このページを使用して、Java™ Authentication and Authorization Service (JAAS) システム・ログイン構成のリストを指定します。
Remote Method Invocation (RMI)、Web アプリケーション、 およびその他のほとんどのログイン・プロトコルのインバウンド・ログイン要求を処理します。
これらの 3 つのログイン構成は、以下のコールバック情報に含まれて、受け渡されます。 コールバック情報は、これらの構成内のログイン・モジュールによって処理されます。これらのコールバックは、 同時には受け渡されません。ただし、これらのコールバックの組み合わせにより、アプリケーション・サーバーがユーザーを 認証する方法が決定されます。
callbacks[0] = new javax.security.auth.callback.NameCallback("Username:
");
callbacks[1] = new javax.security.auth.callback.PasswordCallback("Password:
", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential
Token: ");
callbacks[3] = new com.ibm.wsspi.security.auth.callback.WSTokenHolderCallback("Authz
Token List: ");
システム・ログイン構成で、アプリケーション・サーバーは、コールバックによって収集された情報に基づいてユーザーを認証します。ただし、カスタム・ログイン・モジュールは、 これらのいずれのコールバック上でも動作する必要はありません。以下のリストで、 これらのコールバックの典型的な組み合わせについて説明します。
CSIv2 ID アサーション、Web および CSIv2 X509 証明書ログイン、旧式のトラスト・アソシエーション・ インターセプター・ログインなどに対して、 このコールバックが発生します。 Web および CSIv2 X509 証明書ログインでは、アプリケーション・サーバーは、 証明書をユーザー名にマップします。このコールバックは、ユーザー名のみを使用してトラストを確立する すべてのログイン・タイプで使用されます。
このコールバックの組み合わせは、 基本認証ログインで一般的に使用されます。 ほとんどのユーザー認証は、これらの 2 つのコールバックを使用している際に行われます。
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
getUserFromUniqueID(uniqueID)
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
callbacks[0] = new javax.security.auth.callback.NameCallback("Username:
");
callbacks[1] = new javax.security.auth.callback.PasswordCallback("Password:
", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential
Token: ");
属性が、純粋なクライアントからのサブジェクトに追加される場合 、NameCallback および PasswordCallback コールバックにより情報が認証され、 トークン・ホルダーでシリアライズされたオブジェクトが認証済みサブジェクトに追加されます。
カスタム・ログイン・モジュールは、カスタム・シリアライゼーションを処理する必要があります。 詳しくは、インフォメーション・センターの『セキュリティー属性の伝搬』を参照してください。
callbacks[4] = new com.ibm.websphere.security.auth.callback.WSServletRequestCallback("HttpServletRequest:
");
callbacks[5] = new com.ibm.websphere.security.auth.callback.WSServletResponseCallback("HttpServletResponse:
");
callbacks[6] = new com.ibm.websphere.security.auth.callback.WSAppContextCallback("ApplicationContextCallback:
");
callbacks[7] = new WSRealmNameCallbackImpl("Realm Name: ", <default_realm>);
callbacks[8] = new WSX509CertificateChainCallback("X509Certificate[]: ");
java.util.Hashtable オブジェクトが存在する場合、ログイン・モジュールは、 オブジェクト属性を有効なサブジェクトにマップします。WSTokenHolderCallback コールバックが存在する場合、ログイン・モジュールは、バイト・トークン・オブジェクトを デシリアライズし、シリアライズされたサブジェクトのコンテンツを再生成します。java.util.Hashtable ハッシュ・テーブルは、他のすべてのログイン・フォームより優先されます。 アプリケーション・サーバーによって以前に伝搬されたものが複製またはオーバーライドされないように注意してください。
java.util.Hashtable ハッシュ・テーブルを、他の認証情報に優先するように指定することにより、 カスタム・ログイン・モジュールは、LTPA トークンがあれば、それが十分なトラストを確立するように検証したはずです。カスタム・ログイン・モジュールは、 com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validationLTPAToken(byte[]) メソッドを使用して、WSCredTokenCallback コールバックに存在する LTPA トークンを検証することができます。LTPA トークンの検証に失敗すると、 セキュリティー・リスクが発生します。
アプリケーション・サーバーが十分なログイン情報として使用する、 既知の、適切な形式の属性を含むハッシュ・テーブルの追加について詳しくは、インフォメーション・センターの 『インバウンド ID マッピングの構成』を参照してください。
com.ibm.CSI.rmiOutboundLoginEnabled プロパティーまたは com.ibm.CSIOutboundPropagationEnabled プロパティーのどちらかが true である場合に、 別のサーバーにアウトバウンド送信されるリモート・メソッド呼び出し (RMI) 要求を処理します。
このログイン構成により、ターゲット・サーバーおよび そのセキュリティー・ドメインのセキュリティー機能が決定されます。 例えば、アプリケーション・サーバーのバージョン 5.1.1 以降 (または、z/OS® の場合は 5.1.0.2) がバージョン 5.x のアプリケーション・サーバーと通信する場合、バージョン 5.1.1 のアプリケーション・サーバー は、LTPA トークンを使用して、認証情報のみをバージョン 5.x のアプリケーション・サーバーに送信します。しかし、WebSphere® Application Server バージョン 5.1.1 以降がバージ ョン 5.1.x アプリケーション・サーバーと通信する場合は、送信側と受信側の両方のサーバーで伝搬が使用可能になっていれば、 認証情報と許可情報が受信アプリケーション・サーバーに送信されます。 アプリケーション・サーバーが認証情報と許可情報の両方をダウンストリームに送信する場合は、 アプリケーション・サーバーは、ユーザー・レジストリーに再度アクセスして、 許可目的でユーザーのセキュリティー属性を検索する必要がなくなります。 さらに、送信サーバーで追加されるカスタム・オブジェクトは、 ダウンストリーム・サーバーのサブジェクト内に存在します。
