Na této stránce můžete zadat seznam konfigurací služby JAAS (Java Authentication and Authorization Service) pro přihlášení k systému.
Zpracovává příchozí žádosti o přihlášení pro službu RMI (Remote Method Invocation), webové aplikace a většinu dalších přihlašovacích protokolů.
Tyto tři konfigurace přihlašování budou předávat následující údaje zpětného volání, které jsou zpracovávány přihlašovacími moduly v rámci těchto konfigurací. Tato zpětná volání nejsou předávána zároveň. Avšak kombinace těchto zpětných volání určuje způsob, jakým aplikační server ověřuje uživatele.
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
callbacks[3] = new com.ibm.wsspi.security.auth.callback.
WSTokenHolderCallback("Authz Token List: ");
V konfiguracích přihlášení k systému je uživatel aplikačním serverem ověřován na základě údajů shromážděných prostřednictvím zpětných volání. Modul vlastního přihlašování však nemusí jednat podle žádného z těchto zpětných volání. V následujícím seznamu jsou uvedeny obvyklé kombinace těchto zpětných volání:
Toto zpětné volání se používá pro deklaraci identity CSIv2, pro webová přihlášení nebo přihlášení CSIv2 s certifikátem X509, pro přihlášení s použitím modulu TAI staršího typu atd. Při webových přihlášeních a přihlášeních CSIv2 s certifikátem X509 aplikační server mapuje certifikát na jméno uživatele. Toto zpětné volání je používáno pro kterékoli typy přihlášení, které vytvářejí vztah důvěryhodnosti pouze prostřednictvím jména uživatele.
Tato kombinace zpětných volání je typická pro přihlašování se základním ověřováním. Většina ověřování uživatelů je prováděna s použitím těchto dvou zpětných volání.
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
getUserFromUniqueID(uniqueID)
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
Pokud jsou atributy přidány do subjektu přímo z klienta, budou tyto informace ověřeny prostřednictvím zpětného volání NameCallback a PasswordCallback a objekty serializované v držiteli tokenu budou přidány do ověřeného subjektu.
Vlastní serializace musí být zpracována vlastním přihlašovacím modulem. Další informace najdete v informačním centru v části Šíření atributů zabezpečení.
callbacks[4] = new com.ibm.websphere.security.auth.callback.
WSServletRequestCallback("HttpServletRequest: ");
callbacks[5] = new com.ibm.websphere.security.auth.callback.
WSServletResponseCallback("HttpServletResponse: ");
callbacks[6] = new com.ibm.websphere.security.auth.callback.
WSAppContextCallback("ApplicationContextCallback: ");
callbacks[7] = new WSRealmNameCallbackImpl("Realm Name: ", <default_realm>);
callbacks[8] = new WSX509CertificateChainCallback("X509Certificate[]: ");
Pokud existuje objekt java.util.Hashtable, přihlašovací modul mapuje atributy objektu do platného subjektu. Pokud existuje zpětné volání WSTokenHolderCallback, přihlašovací modul deserializuje bajtové objekty tokenu a znovu vygeneruje serializovaný obsah subjektu. Hašovací tabulka java.util.Hashtable má přednost před všemi ostatními formami přihlašování. Přitom je třeba zachovávat obezřetnost, aby nedošlo k duplikování nebo přepsání údajů, které mohly být aplikačním serverem šířeny dříve.
Vzhledem ke specifikaci hašovací tabulky java.util.Hashtable, která má přednost před ostatními ověřovacími údaji, již muselo proběhnout ověření tokenu LTPA (pokud existuje) vlastním přihlašovacím modulem s cílem navázání dostatečně důvěryhodného vztahu. Vlastní přihlašovací modul může použít metodu com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validationLTPAToken(byte[]) pro ověření tokenu LTPA, který existuje v rámci zpětného volání WSCredTokenCallback. Neúspěšné ověření tokenu LTPA představuje bezpečnostní riziko.
Další informace o přidání hašovací tabulky obsahující známé a správně vytvořené atributy, které jsou aplikačním serverem používány jako dostatečné informace pro přihlášení, najdete v informačním centru v části Konfigurování mapování příchozí identity.
Zpracovává požadavky RMI (Remote Method Invocation) odeslané na jiný server, je-li pro vlastnost com.ibm.CSI.rmiOutboundLoginEnabled nebo com.ibm.CSIOutboundPropagationEnabled nastavena hodnota true.
Tato konfigurace přihlašování určuje funkce zabezpečení cílového serveru a příslušné domény zabezpečení. Pokud například server Application Server verze 5.1.1 nebo novější (nebo 5.1.0.2 pro systém z/OS) komunikuje se serverem Application Server verze 5.x, odesílá server Application Server verze 5.1.1 ověřovací údaje pouze do serveru Application Server verze 5.x s použitím tokenu LTPA. Pokud však server WebSphere Application Server verze 5.1.1 nebo novější komunikuje se serverem Application Server verze 5.1.x, jsou ověřovací a autorizační údaje odeslány do přijímajícího aplikačního serveru tehdy, pokud je aktivována funkce šíření u obou serverů (odesílajícího i přijímajícího). Pokud aplikační server odešle ověřovací a autorizační údaje na další servery po směru zpracování, je pro aplikační servery odstraněna nutnost znovu přistupovat do registru uživatelů a vyhledávat atributy zabezpečení daného uživatele pro účely zabezpečení. Kromě toho jsou v subjektu na serveru nacházejícím se po směru zpracování obsaženy všechny vlastní objekty, které do něj byly přidány na odesílajícím serveru.
