Za pomocą tej strony można określić listę konfiguracji logowania do systemu dla usługi JAAS (Java Authentication and Authorization Service).
Przetwarzają przychodzące żądania logowania dla metody RMI (Remote Method Invocation), aplikacji WWW i większości pozostałych protokołów logowania.
Te trzy konfiguracje logowania przekażą następującą informację wywołania zwrotnego, obsługiwaną przez moduły logowania w tych konfiguracjach. Te wywołania nie są przekazywane w tym samym czasie. Kombinacja tych trzech wywołań określa sposób uwierzytelniania użytkowników przez serwer aplikacji.
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
callbacks[3] = new com.ibm.wsspi.security.auth.callback.
WSTokenHolderCallback("Authz Token List: ");
W konfiguracjach logowania systemu serwer aplikacji uwierzytelnia użytkownika na podstawie informacji pobranej przez wywołania zwrotne. Niestandardowy moduł logowania nie musi odpowiadać na żadne z tych wywołań zwrotnych. Następująca lista zawiera typowe kombinacje tych wywołań zwrotnych:
To wywołanie zwrotne występuje w przypadku zapewniania tożsamości protokołu CSIv2, logowania z certyfikatami X509 WWW i CSIv2, logowania starego typu przechwytywacza TAI (Trust Association Interceptor) itd. W logowaniach z certyfikatem WWW i CSIv2 X509 serwer aplikacji odwzorowuje certyfikat na nazwę użytkownika. To wywołanie zwrotne jest używane przez dowolny typ logowania ustanawiający zaufanie tylko z nazwą użytkownika.
Ta kombinacja wywołań zwrotnych jest typowa dla podstawowych logowań z uwierzytelnianiem. Te dwa wywołania zwrotne są używane przez większość uwierzytelnień.
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
getUserFromUniqueID(uniqueID)
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
Jeśli atrybuty zostaną dodane do Tematu przez prostego klienta, wywołania zwrotne NameCallback oraz PasswordCallback uwierzytelniają informacje i obiekty, które zostały przekształcone do postaci cyfrowej w elemencie tokenu zostaną dodane do uwierzytelnionego Tematu.
Niestandardowy moduł logowania musi obsługiwać niestandardową metodę przekształcania do postaci szeregowej. Dodatkowe informacje zawiera sekcja "Propagowanie atrybutu zabezpieczeń" w centrum informacyjnym.
callbacks[4] = new com.ibm.websphere.security.auth.callback.
WSServletRequestCallback("HttpServletRequest: ");
callbacks[5] = new com.ibm.websphere.security.auth.callback.
WSServletResponseCallback("HttpServletResponse: ");
callbacks[6] = new com.ibm.websphere.security.auth.callback.
WSAppContextCallback("ApplicationContextCallback: ");
callbacks[7] = new WSRealmNameCallbackImpl("Realm Name: ",
<dziedzina_domyślna>);
callbacks[8] = new WSX509CertificateChainCallback("X509Certificate[]: ");
Jeśli obiekt java.util.Hashtable istnieje, moduł logowania odwzorowuje atrybuty obiektu do poprawnego Tematu. Jeśli wywołanie WSTokenHolderCallback jest obecne, moduł logowania przekształca obiekt tokenu bajtowego z postaci cyfrowej i ponownie generuje treść Tematu przekształconego do postaci cyfrowej. Tabela mieszająca java.util.Hashtable ma znaczenie rozstrzygające przed wszystkimi pozostałymi formami logowania. Należy pamiętać, aby zapobiec duplikacji nadpisania danych propagowanych poprzednio przez serwer aplikacji.
Poprzez określenie tabeli mieszającej java.util.Hashtable, aby miała znaczenie rozstrzygające przed informacją uwierzytelniania, niestandardowy moduł logowania sprawdził poprawność tokenu LTPA (jeśli istnieje), aby ustanowić wystarczające zaufanie. Niestandardowy moduł logowania może użyć metody com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validationLTPAToken(byte[]) w celu sprawdzenia poprawności tokenu LTPA zawartego w wywołaniu zwrotnym WSCredTokenCallback. Niepowodzenie podczas sprawdzania poprawności tokenu LTPA oznacza zagrożenie zabezpieczeń.
