請利用這個頁面來指定一份 Java™ 鑑別和授權服務 (JAAS) 系統登入配置清單。
處理遠端方法呼叫 (RMI)、Web 應用程式和大部分其他登入通訊協定的入埠登入要求。
這三項登入配置都會傳入這些配置內的登入模組所處理的下列回呼資訊。 這些回呼不會同時傳入。不過,這些回呼的組合決定了應用程式伺服器將如何鑑別使用者。
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
callbacks[3] = new com.ibm.wsspi.security.auth.callback.
WSTokenHolderCallback("Authz Token List: ");
在系統登入配置中,應用程式伺服器會根據回呼收集的資訊來鑑別使用者。 不過,自訂登入模組不需要處理任何這些回呼。 下列清單說明這些回呼的一般組合:
CSIv2 身分主張、Web 和 CSIv2 X509 憑證登入、舊式信任關聯攔截程式登入等會進行這個回呼。 在 Web 和 CSIv2 X509 憑證登入中,應用程式伺服器會將憑證對映至使用者名稱。 任何只用使用者名稱來建立信任關係的登入類型都會使用這個回呼。
這個回呼組合通常是供基本鑑別 (BA) 登入使用。大部分使用者鑑別都是用這兩個回呼來進行。
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
getUserFromUniqueID(uniqueID)
com.ibm.wsspi.security.token.WSSecurityPropagationHelper.
validateLTPAToken(byte[])
callbacks[0] = new javax.security.auth.callback.
NameCallback("Username: ");
callbacks[1] = new javax.security.auth.callback.
PasswordCallback("Password: ", false);
callbacks[2] = new com.ibm.websphere.security.auth.callback.
WSCredTokenCallbackImpl("Credential Token: ");
如果從純用戶端將屬性加入 Subject 中,NameCallback 和 PasswordCallback 回呼會鑑別資訊,且記號保留區中所序列化的物件會加入鑑別的主題中。
自訂登入模組需要處理自訂序列化。 如需相關資訊,請參閱資訊中心中的「傳送安全屬性」。
callbacks[4] = new com.ibm.websphere.security.auth.callback.
WSServletRequestCallback("HttpServletRequest: ");
callbacks[5] = new com.ibm.websphere.security.auth.callback.
WSServletResponseCallback("HttpServletResponse: ");
callbacks[6] = new com.ibm.websphere.security.auth.callback.
WSAppContextCallback("ApplicationContextCallback: ");
callbacks[7] = new WSRealmNameCallbackImpl("Realm Name: ", <default_realm>);
callbacks[8] = new WSX509CertificateChainCallback("X509Certificate[]: ");
當 java.util.Hashtable 物件存在時,登入模組會將物件屬性對映至有效主題中。當 WSTokenHolderCallback 呼叫存在時,登入模組會將位元組記號物件解除序列化,且會重新產生已序列化的主題內容。 java.util.Hashtable 雜湊表的優先順序高於所有其他登入形式。 請小心避免複製或置換應用程式伺服器先前可能已傳送的項目。
藉由將 java.util.Hashtable 雜湊表指定成優先順序高於其他鑑別資訊,如果有 LTPA 記號的話,自訂登入模組必須已驗證 LTPA 記號來建立足夠的信任關係。 自訂登入模組可以利用 com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validationLTPAToken(byte[]) 方法來驗證 WSCredTokenCallback 回呼中所提供的 LTPA 記號。 失敗的 LTPA 記號的驗證,會帶來安全風險。
如果需要新增含有應用程式伺服器所用的通行而形式完整的屬性之雜湊表的登入相關資訊,請參閱資訊中心中的「配置入埠身分對映」。
當 com.ibm.CSI.rmiOutboundLoginEnabled 或 com.ibm.CSIOutboundPropagationEnabled 內容是 true,出埠送往其他伺服器的程序遠端方法呼叫 (RMI) 要求。
