Параметры обработчика обратных вызовов

Эта страница позволяет настроить параметры обработчика обратных вызовов, которые определяют способ получения маркеров защиты из заголовков сообщений.

При редактировании привязки уровня ячейки или сервера можно настроить параметры обработчика обратных вызовов. Также можно настроить привязки приложения для маркеров и частей сообщений, необходимых набору стратегий.

Для того чтобы открыть эту страницу административной консоли в процессе изменения привязки уровня ячейки, выполните следующие действия:
  1. Выберите последовательно Службы > Наборы стратегий > Привязки наборов стратегий по умолчанию. На панели привязок показана привязка по умолчанию, например, Пример привязки провайдера.
  2. Для изменения привязки по умолчанию выберите Службы > Наборы стратегий > Общие привязки наборов стратегий поставщика.
  3. Щелкните на имени связывания по умолчанию, указанного на первом шаге. Например, Пример провайдера.
  4. В таблице Стратегии выберите стратегию WS-Security (Защита Web-служб).
  5. Щелкните на ссылке Идентификация и защита в разделе Привязки стратегий защиты главных сообщений.
  6. В разделе Маркеры защиты или Маркеры идентификации щелкните на ссылке имя_маркера.
  7. Щелкните на ссылке Обработчик обратных вызовов.
Для того чтобы открыть эту страницу административной консоли во время настройки привязок приложения для маркеров и фрагментов сообщений, требуемых набором стратегий, выполните следующие действия:
  1. Выберите Приложения>Типы приложений>Приложения J2EE WebSphere.
  2. Выберите приложение, содержащее Web-службы. Приложение должно иметь провайдер службы или клиент службы.
  3. Нажмите ссылку Наборы стратегий и привязки провайдера службы или Наборы стратегий и привязки клиента службы в разделе "Свойства Web-служб".
  4. Выберите привязку. Перед этим нужно прикрепить набор стратегий и присвоить привязку приложения.
  5. В таблице Стратегии выберите стратегию WS-Security (Защита Web-служб).
  6. Щелкните на ссылке Идентификация и защита в разделе Привязки стратегий защиты главных сообщений.
  7. В разделе Маркеры защиты или Маркеры идентификации щелкните на ссылке имя_маркера.
  8. Щелкните на ссылке Обработчик обратных вызовов.

Эта панель административной консоли применима только к Java API для приложений XML (JAX-WS).

Для разных настраиваемых маркеров обработчик обратных вызовов отображает поля по-разному. В зависимости от того, настраиваются маркеры отправителя или получателя для защиты или настраиваются входящие и исходящие маркеры для идентификации, на этой панели отображаются некоторые или все разделы и поля, описываемые в этом разделе, что отмечается в описании каждого поля.

Имя класса

Поля в разделе Имя класса доступны для всех типов конфигурации маркеров.

Выберите имя класса, используемого для обработчика обратных вызовов. Для обычной работы выберите опцию Использовать модуль по умолчанию. Опцию Использовать пользовательский следует выбирать только при применении пользовательского типа маркера.

При применении пользовательского типа маркеров Kerberos используйте для конфигурации генератора маркера имя класса com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler. Для конфигурации получателя маркера используйте имя com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.

Опция Использовать модуль по умолчанию

Определяет значение по умолчанию, используемое для имени класса. При включении этого переключателя для имени класса используется значение по умолчанию (присутствующее в поле). Это имя основано на типе маркера и зависит от обработчика обратных вызовов (отправителя маркеров или получателя маркеров). Эта опция является взаимно исключающей для опции Использовать пользовательский.

Опция Использовать пользовательский

Определяет пользовательское значение, используемое для имени класса. Для того чтобы использовать пользовательское имя класса, включите этот переключатель и введите имя в поле.

Это поле ввода не имеет значения по умолчанию. Для определения этого значения пользуйтесь следующей таблицей:

Табл. 1. Имена пользовательских классов для обработчика обратного вызова и связанных типов маркеров. Обработчик обратного вызова определяет способ получения маркеров защиты из заголовков сообщений.
Тип маркера Получатель или отправитель Имя класса обработчика обратных вызовов
UsernameToken consumer com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
UsernameToken generator com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
X509Token consumer com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
X509Token generator com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
LTPAToken/LTPAPropagationToken consumer com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
LTPAToken/LTPAPropagationToken generator com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
SecureConversationToken consumer com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
SecureConversationToken generator com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler

Этот переключатель является взаимно исключающим для опции Использовать модуль по умолчанию.

Сертификаты (генератор)

Поля в разделе Сертификаты становятся доступны при настройке маркера защиты. Для маркера генератора можно выбрать сертификат в списке или добавить хранилище сертификатов с помощью кнопки Создать.

Сертификаты (приемник)

Поля в разделе Сертификаты становятся доступны при настройке маркера защиты. Для настройки хранилища сертификатов получателя можно использовать опцию Доверять любому сертификату или Хранилище сертификатов.

Сертификаты - опция Доверять любому сертификату (приемник)

Этот параметр применим только к приемнику маркеров. Он указывает, что система доверяет всем сертификатам и не настроена для работы с конкретным хранилищем сертификатов. Этот параметр несовместим с параметром Хранилище сертификатов.

Сертификаты - Хранилище сертификатов (приемник)

Этот параметр применим только к приемнику маркеров. Он позволяет указать набор хранилищ сертификатов, содержащий промежуточные сертификаты, в число которых могут входить списки аннулированных сертификатов (CRL). Выберите этот параметр и укажите доверенные хранилища сертификатов. Этот параметр несовместим с параметром Доверять любому сертификату. При выборе параметра Хранилище сертификатов становится доступной кнопка Создать, позволяющая настроить новое хранилище сертификатов или хранилище доверенных сертификатов.

