Konfigurationseinstellungen für Callback-Handler

Auf dieser Seite können Sie angeben, wie das in den Sicherheits-Header für Web-Services von SOAP-Nachrichten eingefügte Sicherheitstoken abgerufen wird. Für die Tokenbeschaffung gibt es ein modular aufgebautes Gerüst, das die Schnittstelle "javax.security.auth.callback.CallbackHandler" von JAAS (Java Authentication and Authorization Service) nutzt, um das Sicherheitstoken anzufordern.

Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole für den Callback-Handler auf Zellenebene anzuzeigen:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf Tokengeneratoren > Name_des_Tokengenerators.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole für den Callback-Handler auf Serverebene anzuzeigen:
  1. Klicken Sie auf Server>Servertypen>WebSphere-Anwendungsserver> Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" auf Tokengeneratoren > Name_des_Tokengenerators.
  4. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole für den Callback-Handler auf Anwendungsebene anzuzeigen:
  1. Klicken Sie auf Anwendungen>Anwendungstypen>WebSphere-Unternehmensanwendungen> Anwendungsname.
  2. Klicken Sie unter "Module" auf Module verwalten > URI-Name.
  3. Unter "Eigenschaften der Web-Service-Sicherheit" können Sie auf die Informationen zum Callback-Handler für die folgenden Bindungen zugreifen:
    • Klicken Sie für die Bindung des Anforderungsgenerators (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.Klicken Sie unter "Weitere Eigenschaften" auf Tokengenerator. Klicken Sie auf Neu, um eine neue Tokengeneratorkonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
    • Klicken Sie für die Bindung des Antwortgenerators (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Tokengenerator. Klicken Sie auf Neu, um eine neue Tokengeneratorkonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
Klassenname des Callback-Handler [nur Version 6]

Gibt den Namen der Implementierungsklasse für den Callback-Handler an, mit der ein Sicherheitstoken-Framwork implementiert wird.

Die angegebene Callback-Handler-Klasse muss die Klasse "javax.security.auth.callback.CallbackHandler" implementieren. Die Implementierung der JAAS-Schnittstelle "javax.security.auth.callback.CallbackHandler" muss mit der folgenden Syntax einen Konstruktor bereitstellen:
MyCallbackHandler(String Benutzername, char[] Kennwort, java.util.Map Eigenschaften)
Für diese Angaben gilt Folgendes:
Benutzername
Gibt den Benutzernamen an, der an die Konfiguration übergeben wird.
Kennwort
Gibt das Kennwort an, das an die Konfiguration übergeben wird.
Eigenschaften
Gibt die übrigen Konfigurationseigenschaften an, die an die Konfiguration übergeben werden.
Der Anwendungsserver stellt die folgenden Standardimplementierungen für Callback-Handler bereit:
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler [nur Version 6]
Dieser Callback-Handler fordert den Benutzernamen und das Kennwort in einem Anmeldedialog an. Wenn Sie in dieser Anzeige den Benutzernamen und das Kennwort angeben, wird jedoch keine Eingabeaufforderung angezeigt. Der Anwendungsserver gibt den in dieser Anzeige angegebenen Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java-EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler [nur Version 6]
Dieser Callback-Handler setzt keine Eingabeaufforderung ab und gibt den in dieser Anzeige angegebenen Benutzernamen und das Kennwort zurück. Diesen Callback-Handler können Sie verwenden, wenn der Web-Service die Rolle eines Clients hat.
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [nur Version 6]
Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind, setzt der Anwendungsserver jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java-EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler [nur Version 6]
Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind, setzt der Anwendungsserver jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java-EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden.
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler [nur Version 6]
Mit diesem Callback-Handler können Sie das LTPA-Sicherheitstoken aus dem Subjekt des RunAs-Aufrufs anfordern. Dieses Token wird als binäres Sicherheitstoken in den Sicherheits-Header für Web-Services einer SOAP-Nachricht eingefügt. Wenn der Benutzername und das Kennwort jedoch in dieser Anzeige angegeben sind, authentifiziert der Anwendungsserver diese beiden Angaben, um das LTPA-Sicherheitstoken anzufordern. Verwenden Sie diesen Callback-Handler nur, wenn der Web-Service für den Anwendungsserver die Rolle eines Clients hat. Sie sollten diesen Callback-Handler nicht für einen Java-EE-Anwendungsclient verwenden.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler [nur Version 6]
Mit diesem Callback-Handler können Sie das X.509-Zertifikat erstellen, das als binäres Sicherheitstoken in den Sicherheits-Header für Web-Services einer SOAP-Nachricht eingefügt wird. Für diesen Callback-Handler sind ein Keystore und eine Schlüsseldefinition erforderlich.
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler [nur Version 6]
Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PKCS#7 codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Sicherheits-Header für Web-Services einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Sie müssen im Zertifikatssammelspeicher eine Liste der entzogenen Zertifikate (CRL, Certificate Revocation List) angeben. Die CRL wird mit dem X.509-Zertifikat im Format PKCS#7 codiert.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler [nur Version 6]
Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PkiPath codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Sicherheits-Header für Web-Services einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Der Callback-Handler unterstützt keine CRL. Deshalb wird auch kein Zertifikatssammelspeicher benötigt oder verwendet.

