Ustawienia konfiguracji odwzorowania logowania

Ta strona służy do określania ustawień konfiguracyjnych logowania JAAS (Java Authentication and Authorization Service) używanych do sprawdzania poprawności znaczników zabezpieczeń w komunikatach przychodzących.

Ważne: Istnieje istotna różnica między aplikacjami w wersji 5.x i aplikacjami w wersji 6 oraz nowszymi. Informacje zawarte w tym artykule dotyczą tylko aplikacji w wersji 5.x używanych przez serwer WebSphere Application Server w wersji 6.0.x i nowszych. Informacje te nie dotyczą aplikacji w wersji 6.0.x oraz nowszych.
Aby wyświetlić tę stronę Konsoli administracyjnej z poziomu komórki, wykonaj następujące kroki:
  1. Kliknij opcję Zabezpieczenia > Środowisko wykonawcze zabezpieczeń JAX-WS i JAX-RPC.
  2. W obszarze Właściwości dodatkowe kliknij opcję Odwzorowania logowania.
  3. Kliknij opcję Nowa, aby utworzyć nową konfigurację odwzorowania logowania, lub kliknij nazwę istniejącej konfiguracji.
Aby wyświetlić tę stronę Konsoli administracyjnej z poziomu serwera, wykonaj następujące kroki:
  1. Kliknij opcję Serwery>Typy serwerów>Serwery aplikacji WebSphere> nazwa_serwera.
  2. W obszarze Zabezpieczenia kliknij opcję Środowisko wykonawcze zabezpieczeń JAX-WS i JAX-RPC.
    Środowisko z różnymi wersjami: W komórce z węzłami mieszanymi, która zawiera serwer korzystający z produktu WebSphere Application Server w wersji 6.1 lub wcześniejszej, kliknij opcję Usługi Web Service: Domyślne powiązania zabezpieczeń usług Web Service.mixv
  3. W obszarze Właściwości dodatkowe kliknij opcję Odwzorowania logowania.
  4. Kliknij opcję Nowa, aby utworzyć nową konfigurację odwzorowania logowania, lub kliknij nazwę istniejącej konfiguracji.
Aby wykorzystać tę stronę Konsoli administracyjnej z poziomu aplikacji, wykonaj następujące kroki:
  1. Kliknij opcję Aplikacje>Typy aplikacji>Aplikacje korporacyjne WebSphere> nazwa_aplikacji.
  2. W obszarze Moduły kliknij opcję Zarządzaj modułami > nazwa_identyfikatora_URI.
  3. W obszarze Właściwości zabezpieczeń usług Web Service kliknij opcję Usługi Web Service: Powiązania zabezpieczeń serwera.
  4. Kliknij opcję Edytuj w obszarze Powiązanie odbiornika żądań.
  5. Kliknij opcję Odwzorowania logowania.
  6. Kliknij opcję Nowa, aby utworzyć nową konfigurację odwzorowania logowania, lub kliknij nazwę istniejącej konfiguracji.
Ważne: Jeśli konfiguracja odwzorowania logowania nie zostanie znaleziona na poziomie aplikacji, środowisko wykonawcze usług Web Service poszuka jej na poziomie serwera. Jeśli konfiguracja nie zostanie znaleziona na poziomie serwera, środowisko wykonawcze usług Web Service będzie szukać jej na poziomie komórki.
Metoda uwierzytelniania [Tylko wersja 5]

Określa metodę uwierzytelniania.

Można użyć dowolnego ciągu znaków, ale ciąg ten musi być zgodny z elementem konfiguracji na poziomie usługi. Następujące słowa są zastrzeżone i mają specjalne znaczenie:
BasicAuth
Używa zarówno nazwy użytkownika, jak i hasła.
IDAssertion
Używa nazwy użytkownika, ale wymaga ustanowienia przez serwer odbierający dodatkowej relacji zaufania przy użyciu mechanizmu TrustedIDEvaluator.
Signature
Używa nazwy wyróżniającej (DN) podpisującego.
LTPA
Uwierzytelnia znacznik.
Nazwa konfiguracji JAAS [Tylko wersja 5]

Określa nazwę konfiguracji JAAS (Java Authentication and Authorization Service).