這個登入配置決定了目標伺服器及其安全網域的安全功能。比方說,如果應用程式伺服器 5.1.1 版或以上的版本(或 z/OS® 是 5.1.0.2 版)與 5.x 版應用程式伺服器通訊,5.1.1 版應用程式伺服器會利用 LTPA 記號,只將鑑別資訊傳給 5.x 版應用程式伺服器。 不過,如果 WebSphere® Application Server 5.1.1 版或更新的版本與 5.1.x 版應用程式伺服器通訊,且傳送端和接收端伺服器都啟用了傳送,就會將鑑別和授權資訊傳給接收端應用程式伺服器。 當應用程式伺服器往下游傳送鑑別和授權資訊時,應用程式伺服器會移除重新存取使用者登錄和查閱使用者安全屬性來進行授權的需求。 另外,傳送端伺服器所新增的任何自訂物件也都會出現在下游伺服器的主題中。
在 RMI_OUTBOUND 登入配置中,可以使用下列回呼。 您可以利用這個回呼傳回的 com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy 物件來查詢這個特定出埠要求的安全原則。 這項查詢可協助您判斷目標網域範圍與目前的網域範圍是否不同,以及應用程式伺服器是否需要對映網域範圍。 如需相關資訊,請參閱資訊中心中的「配置指向不同目標網域範圍的出埠對映」。
在這個出埠呼叫上,提供特定通訊協定的原則資訊給登入模組。這項資訊用來判斷安全層次,其中包括目標網域範圍、目標安全基本需求,以及聯合的安全基本需求。
csiv2PerformPolicy = (CSIv2PerformPolicy) ((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();
RMI 之外的不同通訊協定可能會有不同類型的原則物件。
您可以在這個登入模組之前,利用自訂登入模組來執行認證對映。 不過,建議您由登入模組來變更登入階段期間所傳入的主題內容。如果您遵循這項建議,便是在這個登入模組處理新的主題內容之後,再處理各個登入模組。
如需相關資訊,請參閱資訊中心中的「配置指向不同目標網域範圍的出埠對映」。
當利用「簡易 WebSphere 鑑別機制」(SWAM) 作為鑑別方法時,在單一伺服器環境中處理登入要求。
利用身分主張處理 Web 服務安全的登入配置要求。
這個登入配置適用於 Web Services Security Draft 13 JAX-RPC(5.x 版)應用程式。如需相關資訊,請參閱資訊中心的「身分主張鑑別方法」。
利用身分主張處理 Web 服務安全的登入配置要求。
這個登入配置適用於 Web Services Security V1.0 JAX-RPC 應用程式。
您可以為 JAAS IDAssertionUsernameToken 登入模組配置 com.ibm.wsspi.wssecurity.auth.module.IDAssertionLoginModule.disableUserRegistryCheck 自訂內容。 這個內容是 Web 服務安全身分主張 JAAS 登入模組 wssecurity.IDAssertionUsernameToken 的選項。 此內容指出登入模組在處理入埠身分記號時不應執行使用者登錄檢查。
利用公開金鑰加密標準 #7 (PKCS7) 物件中的憑證廢止清冊,來驗證 X.509 憑證。
這個登入配置適用於 6.0.x 版系統。
利用公開金鑰基礎架構 (PKI) 路徑來驗證 X.509 憑證。
這個登入配置適用於 6.0.x 版系統。
利用數位簽章驗證處理 Web 服務安全的登入配置要求。
這個登入配置適用於 5.x 版系統。
驗證基本鑑別(使用者名稱和密碼)。
當使用 JAX-RPC 執行時期時,您可以為 JAAS UsernameToken 登入模組配置下列自訂內容:
您可以為 JAAS UsernameToken 登入模組配置 com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck 自訂內容。 這個內容是 Web 服務安全 UsernameToken JAAS 登入模組 com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule 的選項。 此內容指出登入模組在處理入埠使用者名稱記號時不應執行使用者登錄檢查。
檢查憑證和憑證路徑的有效性來驗證 X.509 二進位安全記號 (BST)。
這個登入配置適用於 6.0.x 版系統。
處理 Servlet 和 JavaServer Pages (JSP) 檔之類的 Web 儲存器元件登入要求。
com.ibm.ws.security.web.AuthenLoginModule 登入模組預先定義在 LTPA 登入配置中。您可以在 LTPA_WEB 登入配置中,在這個模組之前或之後新增自訂登入模組。
LTPA_WEB 登入配置可以處理 HttpServletRequest 物件、HttpServletResponse 物件,以及利用回呼處理常式傳入的 Web 應用程式名稱。如需相關資訊,請參閱資訊中心的「範例:自訂伺服器端 Java 鑑別和授權服務鑑別和登入配置」。
處理 LTPA_WEB 登入配置所不處理的登入要求。
WebSphere Application Server 5.1 版和先前的版本使用這個登入配置。
com.ibm.ws.security.server.lm.ltpaLoginModule 登入模組預先定義在 LTPA 登入配置中。您可以在 LTPA 登入配置中,在這個模組之前或之後新增自訂登入模組。如需相關資訊,請參閱資訊中心的「範例:自訂伺服器端 Java 鑑別和授權服務鑑別和登入配置」。