Valores del manejador de retorno de llamada

Utilice esta página para configurar los valores del manejador de retorno de llamada, que determinan cómo se adquieren las señales de seguridad de las cabeceras de mensajes.

Puede configurar los valores del manejador de retorno de llamada al editar un enlace general a nivel de célula o a nivel de servidor. También puede configurar enlaces específicos de la aplicación para las señales y las partes del mensaje que el conjunto de políticas necesita.

Para ver esta página de la consola administrativa al editar un enlace general de célula, realice las siguientes acciones:
  1. Pulse Servicios > Conjuntos de políticas > Enlaces de conjunto de políticas por omisión. El panel de enlaces indica qué enlace se ha establecido como el enlace predeterminado, por ejemplo, el enlace de ejemplo de proveedor.
  2. Para editar este enlace predeterminado, pulse Servicios > Conjuntos de políticas > Enlaces generales de conjuntos de políticas de proveedor.
  3. Pulse el nombre del enlace predeterminado como se determina en el primer paso. Por ejemplo, Ejemplo de proveedor.
  4. Pulse la política WS-Security en la tabla de políticas.
  5. Pulse en el enlace Autenticación y protección en la sección Enlaces principales de la política de seguridad de mensajes.
  6. Pulse el enlace nombre_de_señal en la sección Señales de protección o en la sección Señales de autenticación.
  7. Pulse el enlace Manejador de retorno de llamada.
Para ver esta página de la consola administrativa al configurar enlaces específicos de aplicaciones para las señales y las partes del mensaje que el conjunto de políticas necesita, efectúe las siguientes opciones:
  1. Pulse Aplicaciones>Tipos de aplicación>Aplicaciones de empresa de WebSphere.
  2. Seleccione una aplicación que contenga servicios Web. La aplicación debe contener un proveedor o cliente de servicios.
  3. Pulse el enlace Conjuntos de políticas y enlaces del proveedor de servicios o Conjuntos de políticas y enlaces del cliente de servicio en la sección Propiedades de servicios Web.
  4. Seleccione un enlace. Debe tener previamente conectado un conjunto de políticas y asignado un enlace específico de aplicación.
  5. Pulse la política WS-Security en la tabla de políticas.
  6. Pulse en el enlace Autenticación y protección en la sección Enlaces principales de la política de seguridad de mensajes.
  7. Pulse el enlace nombre_de_señal en la sección Señales de protección o en la sección Señales de autenticación.
  8. Pulse el enlace Manejador de retorno de llamada.

Este panel de la consola administrativa se aplica sólo a las aplicaciones JAX-WS (Java API for XML Web Services).

El Manejador de retorno de llamada muestra campos de otra manera para las diferentes señales que se configuran. Según se configuren señales de generador o consumidor para la protección o señales de entrada o salida para la autenticación, las secciones y los campos de este panel muestran alguno o todos los campos que se describen en este tema, como se indica en la descripción de cada campo.

Nombre de clase

Los campos de la sección Nombre de clase están disponibles para todos los tipos de configuración de señales.

Seleccione el nombre de clase a utilizar para el manejador de retorno de llamada. Seleccione la opción Utilizar valor predeterminado incorporado para el funcionamiento normal. Utilice la opción Utilizar personalizado sólo si está utilizando un tipo de señal personalizada.

Para el tipo de señal personalizada Kerberos, utilice el nombre de clase, com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler, para la configuración del generador de señales. Utilice com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler para la configuración del consumidor de señales.

Utilizar valor predeterminado incorporado

Especifica que se utiliza el valor predeterminado para el nombre de clase. Utilice el valor predeterminado (que aparece en el campo) para el nombre de clase cuando selecciona este botón de selección. Este nombre se basa en el tipo de señal y si el manejador de retorno de llamada es para un consumidor o un generador de señales. Esta opción y la opción Utilizar personalizado son mutuamente excluyentes.

Utilizar personalizado

Especifica que se utiliza un valor personalizado para el nombre de clase. Seleccione este botón de selección y escriba el nombre en el campo para utilizar un nombre de clase personalizado.