Do predefiniowanych konfiguracji logowania w systemie, których można używać, należą następujące konfiguracje:
system.wssecurity.IDAssertion
Aktywuje w aplikacji w wersji 5.x funkcję asercji tożsamości, która odwzorowuje nazwę użytkownika na referencję/nazwę użytkownika serwera WebSphere Application Server.
system.wssecurity.Signature
Aktywuje w aplikacji w wersji 5.x odwzorowanie nazwy wyróżniającej (DN) w certyfikacie podpisanym na referencję/nazwę użytkownika serwera WebSphere Application Server.
system.LTPA_WEB
Obsługuje żądania logowania, używane przez kontener WWW, takie jak serwlety oraz pliki JSP (JavaServer Pages).
system.WEB_INBOUND
Obsługuje logowania żądań aplikacji WWW, między innymi serwletów i plików JSP (JavaServer Pages). Ta konfiguracja logowania jest używana przez serwer WebSphere Application Server 5.1.1.
system.RMI_INBOUND
Obsługuje logowania przychodzących żądań RMI (Remote Method Invocation). Ta konfiguracja logowania jest używana przez serwer WebSphere Application Server 5.1.1.
system.DEFAULT
Obsługuje logowania dla żądań przychodzących inicjowanych przez uwierzytelniania wewnętrzne i większość innych protokołów z wyjątkiem aplikacji sieciowych i żądań RMI. Ta konfiguracja logowania jest używana przez serwer WebSphere Application Server 5.1.1.
system.RMI_OUTBOUND
Obsługuje wychodzące żądania RMI, kiedy właściwość com.ibm.CSIOutboundPropagationEnabled jest ustawiona na true. Właściwość ta jest ustawiana w panelu uwierzytelniania CSIv2. Aby wyświetlić ten panel, kliknij opcję Zabezpieczenia > Zabezpieczenia globalne. Rozwiń pozycję Zabezpieczenia RMI/IIOP, a następnie kliknij opcję Uwierzytelnianie danych wychodzących protokołu CSIv2. Aby ustawić właściwość com.ibm.CSIOutboundPropagationEnabled, kliknij opcję Propagacja atrybutu zabezpieczeń.
system.wssecurity.X509BST [Tylko wersja 6]
Sprawdza poprawność binarnego tokenu zabezpieczeń (BST) dla certyfikatu X.509, weryfikując ważność certyfikatu i ścieżki certyfikatu.
system.wssecurity.PKCS7 [Tylko wersja 6]
Weryfikuje certyfikat X.509, korzystając z listy odwołań certyfikatu w obiekcie PKCS7.
system.wssecurity.PkiPath [Tylko wersja 6]
Weryfikuje certyfikat X.509 za pomocą ścieżki infrastruktury kluczy publicznych (PKI).
system.wssecurity.UsernameToken [Tylko wersja 6]
Sprawdza poprawność uwierzytelniania podstawowego (nazwa użytkownika i hasła).
Te konfiguracje logowania do systemu są zdefiniowane na panelu logowania do systemu, który staje się dostępny po wykonaniu następujących kroków:
  1. Kliknij opcję Zabezpieczenia > Zabezpieczenia globalne.
  2. Rozwiń pozycję Usługa JAAS (Java Authentication and Authorization Service) i kliknij opcję Logowania do systemu.
Ostrzeżenie: Predefiniowane konfiguracje logowania do systemu znajdują się na liście w panelu logowania do systemu, bez prefiksu systemowego. Na przykład konfiguracja system.wssecurity.UsernameToken wymieniona w opcji nazwy konfiguracji JAAS (Java Authentication and Authorization Service) odpowiada konfiguracji wssecurity.UsernameToken znajdującej się w panelu konfiguracji logowania do systemu.
Możesz użyć następujących predefiniowanych konfiguracji logowania do systemu:
ClientContainer (Kontener klienta)
Określa konfigurację logowania używaną przez aplikację kontenera klienta, która wykorzystuje funkcję API CallbackHandler, zdefiniowaną w deskryptorze wdrażania zasobnika klienta.
WSLogin
Określa, czy wszystkie aplikacje mogą używać konfiguracji logowania WSLogin na potrzeby operacji uwierzytelniania w środowisku wykonawczym zabezpieczeń serwera WebSphere Application Server.
DefaultPrincipalMapping (Domyślne odwzorowanie podstawowe)
Określa konfigurację logowania używaną przez konektory J2C (Java 2 Connector) do odwzorowywania użytkowników na nazwy użytkowników zdefiniowane we wpisach danych uwierzytelniania J2C.
Te konfiguracje logowania do aplikacji są definiowane w panelu logowania do aplikacji, który staje się dostępny po wykonaniu następujących kroków:
  1. Kliknij opcję Zabezpieczenia > Zabezpieczenia globalne.
  2. Rozwiń pozycję Java Authentication and Authorization Service, a następnie kliknij opcję Logowanie do aplikacji.

