Utilize essa página para especificar uma lista de configurações de login do sistema JAAS (Java Authentication and Authorization Service).
Pedidos de login de entrada de processos para RMI (Remote Method Invocation), aplicativos da Web e a maioria dos outros protocolos de login.
Essas três configurações de login transmitirão as seguintes informações de retorno de chamada, que são manipuladas pelos módulos de login dentro dessas configurações. Esses retornos de chamada não são transmitidos ao mesmo tempo. No entanto, a combinação desses retornos de chamada determina como o servidor de aplicativos autentica o usuário.
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
callbacks[3] = new com.ibm.wsspi.security.auth.callback.
WSTokenHolderCallback("Authz Token List: ");
Nas configurações de login do sistema, o servidor de aplicativos autentica o usuário com base nas informações que são coletadas pelos retornos de chamada. No entanto, um módulo de login personalizado não precisa agir em nenhum desses retornos de chamada. A lista a seguir explica as combinações típicas desses retornos de chamadas:
Esse retorno de chamada ocorre para a asserção de identidade CSIv2, logins de certificado da Web e CSIv2 X509, logins do interceptor de associação de confiança de estilo antigo e assim por diante. Nos logins de certificados da Web e CSIv2 X509, o servidor de aplicativos mapeia o certificado para um nome do usuário. Este retorno de chamada é utilizado por qualquer tipo de login que estabelece confiança apenas com o nome do usuário.
Esta combinação de retornos de chamada é típica de logins de autenticação básica. A maioria das autenticações de usuário ocorre utilizando-se esses dois retornos de chamada.
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
getUserFromUniqueID(uniqueID)
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
Se os atributos forem incluídos no Subject de um simples cliente, os retornos de chamada NameCallback e PasswordCallback autenticarão as informações e os objetos serializados no portador do token serão incluídos no Subject autenticado.
Um módulo de login customizado precisa manipular a serialização customizada. Para obter informações adicionais, consulte "Propagação do Atributo de Segurança" no centro de informações.
callbacks[4] = new com.ibm.websphere.security.auth.callback.
WSServletRequestCallback("HttpServletRequest: ");
callbacks[5] = new com.ibm.websphere.security.auth.callback.
WSServletResponseCallback("HttpServletResponse: ");
callbacks[6] = new com.ibm.websphere.security.auth.callback.
WSAppContextCallback("ApplicationContextCallback: ");
callbacks[7] = new WSRealmNameCallbackImpl("Realm Name: ", <default_realm>);
callbacks[8] = new WSX509CertificateChainCallback("X509Certificate[]: ");
Quando o objeto java.util.Hashtable estiver presente, o módulo de login mapeará os atributos do objeto em um Subject válido. Quando o retorno de chamada WSTokenHolderCallback está presente, o módulo de login desserializa o objetos do token de byte e gera novamente o conteúdo serializado do Subject. A tabela hash java.util.Hashtable tem precedência sobre todos os outros formatos de login. Tome cuidado para evitar a suplicação ou substituição do que o servidor de aplicativos pode ter propagado anteriormente.
Ao especificar uma tabela hash java.util.Hashtable para ter precedência sobre outras informações sobre autenticação, o módulo de login personalizado já deve ter verificado o token LTPA, se presente, para estabelecer confiança suficiente. O módulo de login personalizado pode utilizar o método com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validationLTPAToken(byte[]) para validar o token LTPA presente no retorno de chamada WSCredTokenCallback. A não-validação do token LTPA apresenta um risco à segurança.
Para obter informações adicionais sobre a inclusão de uma tabela hash contendo atributos conhecidos e bem formados utilizados pelo servidor de aplicativos, como informações de login suficientes, consulte "Configurando Mapeamento de Identidade de Entrada" no centro de informações.
Processa pedidos RMI (Remote Method Invocation) que são enviados para outro servidor quando as propriedades com.ibm.CSI.rmiOutboundLoginEnabled ou com.ibm.CSIOutboundPropagationEnabled são verdadeiras.
Esta configuração de login determina os recursos de segurança do servidor de destino e seu domínio de segurança. Por exemplo, se o servidor de aplicativos Versão 5.1.1 ou posterior (ou 5.1.0.2 para z/OS) se comunicar com um Application Server Versão 5.x, o Application Server Versão 5.1.1 enviará apenas informações sobre autenticação, utilizando um token LTPA, para o Application Server Versão 5.x. Entretanto, se o WebSphere Application Server Versão 5.1.1 ou posterior se comunicar com um Application Server Versão 5.1.x, as informações sobre autenticação e autorização serão enviadas para o servidor de aplicativos de recebimento se a propagação estiver ativada nos servidores de envio e de recebimento. Quando o servidor de aplicativos envia informações sobre autenticação e autorização através do recebimento de dados, o servidor de aplicativos remove a necessidade de acessar o registro do usuário novamente e consultar os atributos de segurança do usuário para propósitos de autorização. Além disso, quaisquer objetos personalizados que são incluídos no servidor de envio estão presentes no Subject no servidor de recebimento de dados.
