回呼處理常式設定

請利用這個頁面來配置回呼處理常式設定,以便決定如何從訊息標頭取得安全記號。

編輯一般 Cell 層次或伺服器層次的連結時,您可以配置回呼處理常式設定。 此外,您也可以配置原則集所需之記號和訊息組件的應用程式特定連結。

編輯一般 Cell 層次的連結時,如果要檢視這個管理主控台頁面,請完成下列動作:
  1. 按一下服務 > 原則集 > 預設原則集連結。連結畫面會指出將作為預設連結的連結,例如「提供者範例連結」。
  2. 如果要編輯這個預設連結,請按一下服務 > 原則集 > 一般提供者原則集連結
  3. 按一下您在步驟 1 中決定的預設連結名稱。例如提供者範例
  4. 按一下「原則」表格中的 WS-Security 原則。
  5. 按一下「主要訊息安全原則連結」區段中的鑑別和保護鏈結。
  6. 按一下「保護記號」區段或「鑑別記號」區段中的 name_of_token 鏈結。
  7. 按一下回呼處理常式鏈結。
在配置原則集所需之記號和訊息組件的應用程式特定連結時,如果要檢視這個管理主控台頁面,請完成下列動作:
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式
  2. 選取包含 Web 服務的應用程式。該應用程式必須包含服務提供者或服務用戶端。
  3. 按一下「Web 服務內容」區段中的服務提供者原則集和連結鏈結或服務用戶端原則集和連結鏈結。
  4. 選取一個連結。您先前必須已附加了原則集且指派了應用程式特定連結。
  5. 按一下「原則」表格中的 WS-Security 原則。
  6. 按一下「主要訊息安全原則連結」區段中的鑑別和保護鏈結。
  7. 按一下「保護記號」區段或「鑑別記號」區段中的 name_of_token 鏈結。
  8. 按一下回呼處理常式鏈結。

這個管理主控台畫面只適用於 Java™ API for XML Web Services (JAX-WS) 應用程式。

「回呼處理常式」顯示的欄位會因配置的記號而有所不同。根據您是為了保護而配置產生者或消費者記號,或是為了鑑別而配置入埠或出埠記號,這個畫面中的區段和欄位會依照每個欄位的說明所述,來顯示此主題中所說明的部分或全部欄位。

類別名稱

「類別名稱」區段中的欄位適用於所有類型的記號配置。

請選取回呼處理常式所要使用的類別名稱。如果是一般作業,請選取使用內建預設值選項。 請只在使用自訂記號類型時,才使用使用自訂值選項。

如果是 Kerberos 自訂記號類型,請對記號產生者配置使用 com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler 類別名稱。 請對記號消費者配置使用 com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。

使用內建預設值

指定類別名稱使用預設值。當選取這個圓鈕時,就會對類別名稱使用預設值(顯示於欄位中)。 這個名稱是以記號類型和回呼處理常式用於記號產生者或記號消費者為基礎。這個選項與使用自訂值選項互斥。

使用自訂值

指定類別名稱使用自訂值。 如果要使用自訂類別名稱,請選取這個圓鈕並在欄位中輸入名稱。

這個輸入欄位沒有預設值。請使用下表中的資訊來決定這個值:

表 1. 回呼處理常式的自訂類別名稱,以及相關聯的記號類型. 回呼處理常式決定如何從訊息標頭取得安全記號。
記號類型 消費者或產生者 回呼處理常式類別名稱
UsernameToken 消費者 com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
UsernameToken 產生者 com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
X509Token 消費者 com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
X509Token 產生者 com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
LTPAToken/LTPAPropagationToken 消費者 com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
LTPAToken/LTPAPropagationToken 產生者 com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
SecureConversationToken 消費者 com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
SecureConversationToken 產生者 com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler

這個按鈕與使用內建預設值選項互斥。

憑證(產生者)

如果您在配置保護記號,則可以使用「憑證」區段中的欄位。如果是產生者記號,您可以按一下它來選取清單中的憑證儲存庫,或按一下新建按鈕,來新增憑證儲存庫。

憑證(消費者)

如果您在配置保護記號,則可以使用「憑證」區段中的欄位。如果是消費者記號,您可以使用「全部信任憑證」選項或「憑證儲存庫」選項,來配置憑證儲存庫。

憑證 - 全部信任憑證(消費者)

這個選項僅適用於記號消費者。這個選項指出系統將信任所有的憑證,並且不會定義特定的憑證儲存庫。這個選項與憑證儲存庫選項互斥。

憑證 - 憑證儲存庫(消費者)

這個選項僅適用於記號消費者。請利用這個選項來指定憑證儲存庫集合,以包含中間憑證,包括「憑證撤銷清冊 (CRL)」在內。請選取這個選項,來信任輸入欄位中指定的一或多個憑證儲存庫。 這個選項與全部信任憑證選項互斥。選取憑證儲存庫選項時,會啟用新建按鈕,以便讓您配置新的憑證儲存庫與授信錨點儲存庫。