В поле Хранилище сертификатов можно указать значение по умолчанию Нет. Однако в поле Хранилище доверенных сертификатов должно быть указано конкретное значение. Значение по умолчанию не предусмотрено. Хранилище доверенных сертификатов применяется, если параметр Доверять любому сертификату не выбран.

Простая идентификация

Поля в разделе Простая идентификация становятся доступны при настройке маркера идентификации, который не является ключом распространения LTPA.

При применении маркера Kerberos пользовательского типа необходимо заполнить раздел Простая идентификация для сеанса Kerberos.

Имя пользователя

Определяет имя пользователя для идентификации.

Пароль

Определяет пароль для идентификации. В поле ввода введите пароль для идентификации.

Подтверждение пароля

Подтверждает введенный пароль.

Хранилище ключей

Поля в разделе Хранилище ключей становятся доступны при настройке маркера защиты.

В списке Имя хранилища ключей можно выбрать Пользовательское для указания пользовательского хранилища ключей, одно из выданных имен хранилищ ключей или Нет, если хранилище ключей не требуется.

Хранилище ключей - Имя

Определяет имя централизованно управляемого файла хранилища ключей для использования.

Выберите имя централизованно управляемого хранилища ключей в этом меню или введите одно из следующих значений:
NodeDefaultKeyStore
NodeDefaultTrustStore
NodeLTPAKeys
Нет
Указывает, что централизованно управляемый файл хранилища ключей не используется.
Пользовательский
Указывает использование централизованно управляемого файла хранилища ключей. Щелкните на ссылке Конфигурация пользовательского хранилища ключей для настройки пользовательского хранилища ключей и параметров ключей.
Хранилище ключей - Конфигурация пользовательского хранилища ключей

Определяет ссылку для создания пользовательского хранилища ключей. Эта ссылка открывает панель, которая позволяет настроить пользовательское хранилище ключей.

Ключ

Поля в разделе Ключ становятся доступны при настройке маркера защиты.

Имя

Определяет имя ключа. В это поле введите имя используемого ключа.

Псевдоним

Определяет псевдоним, используемый для ключа. В это поле введите используемый псевдоним ключа.

Пароль

Определяет используемый пароль для ключа.

Вы не можете задавать пароли для открытых ключей отправителя асимметричного шифрования или получателя асимметричной сигнатуры.

Подтверждение пароля

Подтверждает используемый пароль для ключа. Для подтверждения введите тот же пароль, что и введенный в поле Пароль.

Для открытых ключей асимметричного исходящего шифрования или входящей сигнатуры пароль подтверждения ключа не предусмотрен.

Пользовательские свойства

Поля в разделе Пользовательские свойства класса доступны для всех типов конфигурации маркеров.

Можно добавлять пользовательские свойства, нужные обработчику обратных вызовов, используя пары имя-значение.

Для реализации шифрования сертификата подписанта для программной модели JAX-WS необходимо добавить пользовательское свойство com.ibm.wsspi.wssecurity.token.cert.useRequestorCert со значением true в конфигурацию обработчика обратных вызовов генератора ключей шифрования. В этой реализации для шифрования ответа SOAP применяется сертификат подписанта запроса SOAP. Это пользовательское свойство применяется генератором ответов.

При применении пользовательского маркера Kerberos, основанного на спецификации защиты Web-служб OASIS для профайла ключей Kerberos версии 1.1. укажите следующее свойство для генерации маркера: com.ibm.wsspi.wssecurity.krbtoken.clientRealm. Задает имя области Kerberos, связанной с клиентом, и позволяет области клиента Kerberos инициировать сеанс Kerberos. Если это свойство не указано, применяется имя области Kerberos по умолчанию. При использовании среды с одной областью Kerberos это свойство является необязательным. При реализации защиты Web-служб в среде с несколькими областями или с защищенной областью Kerberos необходимо указать значение свойства clientRealm.

Пользовательское свойство Kerberos com.ibm.wsspi.wssecurity.krbtoken.loginPrompt разрешает вход в систему, если указано значение true. Значение по умолчанию - False. Это обязательное свойство.

Для защиты от атак с повтором пакетов при настройке ключа username для программной модели JAX-WS рекомендуется добавить следующие пользовательские свойства в конфигурацию обработчика обратного вызова. Эти пользовательские свойства включают и проверяют одноразовую строку и системное время для идентификации сообщений.
Имя свойства (генератор) Значение свойства
com.ibm.wsspi.wssecurity.token.username.addNonce true
com.ibm.wsspi.wssecurity.token.username.addTimestamp true
Имя свойства (приемник) Значение свойства
com.ibm.wsspi.wssecurity.token.username.verifyNonce true
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
Имя

Определяет имя используемого пользовательского свойства.

Пользовательские свойства изначально не отображаются в этом столбце. Для того чтобы увидеть их, выполните следующие действия:

Кнопка Действие
Создать Создание новой записи пользовательского свойства. Чтобы добавить пользовательское свойство, введите его имя и значение.
Удалить Удаляет выбранное пользовательское свойство.
Значение

Определяет значение используемого пользовательского свойства. С помощью поля ввода Значение можно ввести или удалить значение пользовательского свойства.




Ссылки, помеченные как (в сети), требуют подключения к Internet.

Задачи, связанные с данной
Ссылки, связанные с данной
Настройки маркеров защиты (генератора или приемника)
Наборы стратегий приложения
Параметры набора стратегий приложения
Поиск прикрепленных приложений
Параметры привязок набора стратегий


Имя файла: uwbs_wsspsbch.html