Nastavení manipulátoru zpětného volání

Na této stránce lze konfigurovat manipulátor zpětného volání, který určuje způsob načítání tokenů zabezpečení ze záhlaví zpráv.

Při úpravě obecné vazby na úrovni volání či serveru můžete konfigurovat manipulátor zpětného volání. Můžete také konfigurovat vazby specifické pro aplikace pro tokeny a části zpráv, které jsou vyžadovány sadou zásad.

Chcete-li zobrazit tuto stránku administrativní konzoly při úpravě obecné vazby na úrovni buňky, postupujte takto:
  1. Klepněte na volbu Služby > Sady zásad > Výchozí vazby sady zásad. Na panelu vazeb je označena vazba, která je nastavena jako výchozí, například vazba Ukázka poskytovatele.
  2. Chcete-li tuto výchozí vazbu změnit, klepněte na volbu Služby > Sady zásad > Obecné vazby sady zásad poskytovatele.
  3. Klepněte na název výchozí vazby určený v prvním kroku, například Ukázka poskytovatele.
  4. Na kartě Zásady klepněte na zásadu WS-Security.
  5. V části Vazby zásad zabezpečení pro hlavní zprávu klepněte na odkaz Ověřování a ochrana.
  6. V části Tokeny ochrany nebo Tokeny ověřování klepněte na odkaz název_tokenu.
  7. Klepněte na odkaz Manipulátor zpětného volání.
Chcete-li zobrazit tuto stránku konzoly pro správu při konfiguraci aplikačních vazeb pro tokeny a části zprávy, které jsou vyžadovány sadou zásad, postupujte podle následujících kroků:
  1. Klepněte na volbu Aplikace > Typy aplikací > Podnikové aplikace WebSphere.
  2. Vyberte aplikaci, která obsahuje webové služby. Aplikace musí obsahovat poskytovatele služby nebo klienta služby.
  3. V části Vlastnosti webových služeb klepněte na odkaz Sady zásad a vazby poskytovatele služeb nebo Sady zásad a vazby klienta služeb.
  4. Vyberte vazbu. Před touto akcí je nutné mít již připojenou sadu zásad a přiřazenou vazbu specifickou pro aplikaci.
  5. Na kartě Zásady klepněte na zásadu WS-Security.
  6. V části Vazby zásad zabezpečení pro hlavní zprávu klepněte na odkaz Ověřování a ochrana.
  7. V části Tokeny ochrany nebo Tokeny ověřování klepněte na odkaz název_tokenu.
  8. Klepněte na odkaz Manipulátor zpětného volání.

Tento panel administrativní konzoly se vztahuje pouze na aplikace rozhraní JAX-WS (Java API for XML Web Services).

Na panelu Manipulátor zpětného volání se zobrazují různá pole podle aktuálně konfigurovaných tokenů. Na tomto panelu jsou k dispozici některá nebo všechna pole a části popsané v tomto tématu. Záleží na tom, zda konfigurujete tokeny generátoru nebo spotřebitele pro ochranu nebo konfigurujete příchozí nebo odchozí tokeny pro ověřování. Způsob zobrazení je uveden v popisu jednotlivých polí.

Název třídy

Pole v části Název třídy jsou k dispozici pro všechny typy konfigurace tokenů.

Vyberte název třídy, který chcete použít pro manipulátor zpětného volání. Vyberte volbu Použít integrované výchozí nastavení pro normální operaci. Volbu Použít vlastní nastavení vyberte, pokud používáte vlastní typ tokenu.

Pro vlastní typ tokenu Kerberos použijte název třídy com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler pro konfiguraci generátoru tokenu. V případě konfigurace spotřebitele tokenu vyberte název com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.

Použít integrované výchozí nastavení

Určuje, že pro název třídy se použije výchozí hodnota. Pokud vyberete tento přepínač, použije se pro název třídy výchozí hodnota (uvedená v poli). Tento název je založený na typu tokenu a na rozlišení, zda je manipulátor zpětného volání určený pro generátor tokenu nebo pro spotřebitele tokenu. Tato volba je neslučitelná s položkou Použít vlastní nastavení.

Použít vlastní nastavení

Určuje, že pro název třídy se použije vlastní hodnota. Chcete-li použít název třídy, vyberte tento přepínač a zadejte název do pole.

