機產生的值。

您必須在「Nonce 存在期間上限」欄位中,指定至少 300 秒。 不過,最大值不能超出 Cell 層次或伺服器層次的「暫時性要求快取逾時值」欄位所指定的秒數。

您可以完成下列步驟來指定 Cell 層次的 Nonce 存在期間上限:
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
您可以完成下列步驟來指定伺服器層次的 Nonce 存在期間上限:
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
重要: 這個畫面的「暫時性要求存在期間上限」欄位是選用的,只有在指定了 BasicAuth 鑑別方法時才有效。 如果您指定另一個鑑別方法,且嘗試指定這個欄位的值,就會出現下列錯誤,您必須移除指定的值:不支援 BasicAuth 以外的鑑別方法使用暫時性要求。

如果您指定 BasicAuth 方法,但沒有指定「暫時性要求存在期間上限」欄位的值,Web 服務安全執行時期會搜尋伺服器層次的暫時性要求存在期間上限值。 如果找不到伺服器層次的值,執行時期會搜尋 Cell 層次。 如果伺服器層次或 Cell 層次的值都找不到,預設值就是 300 秒。

預設值 300 秒
範圍 300 至 Nonce 快取逾時值(秒)
Nonce 時鐘偏差 [Version 5 only]

指定 WebSphere Application Server 檢查訊息即時性時,所要考量的時間偏差值(秒)。Nonce 是隨機產生的值。

您可以完成下列步驟來指定 Cell 層次的 Nonce 時鐘偏差值:
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
您可以完成下列步驟來指定伺服器層次的 Nonce 時鐘偏差值:
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv

您必須在「Nonce 時鐘偏差」欄位中,指定至少零 (0) 秒。 不過,最大值不能超出這個「登入對映」畫面的「Nonce 存在期間上限」欄位所指定的秒數。

重要: 這個畫面的「暫時性要求時鐘偏差」欄位是選用的,只有在指定了 BasicAuth 鑑別方法時才有效。 如果您指定另一個鑑別方法,且嘗試指定這個欄位的值,就會出現下列錯誤,您必須移除指定的值:不支援 BasicAuth 以外的鑑別方法使用暫時性要求。
註: 如果您指定 BasicAuth,但沒有指定「Nonce 時間偏差」欄位的值,WebSphere Application Server 會搜尋伺服器層次的 Nonce 時間偏差值。如果找不到伺服器層次的值,執行時期會搜尋 Cell 層次。 如果伺服器層次或 Cell 層次的值都找不到,預設值就是零 (0) 秒。
預設值 0 秒
範圍 0 至 Nonce 存在期間上限(秒)



標示(線上)的鏈結表示需要存取網際網路。

相關概念
相關工作
相關參考
登入對映集合
預設連結與安全執行時期內容


檔名: uwbs_logmapn.html