No hay ningún valor predeterminado disponible para este campo de entrada. Utilice la información de la siguiente tabla para determinar este valor:

Tabla 1. Nombres de clase personalizados para el manejador de retorno de llamada y tipos de señales asociados . El manejador de retorno de llamada determina cómo se adquieren las señales de seguridad de las cabeceras de mensajes.
Tipo de señal Consumidor o generador Nombre de clase de manejador de retorno de llamada
UsernameToken consumidor com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
UsernameToken generador com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
X509Token consumidor com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
X509Token generador com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
LTPAToken/LTPAPropagationToken consumidor com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
LTPAToken/LTPAPropagationToken generador com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
SecureConversationToken consumidor com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
SecureConversationToken generador com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler

Este botón y la opción Utilizar valor predeterminado incorporado son mutuamente excluyentes.

Certificados (generador)

Los campos de la sección Certificados están disponibles si está configurando una señal de protección. Para una señal de generador, puede pulsar para seleccionar un almacén de certificados de la lista, o pulsar el botón Nuevo para añadir un almacén de certificados.

Certificados (consumidor)

Los campos de la sección Certificados están disponibles si está configurando una señal de protección. Para una señal de consumidor, puede utilizar la opción Confiar en cualquier certificado o la opción Almacén de certificados para configurar el almacén de certificados.

Certificados - Confiar en cualquier certificado (consumidor)

Esta opción sólo se aplica al consumidor de señales. Esta opción indica que el sistema confiará en todos los certificados y no define un almacén de certificados concreto. Esta opción y la opción Almacén de certificados se excluyen mutuamente.

Certificados - Almacén de certificados (consumidor)

Esta opción sólo se aplica al consumidor de señales. Utilice esta opción para especificar una colección del almacén de certificados que contiene certificados intermedios, que puede incluir listas de revocación de certificados (CRL). Seleccione esta opción para confiar en el almacén o almacenes de certificados especificados en el campo de entrada. Esta opción y la opción Confiar en cualquier certificado se excluyen mutuamente. Si selecciona la opción Almacén de certificados, el botón Nuevo se habilita para así poder configurar un almacén de certificados y un almacén de ancla de confianza nuevos.

Puede establecer el valor del campo de almacén de certificados en el valor predeterminado, que es Ninguno. Sin embargo, el valor del almacén de ancla de confianza debe establecerse en un valor específico. No hay valor predeterminado. El ancla de confianza es necesaria si no se ha seleccionado la opción Confiar en cualquier certificado.

Autenticación básica

Los campos de la sección Autenticación básica están disponibles si está configurando una señal de autenticación que no es una señal de propagación LTPA.

Para el tipo de señal personalizada Kerberos, debe completar la sección Autenticación básica para que el inicio de sesión de Kerberos sea satisfactorio.

Nombre de usuario

Especifica el nombre de usuario que desea autenticar.

Contraseña

Especifica la contraseña que se va a autenticar. Escriba en este campo de entrada la contraseña que desea autenticar.

Confirmar contraseña

Especifica la contraseña que desea confirmar.

Almacén de claves

Los campos de la sección Almacén de claves están disponibles si está configurando una señal de protección.

En la lista de nombres de almacén de claves, puede pulsar Personalizado para definir un almacén de claves personalizado, pulse uno de los nombres de almacenes de claves definidos externamente o pulse Ninguno si no es necesario ningún almacén de claves.

Almacén de claves - Nombre

Especifica el nombre del archivo de almacén de claves gestionado centralmente que desea utilizar.

Pulse el nombre de un nombre de almacén de claves gestionado centralmente desde este menú o escriba uno de los siguientes valores:
NodeDefaultKeyStore
NodeDefaultTrustStore
NodeLTPAKeys
Ninguno
Especifica que no se debe utilizar un archivo de almacén de claves gestionado centralmente.
Personalizado
Especifica que se debe utilizar el archivo de almacén de claves gestionado centralmente. Pulse el enlace Configuración de almacén de claves personalizado para configurar valores de claves y almacenes de claves personalizados.
Almacén de claves – Configuración de almacén de claves personalizado

Especifica un enlace para crear un almacén de claves personalizado. Pulse este enlace para abrir un panel en el que puede configurar un almacén de claves personalizado.