Die Callback-Handler-Implementierung ruft das erforderliche Sicherheitstoken ab und übergibt es an den Tokengenerator. Der Tokengenerator fügt das Sicherheitstoken in den Sicherheits-Header für Web-Services einer SOAP-Nachricht ein. Der Tokengenerator ist gleichzeitig der Plug-in-Punkt für das modular aufgebaute Sicherheitstoken-Framwork. Serviceprovider können ihre eigene Implementierung bereitstellen. Diese muss jedoch das die Schnittstelle "com.ibm.websphere.wssecurity.wssapi.token.SecurityToken" verwenden. Die Implementierung des JAAS-Anmeldemoduls (Java Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen bzw. das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).

Zusicherung der Identität verwenden [nur Version 6]

Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben.

Diese Option gibt an, dass nur die Identität des ursprünglichen Senders erforderlich ist und in den Sicherheits-Header für Web-Services einer SOAP-Nachricht eingefügt wird. Bei einem Generator für Benutzernamenstoken sendet der Anwendungsserver beispielsweise nur den Benutzernamen des ursprünglichen Aufrufers. Bei einem X.509-Tokengenerator sendet der Anwendungsserver nur das Originalausstellerzertifikat.

RunAs-ID verwenden [nur Version 6]

Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben und für die Zusicherung der Identität bei einem untergeordneten Aufruf an Stelle der ID des ursprünglich Aufrufenden die RunAs-ID verwenden möchten.

Diese Option ist nur gültig, wenn Sie den Generator für Benutzernamenstoken als Tokengenerator konfiguriert haben.

Benutzer-ID für Basisauthentifizierung [nur Version 6]

Gibt den Benutzernamen an, der an die Konstruktoren der Callback-Handler-Implementierung übergeben wird.

Der Benutzername und das Kennwort für die Basisauthentifizierung werden verwendet, wenn Sie eine der folgenden von diesem Produkt bereitgestellten Standard-Callback-Handler-Implementierungen auswählen:
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

Diese Implementierungen sind ausführlich im Abschnitt Klassenname des Callback-Handler weiter oben in diesem Artikel beschrieben.

Kennwort für Basisauthentifizierung [nur Version 6]

Gibt das Kennwort an, das an die Konstruktoren des Callback-Handler übergeben wird.

Der Keystore und die zugehörige Konfiguration werden verwendet, wenn Sie eine der folgenden von diesem Produkt bereitgestellten Standard-Callback-Handler-Implementierungen auswählen:
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatspfad zu erstellen.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatspfad zu erstellen.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
Der Keystore wird verwendet, um das X.509-Zertifikat abzurufen.
Name der Keystore-Konfiguration [nur Version 6]

Gibt den Namen der Keystore-Konfiguration an, die in den Keystore-Einstellungen für sichere Kommunikation definiert ist.

Kennwort für Keystore [nur Version 6]

Gibt das Kennwort für den Zugriff auf die Keystore-Datei an.

Keystore-Pfad [nur Version 6]

Gibt die Position der Keystore-Datei an.

Verwenden Sie im Pfadnamen ${USER_INSTALL_ROOT}. Diese Variable wird durch den Produktpfad auf Ihrer Maschine ersetzt. Wenn Sie den von dieser Variablen verwendeten Pfad ändern möchten, klicken Sie auf Umgebung > WebSphere-Variablen und anschließend auf USER_INSTALL_ROOT.

Keystore-Typ [nur Version 6]

Gibt den Typ des Keystore-Dateiformats an.

Für dieses Feld können Sie einen der folgenden Werte auswählen:
JKS
Geben Sie diese Option an, wenn für den Keystore das JKS-Format (Java Keystore Store) verwendet wird.
JCEKS
Geben Sie diese Option an, wenn die Java Cryptography Extension im SDK (Software Development Kit) konfiguriert ist. Die Standard-JCE von IBM ist im Anwendungsserver konfiguriert. Diese Option bietet mit der 3DES-Verschlüsselung einen stärkeren Schutz für gespeicherte private Schlüssel.
JCERACFKS [z/OS]
Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
PKCS11KS (PKCS11)
Verwenden Sie diese Option, wenn Ihre Keystore-Dateien das PKCS#11-Dateiformat verwenden. Keystore-Dateien, die dieses Format verwenden, können RSA-Schlüssel (Rivest Shamir Adleman) auf der Verschlüsselungshardware enthalten oder Schlüssel chiffrieren, die für die Gewährleistung des Zugriffsschutzes Schlüssel chiffrieren.
PKCS12KS (PKCS12)
Verwenden Sie diese Option, wenn Ihre Keystore-Dateien das PKCS#12-Dateiformat verwenden.



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Tokengeneratoren
Konfigurationseinstellungen für Tokengenerator


Dateiname: uwbs_callback.html