Dodatkowe informacje dotyczące dodawania tabeli mieszającej, która zawiera ogólnie znane i utworzone atrybuty używane przez serwer aplikacji jako wystarczające informacje logowania zawiera sekcja "Konfigurowanie odwzorowania tożsamości przychodzącej" w centrum informacyjnym.
Przetwarza żądania RMI (Remote Method Invocation) wysyłane na zewnątrz do innego serwera, jeśli właściwości com.ibm.CSI.rmiOutboundLoginEnabled lub the com.ibm.CSIOutboundPropagationEnabled posiadają wartość true.
Ta konfiguracja logowania określa możliwości konfiguracyjne serwera docelowego i jego domeny zabezpieczeń. Jeśli na przykład serwer aplikacji w wersji 5.1.1 lub nowszej (lub 5.1.0.2 dla platformy z/OS) komunikuje się z serwerem aplikacji w wersji 5.x, serwer aplikacji 5.1.1 wysyła tylko informacje uwierzytelniania do serwera aplikacji za pomocą znacznika LTPA. Jeśli jednak serwer WebSphere Application Server 5.1.1 lub nowszy komunikuje się z serwerem aplikacji w wersji 5.1.x, informacje uwierzytelniania i autoryzacji są przesyłane do odbierającego je serwera aplikacji, jeśli propagacja zostanie włączona na serwerze wysyłającym i odbierającym. Jeśli serwer aplikacji wysyła informacje uwierzytelniania i autoryzacji do serwera zgodnie z kierunkiem przesyłania, serwer aplikacji umożliwia pominięcie kolejnego uzyskania dostępu do bazy danych i wyszukanie atrybutów zabezpieczeń użytkownika dla celów autoryzacji. Dodatkowo, dowolne obiekty niestandardowe, które zostały dodane w serwerze wysyłającym są obecne w Temacie serwera.
Następujące wywołanie zwrotne jest dostępne w konfiguracji logowania RMI_OUTBOUND. Można użyć strategii obiektu com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy zwracanego przez własne wywołanie zwrotne w celu wysłania zapytania strategii zabezpieczeń dla danego żądania wychodzącego. To zapytanie może pomóc w określeniu, czy dziedzina docelowa jest inna niż dziedzina bieżąca, co oznacz konieczność odwzorowania dziedziny. Dodatkowe informacje zawiera sekcja "Konfigurowanie odwzorowania wychodzącego do innej dziedziny docelowej" w centrum informacyjnym.
Udostępnia specyficzną dla protokołu informację strategii dla modułów logowania w tym wywołaniu wychodzącym. Ta informacja jest używana w celu określenia poziomu zabezpieczeń, łącznie z dziedziną docelową oraz docelowymi i połączonymi wymaganiami zabezpieczeń.
csiv2PerformPolicy = (CSIv2PerformPolicy)
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();
Protokół inny niż RMI może posiadać inny typ obiektu strategii.
Można użyć niestandardowego modułu logowania przed tym modułem logowania, aby odwzorować uwierzytelnianie. Jest jednak zalecane, aby moduł logowania zmienił treść Tematu przekazanego podczas fazy logowania. Jeśli to zalecenie zostanie spełnione, moduły logowania zostaną przetworzone po zmodyfikowaniu nowej treści Tematu przez ten moduł logowania.
Dodatkowe informacje zawiera sekcja "Konfigurowanie odwzorowania wychodzącego do innej dziedziny docelowej" w centrum informacyjnym.
Przetwarza żądania logowania w środowisku pojedynczego serwera, jeśli mechanizm SWAM (Simple WebSphere Authentication Mechanism) jest używany jako metoda uwierzytelniania.
Przetwarza żądania konfiguracji logowania dla zabezpieczeń usług WWW za pomocą asercji tożsamości.
Ta konfiguracja logowania jest przeznaczona dla aplikacji JAX-RPC (wersja 5.x) WS-Security (wersja robocza numer 13). Dodatkowe informacje zawiera sekcja "Metoda uwierzytelniania asercji tożsamości" w centrum informacyjnym.