Clave

Los campos de la sección Clave están disponibles si está configurando una señal de protección.

Nombre

Especifica el nombre de la clave a utilizar. Escriba el nombre de la clave a utilizar en este campo necesario.

Alias

Especifica el nombre de alias de la clave que desea utilizar. Escriba el alias del nombre de la clave que desea utilizar en este campo necesario.

Contraseña

Especifica la contraseña para la clave que desea utilizar.

No puede establecer una contraseña para claves públicas para el generador de cifrado asimétrico o el consumidor de firmas asimétrico

Confirmar contraseña

Especifica la confirmación de la contraseña para la clave que desea utilizar. Para confirmarla, escriba la contraseña que ha especificado en el campo Contraseña.

No proporcione una contraseña de confirmación de claves para las claves públicas para la firma de entrada o el cifrado de salida asimétrico.

Propiedades personalizadas

Los campos de la sección Propiedades personalizadas están disponibles para todos los tipos de configuración de señales.

Puede añadir las propiedades personalizadas que el manejador de retorno de llamada necesita mediante pares de nombre-valor.

Para implementar el cifrado de certificado de firmante si utiliza el modelo de programación JAX-WS, añada la propiedad personalizada com.ibm.wsspi.wssecurity.token.cert.useRequestorCert con el valor true en el manejador de retorno de llamada del generador de señales de cifrado. Esta implementación utiliza el certificado del firmante de la solicitud SOAP para cifrar los mensajes SOAP. El generador de respuesta utiliza esta propiedad personalizada.

Para una señal personalizada Kerberos basada en la especificación de seguridad de servicios Web de OASIS para el perfil de señal Kerberos V1.1, especifique las siguiente propiedad para la generación de señales: com.ibm.wsspi.wssecurity.krbtoken.clientRealm. Esto especifica el nombre del reino Kerberos asociado al cliente y permite que el reino de cliente Kerberos empiece el inicio de sesión de Kerberos. Si no se especifica, se utiliza el nombre por omisión del reino de Kerberos.Esta propiedad es opcional para un solo entorno de reino Kerberos.Cuando implemente la seguridad de servicios Web en un entorno de reino Kerberos fiable o cruzado, debe proporcionar un valor para la propiedad clientRealm.

La propiedad personalizada Kerberos, com.ibm.wsspi.wssecurity.krbtoken.loginPrompt, habilita el inicio de sesión Kerberos si el valor es true. El valor predeterminado es False. Esta propiedad es opcional.

Al configurar una señal de nombre de usuario para el modelo de programación JAX-WS para protegerlo de los ataques de reproducción, se recomienda encarecidamente que añada las siguientes propiedades personalizadas a la configuración de manejador de retorno de llamada. Estas propiedades personalizadas habilitan y verifican el nonce y la indicación de la hora para la autenticación de mensajes.
Nombre de propiedad (generador) Valor de propiedad
com.ibm.wsspi.wssecurity.token.username.addNonce true
com.ibm.wsspi.wssecurity.token.username.addTimestamp true
Nombre de propiedad (consumidor) Valor de propiedad
com.ibm.wsspi.wssecurity.token.username.verifyNonce true
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
Nombre

Especifica el nombre de la propiedad personalizada a utilizar.

Las propiedades personalizadas al principio no se visualizan en esta columna. Pulse una de las siguientes acciones para las propiedades personalizadas:

Botón Acción resultante
Nuevo Crea una entrada de propiedad personalizada nueva. Para añadir una propiedad personalizada, especifique el nombre y el valor:
Suprimir Elimina la propiedad personalizada seleccionada.
Valor

Especifica el valor de la propiedad personalizada que se debe utilizar. Con el campo Valor, puede especificar o suprimir el valor para una propiedad personalizada.




Los enlaces marcados (en línea) requieren acceso a Internet.

Tareas relacionadas
Referencia relacionada
Valores de señales de protección (generador o consumidor)
Colección de conjuntos de políticas de aplicación
Valores de conjunto de políticas de aplicación
Conjuntos de políticas conectadas por búsqueda
Valores de enlaces de conjuntos de políticas


Nombre de archivo: uwbs_wsspsbch.html