RMI_OUTBOUND ログイン構成では以下のコールバックが使用可能です。 このコールバックによって戻された com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy オブジェクトを使用して、この特定のアウトバウンド要求のセキュリティー・ポリシーを照会することができます。 この照会は、ターゲット・レルムが現行レルムと異なるかどうか、 および、アプリケーション・サーバーがレルムをマップしなければならないかどうかを判別する際に役立ちます。 詳しくは、インフォメーション・センターの『異なるターゲット・レルムへのアウトバウンド・マッピングの構成』 を参照してください。
このアウトバウンド呼び出しでのログイン・モジュールのプロトコル固有のポリシー情報を提供します。 この情報は、ターゲット・レルム、ターゲット・セキュリティー要件、および合体セキュリティー要件を含む セキュリティーのレベルを判別するために使用します。
csiv2PerformPolicy = (CSIv2PerformPolicy)
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();
RMI 以外のプロトコルでは、異なるタイプのポリシー・オブジェクトが使用される可能性があります。
このログイン・モジュールの前にカスタム・ログイン・モジュールを使用して、 クレデンシャル・マッピングを実行することができます。ただし、ログイン・モジュールを用いて、 ログイン・フェーズで渡されるサブジェクトのコンテンツを変更することをお勧めします。この推奨方法に従う場合、 このログイン・モジュールが新規サブジェクト・コンテンツ上で動作した後に、それらのログイン・モジュールが処理されます。
詳しくは、インフォメーション・センターの『異なるターゲット・レルムへのアウトバウンド・マッピングの構成』 を参照してください。
Simple WebSphere Authentication Mechanism (SWAM) が認証メソ ッドとして使用されている場合に、 単一サーバー環境でログイン要求を処理します。
ID アサーションを使用して Web サービス・セキュリティーのログイン構成要求を処理します。
このログイン構成は、Web Services Security ドラフト 13 JAX-RPC (バージョン 5.x) アプリケーション用です。 詳しくは、 インフォメーション・センターの『ID アサーション認証メソッド』を参照してください。
ID アサーションを使用して Web サービス・セキュリティーのログイン構成要求を処理します。
このログイン構成は、Web Services Security V1.0 JAX-RPC アプリケーション用です。
カスタム・プロパティーの com.ibm.wsspi.wssecurity.auth.module.IDAssertionLoginModule.disableUserRegistryCheck を JAAS IDAssertionUsernameToken ログイン・モジュール用に構成することができます。 このプロパティーは、Web サービス・セキュリティーの ID アサーション JAAS ログイン・モジュールである wssecurity.IDAssertionUsernameToken のオプションです。 このプロパティーでは、インバウンド ID トークンの処理中に、ログイン・モジュールがユーザー・レジストリーをチェックしないように指定します。
Public Key Cryptography Standards #7 (PKCS7) オブジェクトの証明書失効リストで、X.509 証明書を検査します。
このログイン構成は、バージョン 6.0.x システムに対応しています。
Public Key Infrastructure (PKI) パスで X.509 証明書を検査します。
このログイン構成は、バージョン 6.0.x システムに対応しています。
デジタル・シグニチャー検証を使用して、Web サービス・セキュリティーのログイン構成要求を処理します。
このログイン構成は、バージョン 5.x システムに対応しています。
基本認証 (ユーザー名およびパスワード) を検査します。
JAX-RPC ランタイムを使用して、以下のカスタム・プロパティーを JAAS UsernameToken ログイン・モジュール用に構成することができます。
カスタム・プロパティーの com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck を JAAS UsernameToken ログイン・モジュール用に構成することができます。 このプロパティーは、Web サービス・セキュリティーの UsernameToken JAAS ログイン・モジュールである com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule のオプションです。 このプロパティーでは、インバウンド・ユーザー名トークンの処理中に、ログイン・モジュールがユーザー・レジストリーをチェックしないように指定します。
証明書および証明書パスの妥当性を検査することによって、X.509 バイナリー・セキュリティー・トークン (BST) を検査します。
このログイン構成は、バージョン 6.0.x システムに対応しています。
サーブレット、JavaServer Pages (JSP) ファイルなど、Web コンテナーのコンポーネントに対するログイン要求を処理します。
com.ibm.ws.security.web.AuthenLoginModule ログイン・モジュールは、 LTPA ログイン構成で事前定義されています。カスタム・ログイン・モジュールは 、LTPA_WEB ログイン構成で、このモジュールの前または後に追加することができます。
LTPA_WEB ログイン構成は、コールバック・ハンドラーを使用して渡される HttpServletRequest オブジェクト 、HttpServletResponse オブジェクト、および Web アプリケーション名を処理することができます。 詳しくは、インフォメーション・センターの 『例: サーバー・サイドの Java Authentication and Authorization Service の認証およびログオン構成のカスタマイズ』を参照してください。
LTPA_WEB ログイン構成では処理されないログイン要求を処理します。
このログイン構成は、WebSphere Application Server バージョン 5.1 以前のバージョンによって使用されます。
com.ibm.ws.security.server.lm.ltpaLoginModule ログイン・モジュールは、 LTPA ログイン構成で事前定義されています。カスタム・ログイン・モジュールは 、LTPA ログイン構成で、このモジュールの前または後に追加することができます。 詳しくは、インフォメーション・センターの 『例: サーバー・サイドの Java Authentication and Authorization Service の認証およびログオン構成のカスタマイズ』を参照してください。
マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。