Pro toto pole položky není k dispozici žádná výchozí hodnota. Tuto hodnotu určíte použitím údajů z následující tabulky:

Tabulka 1. Vlastní názvy tříd pro manipulátor zpětného volání a přidružené typy tokenu. Manipulátor zpětného volání určuje způsob, jakým jsou získávány tokeny zabezpečení ze záhlaví zpráv.
Typ tokenu Spotřebitel nebo generátor Název třídy manipulátoru pro zpětné volání
UsernameToken spotřebitel com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
UsernameToken generátor com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
X509Token spotřebitel com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
X509Token generátor com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
LTPAToken/LTPAPropagationToken spotřebitel com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
LTPAToken/LTPAPropagationToken generátor com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
SecureConversationToken spotřebitel com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
SecureConversationToken generátor com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler

Toto tlačítko je neslučitelné s volbou Použít integrované výchozí nastavení.

Certifikáty (generátor)

Pole v části Certifikáty jsou k dispozici, pokud konfigurujete token ochrany. V případě tokenu generátoru můžete klepnutím vybrat úložiště certifikátů ze seznamu nebo klepnout na volbu Nové a úložiště certifikátů přidat.

Certifikáty (spotřebitel)

Pole v části Certifikáty jsou k dispozici, pokud konfigurujete token ochrany. Pro token spotřebitele můžete nakonfigurovat úložiště certifikátů pomocí volby Důvěřovat všem certifikátům nebo volby Úložiště certifikátů.

Certifikáty – Důvěřovat všem certifikátům (spotřebitel)

Tuto volbu lze použít pouze pro spotřebitele tokenů. Určuje, že systém bude důvěřovat všem certifikátům a nebude definovat konkrétní úložiště certifikátů. Tato volba je neslučitelná s volbou Úložiště certifikátů.

Certifikáty – Úložiště certifikátů (spotřebitel)

Tuto volbu lze použít pouze pro spotřebitele tokenů. Slouží k určení kolekce úložišť certifikátů obsahující zprostředkující certifikáty, včetně seznamů odvolaných certifikátů (CRL). Výběrem této volby budete důvěřovat úložištím certifikátů, které jsou uvedeny v poli položky. Tato volba je neslučitelná s položkou Důvěřovat všem certifikátům. Po výběru volby Úložiště certifikátů bude k dispozici tlačítko Nový, které slouží ke konfigurování nového úložiště certifikátů a úložiště kotev důvěryhodnosti.

Hodnotu pole úložiště certifikátů můžete nastavit na výchozí hodnotu, kterou je hodnota Žádné. V poli úložiště kotev důvěryhodnosti však musí být nastavena určitá hodnota. K dispozici není žádná výchozí hodnota. Kotva důvěryhodnosti je vyžadována v případě, že není vybrána volba Důvěřovat všem certifikátům.

Základní ověřování

Pole v části Základní ověřování je k dispozici při konfiguraci tokenu ověřování, který není tokenem šíření ověřování LTPA.

V případě vlastního typu tokenu Kerberos je nutné vyplnit část Základní ověřování pro přihlášení Kerberos.

Jméno uživatele

Určuje jméno uživatele, které chcete ověřit.

Heslo

Určuje heslo, které chcete ověřit. Zadejte heslo, které chcete ověřit v tomto vstupním poli.

Potvrzení hesla

Určuje heslo, které chcete potvrdit.

Úložiště klíčů

Pole v části Úložiště klíčů jsou k dispozici při konfiguraci tokenu ochrany.

V seznamu Název úložiště klíčů můžete klepnutím na tlačítko Vlastní definovat vlastní úložiště klíčů, dále můžete klepnout na některý z externě definovaných názvů úložiště klíčů. Není-li žádné úložiště klíčů definováno, můžete klepnout na tlačítko Žádné.

Úložiště klíčů – název

Určuje název souboru centrálně spravovaného úložiště klíčů, které chcete použít.

V této nabídce klepněte na název centrálně spravovaného úložiště klíčů nebo zadejte některou z následujících hodnot:
NodeDefaultKeyStore
NodeDefaultTrustStore
NodeLTPAKeys
Žádné
Určuje, že se nemá používat soubor centrálně spravovaného úložiště klíčů.
Vlastní
Určuje, že chcete používat soubor centrálně spravovaného úložiště klíčů. Klepnutím na odkaz Konfigurace vlastního úložiště klíčů určete nastavení vlastního úložiště klíčů nebo samotného klíče.
Úložiště klíčů – konfigurace vlastního úložiště klíčů

Určuje odkaz, který slouží k vytvoření vlastního úložiště klíčů. Klepnutím na tento odkaz otevřete panel, na kterém můžete konfigurovat vlastní úložiště klíčů.

