Konfigurationseinstellungen für die Anmeldezuordnung

Verwenden Sie diese Seite, um die Einstellungen für die JAAS-Anmeldekonfiguration anzugeben, die zum Validieren der Sicherheitstoken in eingehenden Nachrichten verwendet werden soll.

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Führen Sie zum Anzeigen dieser Seite der Administrationskonsole für die Zellenebene die folgenden Schritte aus:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "Weitere Eigenschaften" auf Anmeldezuordnungen.
  3. Klicken Sie auf Neu, um eine neue Anmeldezuordnungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration.
Führen Sie zum Anzeigen dieser Seite der Administrationskonsole für die Serverebene die folgenden Schritte aus:
  1. Klicken Sie auf Server>Servertypen>WebSphere-Anwendungsserver> Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "Weitere Eigenschaften" auf Anmeldezuordnungen.
  4. Klicken Sie auf Neu, um eine neue Anmeldezuordnungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration.
Führen Sie zum Anzeigen dieser Seite der Administrationskonsole für die Anwendungsebene die folgenden Schritte aus:
  1. Klicken Sie auf Anwendungen>Anwendungstypen>WebSphere-Unternehmensanwendungen> Anwendungsname.
  2. Klicken Sie unter "Module" auf Module verwalten > URI-Name.
  3. Klicken Sie unter "Eigenschaften der Web-Service-Sicherheit" auf Web-Services: Serversicherheitsbindungen.
  4. Klicken Sie unter "Anforderungsempfängerbindung" auf Bearbeiten.
  5. Klicken Sie auf Anmeldezuordnungen.
  6. Klicken Sie auf Neu, um eine neue Anmeldezuordnungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration.
Wichtig: Wenn die Anmeldezuordnungskonfiguration auf Anwendungsebene nicht gefunden wird, sucht die Web-Service-Laufzeit die Anmeldezuordnungskonfiguration auf Serverebene. Wenn die Konfiguration auf Serverebene nicht gefunden wird, durchsucht die Web-Service-Laufzeitumgebung die Zelle.
Authentifizierungsmethode [nur Version 5]

Die Methode für die Authentifizierung.

Sie können jede Zeichenfolge verwenden, aber die Zeichenfolge muss dem Element in der Konfiguration auf Serviceebene entsprechen. Die folgenden Wörter sind reserviert und haben Sonderbedeutungen:
BasicAuth
Es wird ein Benutzername und ein Kennwort verwendet.
IDAssertion
Es wird nur ein Benutzername verwendet, aber beim Empfangsserver muss durch einen TrustedIDevaluator eine zusätzliche Vertrauensebene eingerichtet werden.
Signature
Es wird der definierte Name (DN, Distinguished Name) des Unterzeichners verwendet.
LTPA
Validiert ein Token.
Name der JAAS-Konfiguration [nur Version 5]

Gibt den Namen der JAAS-Konfiguration (Java Authentication and Authorization Service) an.