Nie usuwaj predefiniowanych konfiguracji logowania do systemu lub do aplikacji. W ramach tych konfiguracji można dodać nazwy klas modułów i określić kolejność ładowania poszczególnych modułów przez serwer WebSphere Application Server.

Nazwa klasy fabryki procedur obsługi wywołania zwrotnego [Tylko wersja 5]

Określa nazwę fabryki dla klasy CallbackHandler.

W tym polu należy implementować klasę com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory.

Identyfikator URI typu znacznika [Tylko wersja 5]

Określa identyfikator URI (Uniform Resource Identifier) przestrzeni nazw oznaczający typ znacznika zabezpieczeń, który jest akceptowany.

Jeśli binarne znaczniki zabezpieczeń są zaakceptowane, wartość oznacza atrybut ValueType w tym elemencie. Element ValueType identyfikuje typ znacznika zabezpieczeń i jego przestrzeń nazw. Jeśli znaczniki XML (Extensible Markup Language) są akceptowane, wartość oznacza nazwę elementu znacznika XML najwyższego poziomu.

Jeśli słowa zastrzeżone zostaną wcześniej określone w polu Metoda uwierzytelniania, to pole jest ignorowane.

Typ danych: Znaki Unicode z wyjątkiem znaków innych niż ASCII, ale ze znakami numeru (#), procentu (%) i nawiasu kwadratowego ([ ]).
Nazwa lokalna typu znacznika [Tylko wersja 5]

Określa lokalną nazwę typu znacznika zabezpieczeń, na przykład X509v3.

Jeśli binarne znaczniki zabezpieczeń są zaakceptowane, wartość oznacza atrybut ValueType w tym elemencie. Atrybut ValueType identyfikuje typ znacznika zabezpieczeń i jego przestrzeń nazw. Jeśli znaczniki XML (Extensible Markup Language) są akceptowane, wartość oznacza nazwę elementu znacznika XML najwyższego poziomu.

Jeśli słowa zastrzeżone zostaną wcześniej określone w polu Metoda uwierzytelniania, to pole jest ignorowane.

Maksymalny wiek wartości jednorazowych [Tylko wersja 5]

Określa czas (w sekundach) do utraty ważności datownika. Wartość jednorazowa jest generowana losowo.

W polu Maksymalny czas przechowywania wartości jednorazowych należy podać wartość nie mniejszą niż 300 sekund. Jednak wartość maksymalna nie może przekroczyć liczby sekund określonych w polu Czas buforowania wartości jednorazowej na poziomie komórki albo na poziomie serwera.

Możliwe jest określenie wartości Czas buforowania wartości jednorazowych na poziomie komórki. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij opcję Zabezpieczenia > Środowisko wykonawcze zabezpieczeń JAX-WS i JAX-RPC.
Możliwe jest określenie wartości Czas buforowania wartości jednorazowych na poziomie serwera. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij opcję Serwery>Typy serwerów>Serwery aplikacji WebSphere> nazwa_serwera.
  2. W obszarze Zabezpieczenia kliknij opcję Środowisko wykonawcze zabezpieczeń JAX-WS i JAX-RPC.
    Środowisko z różnymi wersjami: W komórce z węzłami mieszanymi, która zawiera serwer korzystający z produktu WebSphere Application Server w wersji 6.1 lub wcześniejszej, kliknij opcję Usługi Web Service: Domyślne powiązania zabezpieczeń usług Web Service.mixv
Ważne: Pole Maksymalny czas przechowywania wartości jednorazowej jest opcjonalne; jest wymagane tylko wtedy, gdy zostanie określona metoda uwierzytelniania BasicAuth. Jeśli zostanie podana inna metoda uwierzytelniania, podczas próby wpisania wartości do tego pola zostanie wyświetlony następujący komunikat o błędzie: Wartość jednorazowa nie jest obsługiwana przez metody uwierzytelniania inne niż BasicAuth. Wówczas należy usunąć wprowadzoną wartość.

