Utilizaţi această pagină pentru a specifica o listă de configuraţii de logare de sistem Java Authentication and Authorization Service (JAAS).
Procesează cereri de logare de intrare pentru Remote Method Invocation (RMI), aplicaţii web şi majoritatea celorlalte protocoluri de logare.
Aceste trei configuraţii de logare vor transmite următoarele informaţii de retroapel, care sunt tratate de modulele de logare în aceste configuraţii. Aceste retroapeluri nu sunt transmise în acelaşi timp. Totuşi, combinaţia acestor retroapeluri determină cum autentifică serverul de aplicaţii utilizatorul.
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
callbacks[3] = new com.ibm.wsspi.security.auth.callback.
WSTokenHolderCallback("Authz Token List: ");
În configuraţiile de logare sistem, serverul de aplicaţii autentifică utilizatorul pe baza informaţiilor care sunt colectate de către retroapeluri. Totuşi, un modul de logare personalizat nu are nevoie să acţioneze asupra vreunuia dintre aceste retroapeluri. Următoarea listă explică combinaţiile tipice ale acestor retroapeluri:
Acest retroapel se realizează pentru aserţiunea identităţii CSIv2, logarea certificatelor CSIv2 X509 şi web, logările interceptorului asocierii de încredere în stil vechi, şamd. În logările certificatelor CSIv2 X509 şi web, serverul de aplicaţii mapează certificatul la un nume de utilizator. Acest retroapel este utilizat de orice tip de logare care stabileşte încrederea cu numele de utilizator doar.
Această combinaţie de retroapeluri este obişnuită pentru logări de autentificare de bază. Majoritatea celorlalte autentificări se fac utilizând aceste două retroapeluri.
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
getUserFromUniqueID(uniqueID)
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
Dacă atributele sunt adăugate la subiect de la un client pur, atunci retroapelurile NameCallback şi PasswordCallback autentifică informaţiile şi obiectele care sunt serializate în deţinătorul de token-uri sunt adăugate la Subiectul autentificat.
Un modul de logare personalizat trebuie să trateze serializarea personalizată. Pentru informaţii suplimentare, consultaţi "Propagarea atributelor de securitate" în Centrul de informare.
callbacks[4] = new com.ibm.websphere.security.auth.callback.
WSServletRequestCallback("HttpServletRequest: ");
callbacks[5] = new com.ibm.websphere.security.auth.callback.
WSServletResponseCallback("HttpServletResponse: ");
callbacks[6] = new com.ibm.websphere.security.auth.callback.
WSAppContextCallback("ApplicationContextCallback: ");
callbacks[7] = new WSRealmNameCallbackImpl("Realm Name: ", <default_realm>);
callbacks[8] = new WSX509CertificateChainCallback("X509Certificate[]: ");
Când este prezent obiectul java.util.Hashtable, modulul de logare mapează atributele obiectului într-un subiect valid. Când este prezent retroapelul WSTokenHolderCallback, modulul de logare deserializează obiectele token de octeţi şi regenerează conţinutul Subiectului serializat. Tabela hash java.util.Hashtable are întâietate faţă de toate celelalte forme de logare. Aveţi grijă să evitaţi duplicarea sau înlocuirea a ce se poate să fi propagat anterior serverul de aplicaţii.
Specificând ca o tabelă hash java.util.Hashtable să aibă întâietate faţă de alte informaţii de autentificare, modulul de logare personalizat trebuie să fi verificat deja tokenul LTPA, dacă este prezent, pentru a stabili încrederea suficientă. Modulul de logare personalizat poate utiliza metoda com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validationLTPAToken(byte[]) pentru a valida tokenul LTPA prezent în retroapelul WSCredTokenCallback. Eşuarea de a valida tokenul LTPA prezintă un risc de securitate.
Pentru informaţii suplimentare despre adăugarea unei tabele hash care conţine atribute binecunoscute şi formatate corect utilizate de serverul de aplicaţii ca informaţii de logare suficiente, consultaţi "Configurarea mapării identităţii de intrare" în Centrul de informare.
Procesează cereri Remote Method Invocation (RMI) care sunt trimise la ieşire la alt server când una din proprietăţile com.ibm.CSI.rmiOutboundLoginEnabled sau com.ibm.CSIOutboundPropagationEnabled este adevărată.
Această configuraţie de logare determină capabilităţile de securitate ale serverului destinaţie şi ale domeniului său de securitate. De exemplu, dacă serverul de aplicaţii Versiunea 5.1.1 sau ulterioară (sau 5.1.0.2 pentru z/OS) comunică cu un Server de aplicaţii Versiunea 5.x, atunci Serverul de aplicaţii versiunea 5.1.1 trimite numai informaţiile de autentificare, utilizând un token LTPA, la Serverul de aplicaţii versiunea 5.x. Totuşi, dacă Serverul de aplicaţii WebSphere Versiunea 5.1.1 sau ulterioară comunică cu un Server de aplicaţii versiunea 5.1.x, informaţiile de autentificare şi autorizare sunt trimise la serverul de aplicaţii receptor dacă propagarea este activată atât la serverul emitent, cât şi la cel receptor. Când serverul de aplicaţii trimite atât informaţiile de autentificare, cât şi de autorizare în aval, serverul de aplicaţii înlătură nevoia de a accesa din nou registrul de utilizatori şi de a căuta atributele de securitate ale utilizatorului în scopuri de autorizare. În plus, toate obiectele personalizate care sunt adăugate la serverul emitent sunt prezente în Subiect la serverul din aval.