Przetwarza żądania konfiguracji logowania dla zabezpieczeń usług WWW za pomocą asercji tożsamości.
Ta konfiguracja logowania jest przeznaczona dla aplikacji JAX-RPC WS-Security w wersji 1.0.
Dla modułu logowania JAAS IDAssertionUsernameToken można skonfigurować właściwość niestandardową com.ibm.wsspi.wssecurity.auth.module.IDAssertionLoginModule.disableUserRegistryCheck. Właściwość ta stanowi opcję dla modułu logowania JAAS asercji tożsamości zabezpieczeń usług WWW o nazwie wssecurity.IDAssertionUsernameToken. Wskazuje ona, że moduł logowania nie ma wykonywać sprawdzania rejestru użytkowników podczas przetwarzania przychodzącego znacznika tożsamości.
Weryfikuje certyfikat X.509 za pomocą listy odwołań certyfikatów w obiekcie PKCS7 (Public Key Cryptography Standards #7).
Ta konfiguracja logowania jest przeznaczona dla systemów wersji 6.0.x.
Weryfikuje certyfikat X.509 za pomocą ścieżki infrastruktury kluczy publicznych (PKI).
Ta konfiguracja logowania jest przeznaczona dla systemów wersji 6.0.x.
Przetwarza żądania konfiguracji logowania dla zabezpieczeń usług WWW, sprawdzając poprawność podpisu cyfrowego.
Ta konfiguracja logowania jest używana przez systemy wersji 5.x.
Sprawdza poprawność uwierzytelniania podstawowego (nazwa użytkownika i hasła).
Jeśli używane jest środowisko wykonawcze JAX-RPC, dla modułu logowania JAAS UsernameToken można skonfigurować następujące właściwości niestandardowe:
Dla modułu logowania JAAS UsernameToken można skonfigurować właściwość niestandardową com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck. Właściwość ta stanowi opcję dla modułu logowania JAAS UsernameToken zabezpieczeń usług WWW o nazwie com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule. Wskazuje ona, że moduł logowania nie ma wykonywać sprawdzania rejestru użytkowników podczas przetwarzania przychodzącego znacznika nazwy użytkownika.
Sprawdza poprawność binarnego tokenu zabezpieczeń (BST) dla certyfikatu X.509, weryfikując ważność certyfikatu i ścieżki certyfikatu.
Ta konfiguracja logowania jest przeznaczona dla systemów wersji 6.0.x.
Przetwarza żądania logowania dla komponentów w kontenerach WWW, jak np. serwlety i pliki stron JavaServer (JSP).
Moduł logowania com.ibm.ws.security.web.AuthenLoginModule został fabrycznie zdefiniowany w konfiguracji logowania LTPA. Można dodać niestandardowe moduły logowania przed lub po tym module w konfiguracji logowania LTPA_WEB.
Konfiguracja logowania LTPA_WEB może przetwarzać obiekt HttpServletRequest, HttpServletResponse oraz nazwę aplikacji WWW, które przekazano za pomocą programu obsługi wywołania zwrotnego. Dodatkowe informacje zawiera sekcja Przykład: Dostosowywanie uwierzytelniania JAAS (Java Authentication and Authorization Service) oraz konfiguracji logowania w Centrum informacyjnym.
Przetwarza żądania logowania, które nie zostały obsłużone przez konfigurację logowania LTPA_WEB.
Ta konfiguracja logowania jest używana przez serwer WebSphere Application Server 5.1 i poprzednie wersje.
Moduł logowania com.ibm.ws.security.server.lm.ltpaLoginModule został fabrycznie zdefiniowany w konfiguracji logowania LTPA. Można dodać niestandardowe moduły logowania przed lub po tym module w konfiguracji logowania LTPA. Dodatkowe informacje zawiera sekcja Przykład: Dostosowywanie uwierzytelniania JAAS (Java Authentication and Authorization Service) oraz konfiguracji logowania w Centrum informacyjnym.
Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.