Jeśli zostanie podana metoda BasicAuth, ale pole Maksymalny czas przechowywania wartości jednorazowej nie zostanie wypełnione, środowisko wykonawcze zabezpieczeń usług Web Services wykona wyszukiwanie tej wartości na poziomie serwera. Jeśli wartość nie zostanie znaleziona na poziomie serwera, środowisko wykonawcze będzie szukać jej na poziomie komórki. Jeśli wartość ta nie zostanie znaleziona na żadnym poziomie, zostanie przyjęta wartość domyślna równa 300 sekund.

Wartość domyślna 300 sekund
Zakres Wartość jednorazowa jest przechowywana co najwyżej przez 300 sekund.
Przesunięcie zegara dla wartości jednorazowej [Tylko wersja 5]

Określa wartość przesunięcia zegara w sekundach. Po upływie tego czasu serwer WebSphere Application Server sprawdzi aktualność komunikatu. Wartość jednorazowa jest generowana losowo.

Przesunięcie zegara dla wartości jednorazowych można określić na poziomie komórki. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij opcję Zabezpieczenia > Środowisko wykonawcze zabezpieczeń JAX-WS i JAX-RPC.
Wartość Przesunięcie zegara dla wartości jednorazowej można określić na poziomie serwera. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij opcję Serwery>Typy serwerów>Serwery aplikacji WebSphere> nazwa_serwera.
  2. W obszarze Zabezpieczenia kliknij opcję Środowisko wykonawcze zabezpieczeń JAX-WS i JAX-RPC.
    Środowisko z różnymi wersjami: W komórce z węzłami mieszanymi, która zawiera serwer korzystający z produktu WebSphere Application Server w wersji 6.1 lub wcześniejszej, kliknij opcję Usługi Web Service: Domyślne powiązania zabezpieczeń usług Web Service.mixv

W polu Przesunięcie zegara dla wartości jednorazowej należy podać wartość nie mniejszą niż zero sekund. Jednak wartość maksymalna nie może przekroczyć liczby sekund określonych w polu Maksymalny czas przechowywania wartości jednorazowych w tym panelu odwzorowań logowania.

Ważne: Pole Przesunięcie zegara dla wartości jednorazowej jest opcjonalne; jest wymagane tylko wtedy, gdy zostanie określona metoda uwierzytelniania BasicAuth. Jeśli zostanie podana inna metoda uwierzytelniania, podczas próby wpisania wartości do tego pola zostanie wyświetlony następujący komunikat o błędzie: Wartość jednorazowa nie jest obsługiwana przez metody uwierzytelniania inne niż BasicAuth. Wówczas należy usunąć wprowadzoną wartość.
Uwaga: Jeśli zostanie określone uwierzytelnianie BasicAuth, ale nie zostanie określona wartość pola Przesunięcie zegara dla wartości jednorazowej, serwer Websphere Application Server przeprowadzi wyszukiwanie tej wartości na poziomie serwera. Jeśli wartość nie zostanie znaleziona na poziomie serwera, środowisko wykonawcze będzie szukać jej na poziomie komórki. Jeśli wartość ta nie zostanie znaleziona ani na poziomie serwera ani na poziomie komórki, zostanie przyjęta wartość domyślna równa zero (0) sekund.
Wartość domyślna 0 sekund
Zakres Liczba sekund z zakresu od 0 do wartości Maksymalny czas przechowywania wartości jednorazowych



Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Pojęcia pokrewne
Zadania pokrewne
Odsyłacze pokrewne
Kolekcja odwzorowań logowania
Właściwości domyślnych powiązań i środowiska wykonawczego zabezpieczeń


Nazwa pliku: uwbs_logmapn.html