V konfiguraci přihlašování RMI_OUTBOUND je k dispozici následující zpětné volání. Chcete-li v zásadě zabezpečení vyhledat tento konkrétní odchozí požadavek, můžete použít objekt com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy navrácený tímto zpětným voláním. Tento dotaz umožňuje určit, zda se cílová sféra liší od aktuální sféry a zda musí být daná sféra mapována aplikačním serverem. Další informace najdete v informačním centru v části Konfigurace odchozího mapování na jinou cílovou sféru.
Poskytuje informace zásad (závislé na protokolu) pro přihlašovací moduly pro toto odchozí volání. Tyto informace jsou použity při určení úrovně zabezpečení, včetně cílové sféry, požadavků na zabezpečení pro cíl a souhrnných požadavků na zabezpečení.
csiv2PerformPolicy = (CSIv2PerformPolicy)
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();
Jinému protokolu než RMI může odpovídat jiný typ objektu zásady.
Chcete-li provést mapování údajů pověření, můžete před tento přihlašovací modul zařadit vlastní přihlašovací modul. Doporučuje se však zajistit, aby daný přihlašovací modul změnil obsah subjektu předávaného během přihlašovací fáze. Pokud je toto doporučení dodrženo, budou ostatní přihlašovací moduly zpracovány až poté, co tento přihlašovací modul zpracuje nový obsah subjektu.
Další informace najdete v informačním centru v části Konfigurace odchozího mapování na jinou cílovou sféru.
Zpracovává požadavky na přihlášení v prostředí s jedním serverem, přičemž jako ověřovací metoda je použit mechanismus SWAM (Simple WebSphere Authentication Mechanism).
Ověřuje požadavky na konfiguraci přihlášení pro zabezpečení webových služeb s použitím deklarace identity.
Tato konfigurace přihlášení je určena pro aplikace vytvořené podle konceptu zabezpečení webových služeb JAX-RPC 13 (verze 5.x). Další informace najdete v informačním centru v části Metoda ověřování deklarace identity.
Ověřuje požadavky na konfiguraci přihlášení pro zabezpečení webových služeb s použitím deklarace identity.
Tato konfigurace přihlášení je určena pro aplikace standardu zabezpečení webových služeb JAX-RPC verze 1.0.
Pro přihlašovací modul JAAS IDAssertionUsernameToken lze nastavit přizpůsobenou vlastnost com.ibm.wsspi.wssecurity.auth.module.IDAssertionLoginModule.disableUserRegistryCheck. Tato vlastnost představuje volbu přihlašovacího modulu JAAS deklarace identity zabezpečení webových služeb wssecurity.IDAssertionUsernameToken. Určuje, že přihlašovací modul nemá při zpracování příchozího tokenu identity provádět kontrolu registru uživatelů.
Ověřuje certifikát X.509 s použitím seznamu odvolaných certifikátů v objektu PKCS7 (Public Key Cryptography Standards #7).
Tato konfigurace přihlašování je určena pro systémy verze 6.0.x.
Ověřuje certifikát X.509 s cestou infrastruktury veřejného klíče (PKI).
Tato konfigurace přihlašování je určena pro systémy verze 6.0.x.
Ověřuje požadavky na konfiguraci přihlášení pro zabezpečení webových služeb s použitím ověřování digitálního podpisu.
Tato konfigurace přihlašování je určena pro systémy verze 5.x.
Ověřuje základní ověřování (jméno uživatele a heslo).
Při použití běhové komponenty JAX-RPC lze pro přihlašovací modul JAAS UsernameToken nastavit následující přizpůsobené vlastnosti:
Pro přihlašovací modul JAAS UsernameToken lze nastavit přizpůsobenou vlastnost com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck. Tato vlastnost představuje volbu přihlašovacího modulu JAAS UsernameToken zabezpečení webových služeb com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule. Určuje, že přihlašovací modul nemá při zpracování příchozího tokenu jména uživatele provádět kontrolu registru uživatelů.
Ověřením platnosti certifikátu a cesty certifikátu ověřuje binární token zabezpečení X.509.
Tato konfigurace přihlašování je určena pro systémy verze 6.0.x.
Zpracovává požadavky na komponenty ve webovém kontejneru, například servlety a soubory JSP (JavaServer Pages).
Pro konfiguraci přihlašování LTPA je předdefinován přihlašovací modul com.ibm.ws.security.web.AuthenLoginModule. Před tento přihlašovací modul nebo za něj můžete v konfiguraci přihlášení LTPA_WEB přidat vlastní přihlašovací moduly.
Konfigurace přihlašování LTPA_WEB může zpracovat objekt HttpServletRequest, objekt HttpServletResponse a název webové aplikace, které jsou předány manipulátorem zpětného volání. Další informace najdete v informačním centru v části Příklad: Přizpůsobení konfigurace přihlašování a ověřování službou JAAS (Java Authentication and Authorization Service) na straně serveru.
Zpracovává požadavky na přihlášení, které nejsou zpracovány v rámci konfigurace přihlašování LTPA_WEB.
Tato konfigurace přihlašování je používána produktem WebSphere Application Server verze 5.1 nebo dřívější.
Pro konfiguraci přihlašování LTPA je předdefinován přihlašovací modul com.ibm.ws.security.server.lm.ltpaLoginModule. Před tento přihlašovací modul nebo za něj můžete v konfiguraci přihlašování LTPA přidat vlastní přihlašovací moduly. Další informace najdete v informačním centru v části Příklad: Přizpůsobení konfigurace přihlašování a ověřování službou JAAS (Java Authentication and Authorization Service) na straně serveru.
Odkazy s označením (online) vyžadují přístup k Internetu.