Einige der vordefinierten Systemanmeldekonfigurationen, die Sie verwenden können, sind im Folgenden aufgeführt:
system.wssecurity.IDAssertion
Bei Auswahl dieser Konfiguration können Anwendungen der Version 5.x die Zusicherung der Identität (IDAssertion) verwenden, um einen Benutzernamen dem Principal eines Berechtigungsnachweises von WebSphere Application Server zuzuordnen.
system.wssecurity.Signature
Wenn Sie diese Konfiguration verwenden, können Anwendungen der Version 5.x einen definierten Namen (DN in einem signierten Zertifikat einem Principal eines Berechtigungsnachweises in WebSphere Application Server zuordnen.
system.LTPA_WEB
Verarbeitet vom Webcontainer verwendete Anmeldeanforderungen wie Servlets und JSP-Dateien.
system.WEB_INBOUND
Bearbeitet die Anmeldungen für Webanwendungsanforderungen, einschließlich Servlets und JSPs (JavaServer Pages). Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1.1 verwendet.
system.RMI_INBOUND
Bearbeitet die Anmeldungen für eingehende RMI-Anforderungen (Remote Method Invocation). Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1.1 verwendet.
system.DEFAULT
Bearbeitet die Anmeldungen für eingehende Anforderungen interner Authentifizierungen und der meisten anderen Protokolle mit Ausnahme von Webanwendungen und RMI-Anforderungen. Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1.1 verwendet.
system.RMI_OUTBOUND
Verarbeitet RMI-Anforderungen, die an einen anderen Server gesendet werden, wenn die Eigenschaft "com.ibm.CSIOutboundPropagationEnabled" den Wert true hat. Diese Eigenschaft wird in der Anzeige für CSIV2-Authentifizierung festgelegt. Klicken Sie zum Aufrufen dieser Anzeige auf Sicherheit > Globale Sicherheit. Erweitern Sie den Eintrag "RMI/IIOP-Sicherheit", und klicken Sie auf Authentifizierung abgehender CSIv2-Anforderungen. Wählen Sie die Option Weitergabe von Sicherheitsattributen aus, um die Eigenschaft "com.ibm.CSIOutboundPropagationEnabled" zu setzen.
system.wssecurity.X509BST [nur Version 6]
Diese Konfiguration überprüft X.509 Binary Security Token (BST, binäres Sicherheitstoken), indem sie die Gültigkeit des Zertifikats und des Zertifikatspfads prüft.
system.wssecurity.PKCS7 [nur Version 6]
Dies Konfiguration überprüft X.509-Zertifikate anhand von Zertifikatswiderruflisten in einem PKCS7-Objekt.
system.wssecurity.PkiPath [nur Version 6]
Diese Konfiguration überprüft ein X.509-Zertifikat mit einem PKI-Pfad (Public Key Infrastructure).
system.wssecurity.UsernameToken [nur Version 6]
Diese Konfiguration überprüft die Basisauthentifizierung (Benutzername und Kennwort).
Diese Systemanmeldekonfigurationen werden in der Anzeige "Systemanmeldungen" definiert, die Sie wie folgt aufrufen können:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Erweitern Sie den Eintrag "Java Authentication and Authorization Service", und klicken Sie auf Systemanmeldungen.
Achtung: Die vordefinierten Systemanmeldekonfigurationen werden in der Anzeige "Systemanmeldekonfigurationen" ohne das Systempräfix aufgelistet. Die angegebene JAAS-Konfiguration (Java Authentication and Authorization Service) system.wssecurity.UsernameToken entspricht beispielsweise der Konfiguration wssecurity.UsernameToken in der Anzeige "Anmeldekonfiguration für System".
Sie können die folgenden vordefinierten Anwendungsanmeldekonfigurationen verwenden:
ClientContainer
Gibt die Anmeldekonfiguration an, die von der ClientContainer-Anwendung verwendet wird. Diese Anwendung verwendet die CallbackHandler-API, die im Implementierungsdeskriptor des Clientcontainers definiert ist.
WSLogin
Gibt an, ob alle Anwendungen die WSLogin-Konfiguration verwenden sollen, um die Authentifizierung für die Laufzeit der Sicherheitseinrichtung des WebSphere Application Server durchzuführen.
DefaultPrincipalMapping
Gibt die Anmeldekonfiguration an, die Java-2-Connector verwenden, um Benutzer Principals zuzuordnen, die unter "Dateneinträge für J2C-Authentifizierung" definiert sind.
Diese Anwendungsanmeldekonfigurationen werden in der Anzeige "Anwendungsanmeldungen" definiert, die Sie wie folgt aufrufen können:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Erweitern Sie den Eintrag "Java Authentication and Authorization Service", und klicken Sie auf Anwendungsanmeldungen.

Sie dürfen keine der vordefinierten Konfigurationen für System- oder Anwendungsanmeldungen entfernen. Sie können diesen Konfigurationen Modulklassennamen hinzufügen und die Reihenfolge festlegen, in der WebSphere Application Server die einzelnen Module lädt.

Klassenname der Callback-Handler-Factory [nur Version 5]

Der Name der Factory für die CallbackHandler-Klasse.

In diesem Feld müssen Sie die Klasse "com.ibm.wsspi.wssecurity.auth.callback.CallbackHandlerFactory" angeben.

URI des Tokentyps [nur Version 5]

Der Namespace-URI, der den Typ der akzeptierten Sicherheitstoken angibt.

Wenn binäre Sicherheitstoken akzeptiert werden, muss der Wert das Attribut ValueType im Element enthalten. Das Element ValueType gibt den Typ des Sicherheitstoken und dessen Namespace an. Wenn XML-Token (Extensible Markup Language) akzeptiert werden, gibt der Wert den Namen des Elements der höchsten ebene des XML-Token an.

Falls im Feld "Authentifizierungsmethode" eines der reservierten Wörter angegeben wurde, wird dieses Feld ignoriert.

Datentyp Unicode-Zeichen außer Nicht-ASCII-Zeichen, aber einschließlich des Nummernzeichens (#), des Prozentzeichens (%) und der eckigen Klammern ([ ]).
Lokaler Name für Tokentyp [nur Version 5]

Der lokale Name für den Typ des Sicherheitstoken, z. B. X509v3.

