Cette page permet de définir la liste des configurations de connexion système JAAS (Java Authentication and Authorization Service).
Traite les demandes de connexion entrantes pour l'appel de méthode à distance (RMI, Remote Method Invocation), les applications Web et la plupart des autres protocoles de connexion.
Ces trois configurations de connexion sont transmises dans les informations de rappel suivantes, gérées par les modules de connexion contenus dans ces configurations. Ces rappels ne sont pas transmis au même moment. Toutefois, leur combinaison détermine la façon dont le serveur d'applications authentifie l'utilisateur.
callbacks[0] = new javax.security.auth.callback.
NameCallback("NomUtilisateur : ");
callbacks[1] = new javax.security.auth.callback.PasswordCallback("Mot de passe :
", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
callbacks[3] = new com.ibm.wsspi.security.auth.callback.WSTokenHolderCallback("Liste de jetons
d'autorisation : ");
Dans les configurations de connexion système, le serveur d'applications authentifie l'utilisateur d'après les informations collectées par les rappels. Toutefois, les modules de connexion personnalisés n'ont besoin d'agir d'après aucun de ces rappels. La liste suivante décrit les combinaisons type de ces rappels :
Ce rappel se produit pour la vérification d'identité CSIv2, les connexions par certificats Web et CSIv2 X509, les anciennes connexions d'intercepteur de relations de confiance, etc. Lors des connexions par certificats Web et CSIv2 X509, le serveur d'applications mappe le certificat vers un nom d'utilisateur. Ce rappel est utilisé par tout type de connexion établissant la confiance uniquement à l'aide du nom d'utilisateur.
Cette combinaison de rappels est typique des connexions d'authentification standard. La plupart des authentifications d'utilisateur sont effectuées à l'aide de ces deux rappels.
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
getUserFromUniqueID(uniqueID)
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
callbacks[0] = new javax.security.auth.callback.
NameCallback("NomUtilisateur : ");
callbacks[1] = new javax.security.auth.callback.PasswordCallback("Mot de passe :
", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
Si les attributs sont ajoutés au sujet à partir d'un client pur, les rappels NameCallback et PasswordCallback authentifient les informations et les objets sérialisés dans le conteneur de jeton sont ajoutés au sujet authentifié.
Un module de connexion personnalisé doit gérer la sérialisation personnalisée. Pour plus d'informations, voir "Propagation des attributs de sécurité" dans le centre de documentation.
callbacks[4] = new com.ibm.websphere.security.auth.callback.WSServletRequestCallback("HttpServletRequest:
");
callbacks[5] = new com.ibm.websphere.security.auth.callback.WSServletResponseCallback("HttpServletResponse:
");
callbacks[6] = new com.ibm.websphere.security.auth.callback.WSAppContextCallback("ApplicationContextCallback:
");
callbacks[7] = new WSRealmNameCallbackImpl("Realm Name: ", <domaine_défaut>);
callbacks[8] = new WSX509CertificateChainCallback("X509Certificate[]:
");
Lorsque l'objet java.util.Hashtable est présent, le module de connexion mappe les attributs de l'objet à un sujet valide. Lorsque le rappel WSTokenHolderCallback est présent, le module de connexion désérialise les objets de jeton d'octets et régénère le contenu du sujet sérialisé. La table de hachage java.util.Hashtable est prioritaire sur toutes les autres formes de connexion. Veillez à éviter de dupliquer ou de remplacer ce que le serveur d'applications peut avoir propagé auparavant.
En spécifiant que la table de hachage java.util.Hashtable prévaut sur les autres informations d'authentification, le module de connexion personnalisé doit avoir déjà vérifié le jeton LTPA, le cas échéant, afin d'établir une confiance suffisante. Le module de connexion personnalisé peut utiliser la méthode com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validationLTPAToken(byte[]) pour valider le jeton LTPA présent dans le rappel WSCredTokenCallback. L'impossibilité de valider le jeton LTPA présente un risque en terme de sécurité.
Pour plus d'informations sur l'ajout d'une table de hachage contenant des attributs bien connus et bien formés utilisés par le serveur d'applications comme informations de connexion suffisantes, voir "Configuration du mappage d'identités entrantes" dans le centre de documentation.
Traite les demandes RMI (Remote Method Invocation) envoyées à un autre serveur lorsque les propriétés com.ibm.CSI.rmiOutboundLoginEnabled ou com.ibm.CSIOutboundPropagationEnabled ont la valeur true.
Cette configuration de connexion détermine les fonctions de sécurité du serveur cible et de son domaine de sécurité. Par exemple, si le serveur d'applications version 5.1.1 ou suivantes (ou 5.1.0.2 pour z/OS) communique avec un serveur d'applications version 5.x, le serveur d'applications version 5.1.1 envoie les informations d'authentification, à l'aide d'un jeton LTPA, au serveur d'applications version 5.x. Toutefois, si WebSphere Application Server, version 5.1.1 ou suivantes communique avec un serveur d'applications, version 5.1.x, les informations d'authentification et d'autorisation sont envoyées au serveur d'applications de réception si la propagation est activée au niveau du serveur d'origine et du serveur de réception. Lorsque le serveur d'applications envoie les informations d'authentification et d'autorisation en aval, il supprime la nécessité d'accéder de nouveau au registre d'utilisateurs et de vérifier les attributs de sécurité de l'utilisateur pour déterminer l'autorisation. Par ailleurs, les objets personnalisés ajoutés au serveur d'envoi figurent dans le sujet au niveau du serveur en aval.