Klíč

Pole v části Klíč jsou k dispozici při konfiguraci tokenu ochrany.

Název

Určuje název používaného klíče. Do tohoto povinného pole zadejte název klíče.

Alias

Určuje název aliasu klíče, který chcete použít. Do tohoto povinného pole zadejte alias pro název používaného klíče.

Heslo

Určuje heslo, které chcete použít pro klíč.

Heslo nelze nastavit pro veřejné klíče pro generátor asymetrického šifrování nebo pro spotřebitele asymetrického podpisu.

Potvrzení hesla

Potvrzuje heslo pro klíč, které chcete použít. Potvrzení provedete zadáním hesla, které jste zadali do pole Heslo.

Potvrzovací heslo klíče nezadávejte pro veřejné klíče pro asymetrické odchozí šifrování nebo příchozí podpis.

Přizpůsobené vlastnosti

Pole v části Přizpůsobené vlastnosti jsou k dispozici pro všechny typy konfigurace tokenu.

Přizpůsobené vlastnosti potřebné pro manipulátor zpětného volání můžete přidat pomocí párů název-hodnota.

Chcete-li implementovat šifrování certifikátu podepisujícího subjektu s použitím programovacího modelu JAX-WS, přidejte přizpůsobenou vlastnost com.ibm.wsspi.wssecurity.token.cert.useRequestorCert s hodnotou true pro manipulátor zpětného volání generátoru tokenů šifrování. Tato implementace využívá certifikát podepsaného subjektu z požadavku SOAP k zašifrování odpovědi SOAP. Generátor odpovědí pracuje s touto přizpůsobenou vlastností.

V případě vlastního tokenu Kerberos založeného na specifikaci zabezpečení webových služeb OASIS pro profil tokenu Kerberos verze 1.1 určete pro generování tokenu následující vlastnost: com.ibm.wsspi.wssecurity.krbtoken.clientRealm. Tím určíte název sféry ověřování Kerberos přidružené klientu a umožníte sféře klienta ověřování Kerberos zahájit přihlašování Kerberos. Není-li určen název sféry ověřování Kerberos, bude použit výchozí. Tato vlastnost je při použití prostředí s jednou sférou ověřování Kerberos volitelná. Při implementaci zabezpečení webových služeb v prostředí s důvěryhodnými sférami nebo vzájemným ověřováním je nutné zadat hodnotu vlastnosti clientRealm.

Přizpůsobená vlastnost ověřování Kerberos (com.ibm.wsspi.wssecurity.krbtoken.loginPrompt) povoluje přihlášení Kerberos, je-li nastavena na hodnotu true. Výchozí hodnota je False. Tato vlastnost je volitelná.

Při konfiguraci tokenu jména uživatele pro model programování JAX-WS je pro ochranu proti útokům přehráním důrazně doporučeno přidat do konfigurace manipulátoru zpětného volání následující přizpůsobené vlastnosti, které povolují a ověřují hodnotu Nonce a časové razítko pro ověřování zpráv.
Název vlastnosti (generátor) Hodnota vlastnosti
com.ibm.wsspi.wssecurity.token.username.addNonce true
com.ibm.wsspi.wssecurity.token.username.addTimestamp true
Název vlastnosti (spotřebitel) Hodnota vlastnosti
com.ibm.wsspi.wssecurity.token.username.verifyNonce true
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
Název

Určuje název přizpůsobené vlastnosti, který chcete použít.

Přizpůsobené vlastnosti nejsou původně v tomto sloupci zobrazeny. Klepněte na jednu z následujících akcí pro přizpůsobené vlastnosti:

Tlačítko Výsledná akce
Nový Vytvoří novou položku přizpůsobené vlastnosti. Chcete-li přidat přizpůsobenou vlastnost, zadejte název a hodnotu.
Odstranit Odebere vybranou přizpůsobenou vlastnost.
Hodnota

Určuje hodnotu přizpůsobené vlastnosti, kterou chcete použít. Použitím položky Hodnota můžete zadat nebo odstranit hodnotu pro přizpůsobenou vlastnost.




Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy
Související odkazy
Nastavení tokenu ochrany (generátor nebo spotřebitel)
Kolekce sady zásad aplikace
Nastavení sady zásad aplikace
Kolekce vyhledávání připojených aplikací
Nastavení vazeb sady zásad


Název souboru: uwbs_wsspsbch.html