O seguinte retorno de chamada está disponível na configuração de login RMI_OUTBOUND. Você pode utilizar o objeto com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy que é retornado por esse retorno de chamada para consultar a política de segurança para esse pedido de saída específico. Essa consulta pode ajudar a determinar se a região de destino é diferente da região atual e se o servidor de aplicativos deve mapear a região. Para obter informações adicionais, consulte "Configurando o Mapeamento de Saída para uma Região de Destino Diferente" no centro de informações.
Fornece informações sobre a política específica do protocolo para os módulos de login nesta chamada de saída. Essas informações são utilizadas para determinar o nível de segurança, incluindo a região de destino, os requisitos de segurança de destino e os requisitos de segurança unidos.
csiv2PerformPolicy = (CSIv2PerformPolicy)
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();
Um protocolo diferente do RMI pode possuir um tipo diferente de objeto de política.
É possível utilizar um módulo de login personalizado anterior a esse módulo de login para executar o mapeamento de credenciais. No entanto, recomenda-se que o módulo de login altere o conteúdo do Subject transmitido durante a fase de login. Se esta recomendação for seguida, os módulos de login serão processados após este módulo de login atuar no conteúdo do novo Subject.
Para obter informações adicionais, consulte "Configurando o Mapeamento de Saída para uma Região de Destino Diferente" no centro de informações.
Processa pedidos de login em um ambiente de servidor único quando o SWAM (Simple WebSphere Authentication Mechanism) é utilizado como o método de autenticação.
Processa pedidos de configuração de login para segurança de serviços da Web utilizando asserção de identidade.
Essa configuração de login é para aplicativos Web Services Security Draft 13 JAX-RPC (Versão 5.x). Para obter informações adicionais, consulte "Identificar o Método de Autenticação de Asserção" no centro de informações.
Processa pedidos de configuração de login para segurança de serviços da Web utilizando asserção de identidade.
Essa configuração de login é para aplicativos Web Services Security V1.0 JAX-RPC.
A propriedade customizada com.ibm.wsspi.wssecurity.auth.module.IDAssertionLoginModule.disableUserRegistryCheck pode ser configurada para o módulo de login JAAS IDAssertionUsernameToken. Esta propriedade é uma opção para o módulo de login JAAS de asserção de identidade de segurança dos serviços da Web, wssecurity.IDAssertionUsernameToken. A propriedade indica que o módulo de login não deve executar uma verificação de registro do usuário ao processar um token de identidade de entrada.
Verifica um certificado X.509 com uma Certificate Revocation List em um objeto PKCS7 (Public Key Cryptography Standards #7).
Esta configuração de login é para sistemas da Versão 6.0.x.
Verifica um certificado X.509 com um caminho de PKI (Infra-estrutura da Chave Pública).
Esta configuração de login é para sistemas da Versão 6.0.x.
Processa pedidos de configuração de login para segurança de serviços da Web utilizando validação de assinatura digital.
Esta configuração de login é para sistemas da Versão 5.x.
Verifica a autenticação básica (nome do usuário e senha).
Quando você utiliza o tempo de execução JAX-RPC, as seguintes propriedades customizadas podem ser configuradas para o módulo de login JAAS UsernameToken:
A propriedade customizada com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck pode ser configurada para o módulo de login JAAS UsernameToken. Esta propriedade é uma opção para o módulo de login JAAS do UsernameToken de segurança dos serviços da Web, com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule. A propriedade indica que o módulo de login não deve executar uma verificação de registro do usuário ao processar um token de nome de usuário de entrada.
Verifica um BST (Token de Segurança Binário) X.509 verificando a validade do certificado e o caminho do certificado.
Esta configuração de login é para sistemas da Versão 6.0.x.
Processa pedidos de login para componentes no contêiner da Web, como servlets e arquivos JSP (JavaServer Pages).
O módulo de login com.ibm.ws.security.web.AuthenLoginModule é predefinido na configuração de login LTPA. É possível incluir os módulos de login personalizados antes ou depois desse módulo na configuração de login LTPA_WEB.
A configuração de login LTPA_WEB pode processar o objeto HttpServletRequest, o objeto HttpServletResponse e o nome do aplicativo da Web que são transmitidos na utilização de uma rotina de tratamento do retorno de chamada. Para obter mais informações, consulte "Exemplo: Customizando uma Configuração de Autenticação e de Logon do Java Authentication and Authorization Service do Lado do Servidor" no centro de informações.
Processa pedidos de login que não são manipulados pela configuração de login LTPA_WEB.
Essa configuração de login é utilizada pelo WebSphere Application Server Versão 5.1 e versões anteriores.
O módulo de login com.ibm.ws.security.server.lm.ltpaLoginModule é predefinido na configuração de login LTPA. É possível incluir os módulos de login personalizados antes ou depois desse módulo na configuração de login do LTPA. Para obter mais informações, consulte "Exemplo: Customizando uma Configuração de Autenticação e de Logon do Java Authentication and Authorization Service do Lado do Servidor" no centro de informações.
Links marcados (on-line) requerem acesso à Internet.