С помощью этой страницы можно указать список конфигураций сеансов системы для службы идентификации Java (JAAS).
Обрабатывает входящие запросы на вход в систему для удаленного вызова методов (RMI), Web-приложений и большинства других протоколов входа в систему.
Рассмотренные три конфигурации сеансов передают следующую информацию об обратном вызове, которая обрабатывается модулями сеансов этих конфигураций. Обратные вызовы не передаются одновременно. Их комбинация задает способ идентификации пользователя на сервере приложений.
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
callbacks[3] = new com.ibm.wsspi.security.auth.callback.
WSTokenHolderCallback("Authz Token List: ");
В конфигурациях сеансов системы для идентификации пользователей на сервере приложений применяется информация, собранная обратными вызовами. Однако пользовательский модуль сеансов может работать не со всеми обратными вызовами. В следующем списке рассмотрены стандартные комбинации обратных вызовов:
Предназначен для подтверждения идентификации CSIv2, сеансов сертификатов Web и X509 CSIv2, сеансов перехватчиков групп доверия старого типа и т. д. В случае сеансов сертификатов Web и X509 CSIv2 сервер приложений преобразует сертификат в имя пользователя. Данный обратный вызов применяется для всех сеансов, проверяющих подлинность только на основе имени пользователя.
Такая комбинация обратных вызовов, как правило, применяется для сеансов простой идентификации. Большая часть операций идентификации выполняется с помощью этой пары обратных вызовов.
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
getUserFromUniqueID(uniqueID)
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
В случае добавления атрибутов в субъект из простого клиента за идентификацию информации отвечают обратные вызовы NameCallback и PasswordCallback. В идентифицированный субъект добавляются объекты, сериализованные в контейнере маркера.
Пользовательский модуль сеансов отвечает за сериализацию. Дополнительная информация приведена в разделе "Распространение атрибутов защиты" справочной системы Information Center.
callbacks[4] = new com.ibm.websphere.security.auth.callback.
WSServletRequestCallback("HttpServletRequest: ");
callbacks[5] = new com.ibm.websphere.security.auth.callback.
WSServletResponseCallback("HttpServletResponse: ");
callbacks[6] = new com.ibm.websphere.security.auth.callback.
WSAppContextCallback("ApplicationContextCallback: ");
callbacks[7] = new WSRealmNameCallbackImpl("Realm Name: ", <default_realm>);
callbacks[8] = new WSX509CertificateChainCallback("X509Certificate[]: ");
При наличии объекта java.util.Hashtable модуль сеансов преобразует его атрибуты в допустимый субъект. При наличии обратного вызова WSTokenHolderCallback модуль сеансов десериализует объекты маркера и создает содержимое субъекта в сериализованном виде. Хэш-таблица java.util.Hashtable имеет преимущество по сравнению с остальными типами входа в систему. Рекомендуется проявлять осторожность, чтобы избежать дублирования или переопределения данных, распространенных серверов приложений ранее.
Если хэш-таблица java.util.Hashtable имеет преимущество перед остальными идентификационными данными, пользовательский модуль сеансов должен реализовать проверку маркера LTPA (если применяется) для обеспечения достаточного уровня доверия. Пользовательский модуль сеансов может проверить маркер LTPA, указанный в обратном вызове, с помощью метода com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validationLTPAToken(byte[]). Ошибка проверки маркера LTPA представляет собой угрозу безопасности.
Дополнительная информация о добавлении хэш-таблицы, содержащей известные атрибуты в правильном формате, применяемые сервером приложений в качестве идентификационной информации, приведена в разделе "Настройках преобразования входящих идентификаторов" справочной системы Information Center.
Обрабатывает исходящие запросы RMI, отправляемые другим серверам, если для свойства com.ibm.CSI.rmiOutboundLoginEnabled или com.ibm.CSIOutboundPropagationEnabled указано значение true.
Эта конфигурация сеансов описывает функции защиты целевого сервера и его домена защиты. Например, если сервер приложений версии 5.1.1 или более поздней (либо 5.1.0.2 для z/OS) взаимодействует с сервером приложений версии 5.x, то сервер приложений версии 5.1.1 отправляет серверу версии 5.x только идентификационные данные с помощью маркера LTPA. Однако, если WebSphere Application Server 5.1.1 или более поздней версии взаимодействует с сервером приложений версии 5.1.x, то идентификационные данные и информация о правах доступа передаются принимающему серверу приложений, если распространение атрибутов включено с обоих сторон. В случае отправки сервером приложений идентификационных данных и информации о правах доступа на уровень ниже не требуется повторное обращение к реестру пользователей и поиск атрибутов защиты пользователя для проверки прав доступа. Кроме того, все пользовательские объекты, добавленные отправляющим сервером, передаются серверу нижнего уровня в субъекте.