您可以將憑證儲存庫欄位設定成預設值,亦即。但是,必須將授信錨點儲存庫設定為一個特定值。沒有預設值。 如果沒有選取「全部信任憑證」選項,必須指定授信錨點。

基本鑑別 (BA)

如果您配置的鑑別記號不是 LTPA 傳送記號,則可以使用「基本鑑別 (BA)」區段中的欄位。

如果是 Kerberos 自訂記號類型,您必須完成 Kerberos 登入的「基本鑑別 (BA)」區段。

使用者名稱

指定所要鑑別的使用者名稱。

密碼

指定所要鑑別的密碼。請在這個輸入欄位中輸入要鑑別的密碼。

確認密碼

指定所要確認的密碼。

金鑰儲存庫

如果您在配置保護記號,則可以使用「金鑰儲存庫」區段中的欄位。

在金鑰儲存庫名稱清單中,您可以按一下自訂來定義自訂金鑰儲存庫、按一下其中一個外部定義的金鑰儲存庫名稱,或按一下(如果不需要金鑰儲存庫)。

金鑰儲存庫 - 名稱

指定所要使用之集中管理的金鑰儲存庫檔名。

請按一下這個功能表中之集中管理的金鑰儲存庫名稱,或輸入下列其中一值:
NodeDefaultKeyStore
NodeDefaultTrustStore
NodeLTPAKeys
指定不使用集中管理的金鑰儲存庫檔。
自訂
指定使用集中管理的金鑰儲存庫檔。請按一下自訂金鑰儲存庫配置鏈結來配置自訂金鑰儲存庫和金鑰設定。
金鑰儲存庫 - 自訂金鑰儲存庫配置

指定用於建立自訂金鑰儲存庫的鏈結。請按一下這個鏈結來開啟供您配置自訂金鑰儲存庫的畫面。

金鑰

如果您在配置保護記號,則可以使用「金鑰」區段中的欄位。

名稱

指定要使用的金鑰名稱。請在這個必要欄位中輸入所要使用的金鑰名稱。

別名

指定所要使用金鑰的別名。 請在這個必要欄位中輸入所要使用金鑰的別名。

密碼

指定所要使用金鑰的密碼。

您無法對非對稱加密產生者或非對稱簽章消費者的公開金鑰設定密碼。

確認密碼

指定所要使用金鑰的密碼確認。請輸入在「密碼」欄位中所輸入的密碼來進行確認。

請不要對非對稱出埠加密或入埠簽章的公開金鑰提供金鑰確認密碼。

自訂內容

「自訂內容」區段中的欄位適用於所有類型的記號配置。

您可以利用名稱/值配對,來新增回呼處理常式所需要的自訂內容。

如果要在使用 JAX-WS 程式設計模型時實作簽章者憑證加密,請對加密記號產生者的回呼處理常式新增 com.ibm.wsspi.wssecurity.token.cert.useRequestorCert 自訂內容,值為 true。 這個實作使用 SOAP 要求的簽章者憑證來加密 SOAP 回應。這個自訂內容供回應產生者使用。

如果是以 OASIS Web Services Security Specification for Kerberos Token Profile 1.1 版為基礎的 Kerberos 自訂記號,請指定下列記號產生內容:com.ibm.wsspi.wssecurity.krbtoken.clientRealm。 這是指定用戶端的相關聯 Kerberos 網域範圍名稱,並可讓 Kerberos 用戶端網域範圍起始 Kerberos 登入。如果未指定,則會使用預設 Kerberos 網域範圍名稱。這個內容是單一 Kerberos 網域範圍可選用的。在交叉或信任的 Kerberos 網域範圍環境中實作 Web 服務安全時,您必須提供 clientRealm 內容的值。

Kerberos 自訂內容 com.ibm.wsspi.wssecurity.krbtoken.loginPrompt 的值為 true 時,會啟用 Kerberos 登入。預設值是 False。這個內容是選用的。

在為 JAX-WS 程式設計模型配置使用者名稱記號時,為防範重播攻擊,強烈建議您在回呼處理常式配置中新增下列的自訂內容。這些自訂內容可針對訊息鑑別,啟用及驗證 Nonce 與時間戳記。
內容名稱(產生者) 內容值
com.ibm.wsspi.wssecurity.token.username.addNonce true
com.ibm.wsspi.wssecurity.token.username.addTimestamp true
內容名稱(消費者) 內容值
com.ibm.wsspi.wssecurity.token.username.verifyNonce true
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
名稱

指定要使用的自訂內容名稱。

自訂內容一開始不會在這個直欄中顯示。請按下列其中一個自訂內容的動作:

按鈕 得出的動作
新建 建立新的自訂內容項目。如果要新增自訂內容,請輸入名稱和值。
刪除 移除所選的自訂內容。

指定要使用的自訂內容值。您可以使用輸入欄位來輸入或刪除自訂內容的值。




標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
保護記號設定(產生者或消費者)
應用程式原則集集合
應用程式原則集設定
搜尋附加的應用程式集合
原則集連結設定


檔名: uwbs_wsspsbch.html