Următorul retroapel este disponibil în configuraţia de logare RMI_OUTBOUND. Puteţi utiliza obiectul com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy care este returnat de acest retroapel pentru a interoga politica de securitate pentru această cerere de ieşire anume. Această interogare poate ajuta la determinarea dacă regiunea destinaţie este diferită de regiunea curentă şi dacă serverul de aplicaţii trebuie să mapeze regiunea. Pentru informaţii suplimentare, consultaţi "Configurarea mapării de ieşire la o altă regiune destinaţie" în Centrul de informare.
Furnizează informaţii de politică specifice protocolului pentru modulele de logare din această invocare de ieşire. Aceste informaţii sunt utilizate pentru a determina nivelul securităţii, inclusiv regiunea destinaţie, cerinţele de securitate destinaţie şi cerinţele de securitate omogene.
csiv2PerformPolicy = (CSIv2PerformPolicy)
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();
Un alt protocol decât RMI ar putea avea un tip diferit de obiect de politică.
Puteţi utiliza un modul de logare personalizat înaintea acestui modul de logare pentru a realiza maparea acreditărilor. Totuşi, se recomandă ca modulul de logare să modifice conţinutul Subiectului care este transmis în faza de logare. Dacă se urmează această recomandare, modulele de logare sunt procesate după ce acest modul de logare acţionează pe noul conţinut de subiect.
Pentru informaţii suplimentare, consultaţi "Configurarea mapării de ieşire la o altă regiune destinaţie" în Centrul de informare.
Procesează cererile de logare într-un mediu de server singular când se utilizează Simple WebSphere Authentication Mechanism (SWAM) ca metodă de autentificare.
Procesează cereri de configurare a logării pentru securitatea serviciilor web utilizând aserţiunea identităţii.
Această configuraţie de logare este pentru aplicaţii Web Services Security Draft 13 JAX-RPC (Versiunea 5.x). Pentru informaţii suplimentare, consultaţi "Metoda de autentificare a aserţiunii identităţii" în Centrul de informare.
Procesează cereri de configurare a logării pentru securitatea serviciilor web utilizând aserţiunea identităţii.
Această configuraţie de logare este pentru aplicaţii Web Services Security V1.0 JAX-RPC.
Proprietatea personalizată com.ibm.wsspi.wssecurity.auth.module.IDAssertionLoginModule.disableUserRegistryCheck poate fi configurată pentru modulul de logare JAAS IDAssertionUsernameToken. Această proprietate este o opţiune pentru modulul de logare JAAS al aserţiunii identităţii securităţii serviciilor web, wssecurity.IDAssertionUsernameToken. Proprietatea indică faptul că modulul de logare nu ar trebui să realizeze o verificare a registrului de utilizatori când se procesează un token de identitate de intrare.
Verifică un certificat X.509 cu o listă de revocare de certificate într-un obiect PKCS7 (Public Key Cryptography Standards #7).
Această configuraţie de logare este pentru sistemele Versiunea 6.0.x.
Verifică un certificat X.509 cu o cale PKI (infrastructură cheie publică).
Această configuraţie de logare este pentru sistemele Versiunea 6.0.x.
Procesează cereri de configurare a logării pentru securitatea serviciilor web utilizând validarea semnăturii digitale.
Această configuraţie de logare este pentru sistemele Versiunea 5.x.
Verifică autentificarea de bază (nume utilizator şi parolă).
Când utilizaţi runtime-ul JAX-RPC, următoarele proprietăţi personalizate pot fi configurate pentru modulul de logare JAAS UsernameToken:
Proprietatea personalizată com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck poate fi configurată pentru modulul de logare JAAS UsernameToken. Această proprietate este o opţiune pentru modulul de logare JAAS UsernamToken al securităţii serviciilor web, com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule. Proprietatea indică faptul că modulul de logare nu ar trebui să realizeze o verificare a registrului de utilizatori când se procesează un token de nume de utilizator de intrare.
Verificăun token de securitate binar (BST) X.509 verificând validitatea certificatului şi a căii certificatului.
Această configuraţie de logare este pentru sistemele Versiunea 6.0.x.
Procesează cererile de logare la componente din containerul web, cum ar fi servlet-uri şi fişiere JSP (pagini JavaServer).
Modulul de logare com.ibm.ws.security.web.AuthenLoginModule este predefinit în configuraţia de logare LTPA. Puteţi adăuga module de logare personalizate înainte sau după acest modul în configuraţia de logare LTPA_WEB.
Configuraţia de logare LTPA_WEB poate procesa obiectul HttpServletRequest, obiectul HttpServletResponse şi numele aplicaţiei web care sunt transmise utilizând o rutină de tratare a retroapelurilor. Pentru informaţii suplimentare, consultaţi "Exemplu: Personalizarea unei configuraţii de logare şi autentificare Java Authentication and Authorization Service (JAAS)" în Centrul de informare.
Procesează cereri de logare care nu sunt tratate de configuraţia de logare LTPA_WEB.
Această configuraţie de logare este utilizată de WebSphere Application Server Versiunea 5.1 şi versiunile anterioare.
Modulul de logare com.ibm.ws.security.server.lm.ltpaLoginModule este predefinit în configuraţia de logare LTPA. Puteţi adăuga module de logare personalizate înainte sau după acest modul în configuraţia de logare LTPA. Pentru informaţii suplimentare, consultaţi "Exemplu: Personalizarea unei configuraţii de logare şi autentificare Java Authentication and Authorization Service (JAAS)" în Centrul de informare.
Legăturile marcate (online) necesită acces la internet.