Le rappel suivant est disponible dans la configuration de connexion RMI_OUTBOUND. Vous pouvez utiliser l'objet com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy renvoyé par ce rappel pour interroger la règle de sécurité pour cette demande sortante particulière. Cette interrogation peut permettre de déterminer si le domaine cible est différent du domaine en cours et si le serveur d'applications peut mapper le domaine. Pour plus d'informations, voir "Configuration d'un mappage sortant vers un domaine cible différent" dans le centre de documentation.
Fournit des informations sur les règles de protocole sur cet appel sortant. Ces informations permettent de déterminer le niveau de sécurité, y compris le domaine cible, les exigences de sécurité cible et les exigences de sécurité combinées.
csiv2PerformPolicy = (CSIv2PerformPolicy)
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();
Un protocole autre que RMI peut avoir un type d'objet règle différent.
Vous pouvez utiliser un module de connexion personnalisé avant ce module de connexion pour effectuer un mappage de justificatifs. Il est toutefois conseillé que le module de connexion change le contenu du sujet transmis pendant la phase de connexion. Si cette recommandation est suivie, les modules de connexion sont traités après que celui-ci ait agi sur le nouveau contenu du sujet.
Pour plus d'informations, voir "Configuration d'un mappage sortant vers un domaine cible différent" dans le centre de documentation.
Traite les demandes dans un environnement monoserveur lorsque SWAM (Simple WebSphere Authentication Mechanism) est utilisé comme méthode d'authentification.
Traite les demandes de configuration de connexion pour la sécurité des services Web à l'aide de la vérification d'identité.
Cette configuration de connexion est destinée aux applications Web Services Security Draft 13 JAX-RPC (Version 5.x). Pour plus d'informations, voir "Méthode d'authentification par assertion d'identité" dans le centre de documentation.
Traite les demandes de configuration de connexion pour la sécurité des services Web à l'aide de la vérification d'identité.
Cette configuration de connexion est destinée aux applications Web Services Security V1.0 JAX-RPC.
La propriété personnalisée com.ibm.wsspi.wssecurity.auth.module.IDAssertionLoginModule.disableUserRegistryCheck peut être configurée pour le module de connexion JAAS IDAssertionUsernameToken. Cette propriété est une option pour le module de connexion JAASC Web Services Security Identity Assertion wssecurity.IDAssertionUsernameToken. La propriété indique que le module de connexion ne doit pas contrôler le registre des utilisateurs quand il traite un jeton d'identité entrant.
Vérifie un certificat X.509 avec une liste de révocation de certificat dans un objet Public Key Cryptography Standards #7 (PKCS7).
Cette configuration de connexion s'applique aux systèmes utilisant la version 6.0.x.
Vérifie un certificat X.509 avec un chemin PKI (Public Key Infrastructure).
Cette configuration de connexion s'applique aux systèmes utilisant la version 6.0.x.
Traite les demandes de configuration de connexion pour la sécurité des services Web à l'aide de la validation de signature numérique.
Cette configuration de connexion s'applique aux systèmes utilisant la version 5.x.
Vérifie l'authentification de base (nom d'utilisateur et mot de passe).
Quand vous utilisez l'environnement d'exécution JAX-RPC, les propriétés personnalisées suivantes doivent être configurées pour le module de connexion JAAS UsernameToken :
La propriété personnalisée com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck peut être configurée pour le module de connexion JAAS UsernameToken. Cette propriété est une option pour le module de connexion JAAS de sécurité de services Web UsernameToken, com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule. La propriété indique que le module de connexion ne doit pas contrôler le registre des utilisateurs quand il traite un jeton de nom d'utilisateur entrant.
Vérifie un BST (jeton de sécurité binaire) X.509 en contrôlant la validité du certificat et le chemin d'accès de celui-ci.
Cette configuration de connexion s'applique aux systèmes utilisant la version 6.0.x.
Traite les demandes de connexion aux composants du conteneur Web comme les servlets et les pages JSP (JavaServer pages).
Le module de connexion com.ibm.ws.security.web.AuthenLoginModule est prédéfini dans la configuration de connexion LTPA. Vous pouvez ajouter des modules de connexion personnalisés avant ou après ce module dans la configuration de connexion LTPA_WEB.
La configuration de connexion LTPA_WEB peut traiter l'objet HttpServletRequest, l'objet HttpServletResponse, ainsi que le nom de l'application Web transmis à l'aide d'un gestionnaire de rappels. Pour plus d'informations, voir "Exemple : Personnalisation de l'authentification JAAS (Java Authentication and Auhtorization Service) et de la configuration de connexion" dans le centre de documentation.
Traite les demandes de connexion qui ne sont pas gérées par la configuration de connexion LTPA_WEB.
Cette configuration de connexion est utilisée par WebSphere Application Server Version 5.1 et versions précédentes.
Le module de connexion com.ibm.ws.security.server.lm.ltpaLoginModule est prédéfini dans la configuration de connexion LTPA. Vous pouvez ajouter des modules de connexion personnalisés avant ou après ce module dans la configuration de connexion LTPA. Pour plus d'informations, voir "Exemple : Personnalisation de l'authentification JAAS (Java Authentication and Auhtorization Service) et de la configuration de connexion" dans le centre de documentation.
Les liens marqués (en ligne) requièrent un accès à Internet.