Wenn binäre Sicherheitstoken akzeptiert werden, muss der Wert das Attribut ValueType im Element enthalten. Das Attribut ValueType gibt den Typ des Sicherheitstoken und dessen Namespace an. Wenn XML-Token (Extensible Markup Language) akzeptiert werden, gibt der Wert den Namen des Elements der höchsten ebene des XML-Token an.

Falls im Feld "Authentifizierungsmethode" eines der reservierten Wörter angegeben wurde, wird dieses Feld ignoriert.

Maximale Nonce-Lebensdauer [nur Version 5]

Verfallsdatum für Nonce-Zeitmarke. Nonce ist ein generierter Zufallswert.

Sie müssen im Feld "Maximale Nonce-Lebensdauer" einen Mindestwert von 300 Sekunden angeben. Der Maximalwert darf jedoch nicht den auf Zellen- oder Serverebene angegebenen Wert für "Cachezeitlimit für Nonce" überschreiten.

Sie können die maximale Nonce-Lebensdauer auf Zellenebene wie folgt festlegen:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Sie können die maximale Nonce-Lebensdauer auf Serverebene wie folgt festlegen:
  1. Klicken Sie auf Server>Servertypen>WebSphere-Anwendungsserver> Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web-Service-Sicherheit.mixv
Wichtig: Das Feld "Maximale Nonce-Lebensdauer" in dieser Anzeige ist optional und nur gültig, wenn als Authentifizierungsverfahren "BasicAuth" definiert ist. Wenn Sie eine andere Authentifizierungsmethode angeben und versuchen, in diesem Feld einen Wert festzulegen, wird die folgende Fehlernachricht angezeigt: Nonce wird nur für die Authentifizierungsmethode BasicAuth unterstützt.

Wenn Sie die Methode "BasicAuth", aber keinen Wert für das Feld "Maximale Nonce-Lebensdauer" angeben, sucht die Web-Service-Sicherheitslaufzeitumgebung nach diesem Wert auf Serverebene. Sollte auf Serverebene kein Wert definiert sein, wird zur Laufzeit der Wert auf Zellenebene gesucht. Wird weder auf Server- noch auf Zellenebene ein Wert gefunden, wird der Standardwert von 300 Sekunden verwendet.

Standardeinstellung 300 Sekunden
Einstellmöglichkeiten 300 Sekunden bis Cachezeitlimits für Nonce
Zeitliche Abweichung für Nonce [nur Version 5]

Gibt die zeitliche Abweichung an, die WebSphere Application Server berücksichtigen muss, wenn die Aktualität der Nachricht geprüft wird. Nonce ist ein generierter Zufallswert.

Sie können die "Zeitliche Abweichung für Nonce" auf Zellenebene wie folgt festlegen:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Sie können die Zeitliche Abweichung für Nonce auf Serverebene wie folgt festlegen:
  1. Klicken Sie auf Server>Servertypen>WebSphere-Anwendungsserver> Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web-Service-Sicherheit.mixv

Sie müssen im Feld "Zeitliche Abweichung für Nonce" einen Mindestwert von 0 Sekunden angeben. Der Maximalwert darf jedoch nicht die Anzahl der in der Anzeige "Anmeldezuordnungen" im Feld "Maximale Nonce-Lebensdauer" angegebenen Sekunden überschreiten.

Wichtig: Das Feld "Zeitliche Abweichung vom Nonce" in dieser Anzeige ist optional und nur gültig, wenn BasicAuth als Authentifizierungsverfahren definiert ist. Wenn Sie eine andere Authentifizierungsmethode angeben und versuchen, in diesem Feld einen Wert festzulegen, wird die folgende Fehlernachricht angezeigt: Nonce wird nur für die Authentifizierungsmethode BasicAuth unterstützt.
Anmerkung: Falls Sie BasicAuth angeben, aber im Feld "Zeitliche Abweichung für Nonce" keinen Wert festlegen, sucht WebSphere Application Server auf Serverebene nach einem Wert für die zeitliche Abweichung für Nonce. Sollte auf Serverebene kein Wert definiert sein, wird zur Laufzeit der Wert auf Zellenebene gesucht. Wird weder auf Server- noch auf Zellenebene ein Wert gefunden, wird der Standardwert von 0 Sekunden verwendet.
Standardeinstellung 0 Sekunden
Einstellmöglichkeiten 0 Sekunden bis maximale Nonce-Lebensdauer



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Konzepte
Zugehörige Tasks
Zugehörige Verweise
Anmeldezuordnungen
Standardbindungen und Eigenschaften der Sicherheitslaufzeitumgebung


Dateiname: uwbs_logmapn.html