Следующий обратный вызов доступен в конфигурации сеансов RMI_OUTBOUND. С помощью объекта com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy, возвращаемого этим обратным вызовом, можно запросить стратегию защиты для конкретного исходящего запроса. Такой запрос позволяет определить, отличается ли целевая область от текущей и требуется ли преобразование области. Дополнительная информация приведена в разделе "Настройка исходящего преобразования в другую область" справочной системы Information Center.
Предоставляет информацию о стратегии конкретного протокола для модулей сеансов исходящего вызова. С помощью информации о стратегии можно определить уровень защиты, в том числе целевую область, целевые и объединенные требования к защите.
csiv2PerformPolicy = (CSIv2PerformPolicy)
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();
Протоколы, отличные от RMI, могут использовать объекты стратегии других типов.
Перед запуском этого модуля можно настроить преобразование разрешений с помощью пользовательского модуля. Однако рекомендуется, чтобы содержимое субъекта, передаваемого на этапе входа с систему, изменял данный модуль сеансов. В соответствии с этой рекомендацией модули сеансов обрабатываются после обработки нового содержимого субъекта этим модулем сеансов.
Дополнительная информация приведена в разделе "Настройка исходящего преобразования в другую область" справочной системы Information Center.
Обрабатывает запросы на вход в систему в среде отдельного сервера, если в качестве способа идентификации применяется SWAM (Simple WebSphere Authentication Mechanism).
Обрабатывает запросы конфигурации сеансов для защиты Web-служб с помощью утверждения идентификации.
Эта конфигурация входа в систему предназначена для приложений Web Services Security Draft 13 JAX-RPC (версия 5.x). Дополнительная информация приведена в разделе "Подтверждение идентификации" справочной системы Information Center.
Обрабатывает запросы конфигурации сеансов для защиты Web-служб с помощью утверждения идентификации.
Эта конфигурация входа в систему предназначена для приложений Web Services Security V1.0 JAX-RPC.
В пользовательском свойстве com.ibm.wsspi.wssecurity.auth.module.IDAssertionLoginModule.disableUserRegistryCheck можно указать модуль входа в систему JAAS IDAssertionUsernameToken. Это свойство можно указать для модуля входа в систему JAAS утверждения идентификации защиты Web-служб (wssecurity.IDAssertionUsernameToken). Это свойство указывает, что модуль входа в систему не должен проверять реестр пользователей в ходе обработки входящего маркера идентификатора.
Проверяет сертификат X.509 со списком аннулированных сертификатов в объекте PKCS7.
Конфигурация сеансов предназначена для версии 6.0.x.
Проверяет сертификат X.509 с путем инфраструктуры общих ключей (PKI).
Конфигурация сеансов предназначена для версии 6.0.x.
Обрабатывает запросы конфигурации сеансов для защиты Web-служб путем проверки цифровой подписи.
Конфигурация сеансов предназначена для версии 5.x.
Простая идентификация (имя пользователя и пароль).
В случае применения среды выполнения JAX-RPC можно настроить следующие пользовательские свойства модуля входа в систему JAAS UsernameToken:
В пользовательском свойстве com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck можно указать модуль входа в систему JAAS UsernameToken. Это свойство можно указать для модуля входа в систему JAAS UsernameToken защиты Web-служб (com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule). Это свойство указывает, что модуль входа в систему не должен проверять реестр пользователей в ходе обработки входящего маркера имени пользователя.
Проверяет двоичный маркер защиты X.509 (BST) путем проверки действительности и пути сертификата.
Конфигурация сеансов предназначена для версии 6.0.x.
Обрабатывает запросы на вход в систему для компонентов Web-контейнеров (например, сервлетов или файлов JSP).
Модуль сеансов com.ibm.ws.security.web.AuthenLoginModule предопределен в конфигурации сеансов LTPA. При необходимости до и после этого модуля в конфигурацию LTPA_WEB можно добавить пользовательские модули сеансов.
Конфигурация сеансов LTPA_WEB может обрабатывать объекты HttpServletRequest и HttpServletResponse, а также имя Web-приложения, передаваемые обработчиком обратных вызовов. Дополнительная информация приведена в разделе "Пример: Настройка службы идентификации Java сервера и конфигурации входа в систему" справочной системы Information Center.
Обрабатывает запросы на вход в систему, которые не поддерживаются конфигурацией LTPA_WEB.
Эта конфигурация сеансов применяется продуктом WebSphere Application Server 5.1 и более ранних версий.
Модуль сеансов com.ibm.ws.security.server.lm.ltpaLoginModule предопределен в конфигурации сеансов LTPA. При необходимости до и после этого модуля в конфигурацию LTPA можно добавить пользовательские модули сеансов. Дополнительная информация приведена в разделе "Пример: Настройка службы идентификации Java сервера и конфигурации входа в систему" справочной системы Information Center.
Ссылки, помеченные как (в сети), требуют подключения к Internet.