Einstellungen für Callback-Handler

Verwenden Sie diese Seite, um die Einstellungen für Callback-Handler zu konfigurieren. Diese Einstellungen bestimmen, wie die Sicherheitstoken aus Nachrichtenheadern übernommen werden.

Sie können die Einstellungen des Callback-Handlers konfigurieren, wenn Sie eine allgemeine Bindung auf Zellen- oder Serverebene bearbeiten. Sie können auch anwendungsspezifische Bindungen für Token und Nachrichtenabschnitte konfigurieren, die vom Richtliniensatz gefordert werden.

Führen Sie die folgenden Aktionen aus, um diese Seite der Administrationskonsole bei der Bearbeitung einer allgemeinen Bindung auf Zellenebene anzuzeigen:
  1. Klicken Sie auf Services > Richtliniensätze > Standardbindungen des Richtliniensatzes. In der Anzeige "Bindungen" wird angezeigt, welche Bindung als Standardbindung festgelegt ist, z. B. die Musterbindung für Provider.
  2. Zum Bearbeiten dieser Standardbindung klicken Sie auf Services > Richtliniensätze > Allgemeine Providerrichtliniensatzbindungen.
  3. Klicken Sie auf den Namen der Standardbindung, die Sie im ersten Schritt definiert haben, z. B. Provider sample.
  4. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  5. Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  6. Klicken Sie im Abschnitt "Token für Zugriffsschutz" bzw. im Abschnitt "Authentifizierungstoken" auf den Link Name_des_Tokens.
  7. Klicken Sie auf den Link Callback-Handler.
Wenn Sie anwendungsspezifische Bindungen für Token und Nachrichtenabschnitte, die der Richtliniensatz erfordert, konfigurieren, können Sie diese Seite der Administrationskonsole wie folgt aufrufen:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen.
  2. Wählen Sie eine Anwendung aus, die Web-Services enthält. Die Anwendung muss einen Serviceprovider oder einen Serviceclient enthalten.
  3. Klicken Sie im Abschnitt "Web-Service-Eigenschaften" auf den Link Richtliniensätze und Bindungen des Serviceproviders oder auf den Link Richtliniensätze und Bindungen des Serviceclients.
  4. Wählen Sie eine Bindung aus. Sie müssen vorher einen Richtliniensatz zugeordnet und eine anwendungsspezifische Bindung zugewiesen haben.
  5. Klicken Sie in der Tabelle "Richtlinien" auf die Richtlinie WS-Security.
  6. Klicken Sie im Abschnitt "Bindungen für Hauptnachrichtensicherheitsrichtlinie" auf den Link Authentifizierung und Zugriffsschutz.
  7. Klicken Sie im Abschnitt "Token für Zugriffsschutz" bzw. im Abschnitt "Authentifizierungstoken" auf den Link Name_des_Tokens.
  8. Klicken Sie auf den Link Callback-Handler.

Diese Anzeige der Administrationskonsole bezieht sich nur auf JAX-WS-Anwendungen (Java API for XML Web Services).

Auf der Seite "Callback-Handler" werden je nach Token, das konfiguriert wird, unterschiedliche Felder angezeigt. Je nachdem, ob Sie Generator- oder Konsumententoken für den Zugriffsschutz oder eingehende oder abgehende Token für die Authentifizierung konfigurieren, werden in den Abschnitten in dieser Anzeige alle oder einige der Felder angezeigt, die in diesem Artikel beschrieben werden. Diesbezügliche Informationen können Sie den Beschreibungen der Felder entnehmen.

Klassenname

Die Felder im Abschnitt "Klassenname" sind für alle Tokenkonfigurationstypen verfügbar.

Wählen Sie den für den Callback-Handler zu verwendenden Klassennamen aus. Wählen Sie für den normalen Betrieb die Option Integrierte Standardklasse verwenden aus. Verwenden Sie die Option Angepasste Klasse verwenden nur aus, wenn Sie einen angepassten Tokentyp verwenden.

Für den angepassten Kerberos-Tokentyp verwenden Sie den Klassennamen "com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler" für die Tokengeneratorkonfiguration. Verwenden Sie "com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler" für die Tokenkonsumentenkonfiguration.

Integrierte Standardklasse verwenden

Gibt an, dass für den Klassennamen der Standardwert verwendet wird. Wenn Sie dieses Optionsfeld auswählen, wird der (im Feld angezeigte) Standardwert für den Klassennamen verwendet. Der Name richtet sich nach dem Tokentyp und danach, ob der Callback-Handler für einen Tokengenerator oder einen Tokenkonsumenten bestimmt ist. Diese Option und die Option Angepasste Klasse verwenden schließen sich gegenseitig aus.

Angepasste Klasse verwenden

Gibt an, dass für den Klassennamen ein angepasster Wert verwendet wird. Wählen Sie dieses Optionsfeld aus, und geben Sie in dem Feld den Namen ein, den Sie als Klassennamen verwenden möchten.

Für dieses Eingabefeld ist kein Standardwert verfügbar. Verwenden Sie die Informationen in der folgenden Tabelle, um den Wert zu bestimmen:

Tabelle 1. Angepasste Klassennamen für den Callback-Handler und die zugehörigen Tokentypen . Der Callback-Handler bestimmt, wie Sicherheitstoken aus Nachrichten-Headern übernommen werden.
Tokentyp Konsument oder Generator Klassenname des Callback-Handlers
UsernameToken Konsument com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
UsernameToken Generator com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
X509Token Konsument com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
X509Token Generator com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
LTPAToken/LTPAPropagationToken Konsument com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
LTPAToken/LTPAPropagationToken Generator com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
SecureConversationToken Konsument com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
SecureConversationToken Generator com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler

Diese Schaltfläche und die Option Integrierten Klassennamen verwenden schließen sich gegenseitig aus.

Zertifikate (Generator)

Die Felder im Abschnitt "Zertifikate" sind verfügbar, wenn Sie ein Token für Zugriffsschutz konfigurieren. Für ein Generatortoken können Sie in der Liste einen Zertifikatsspeicher durch Anklicken auswählen oder auf die Schaltfläche Neu klicken, um einen Zertifikatsspeicher hinzuzufügen.

Zertifikate (Konsument)

Die Felder im Abschnitt "Zertifikate" sind verfügbar, wenn Sie ein Token für Zugriffsschutz konfigurieren. Für ein Konsumententoken können Sie die Option "Jedes Zertifikat anerkennen" oder die Option "Zertifikatsspeicher" verwenden, um den Zertifikatsspeicher zu konfigurieren.

Zertifikate - Jedes Zertifikat anerkennen (Konsument)

Diese Option gilt nur für den Tokenkonsumenten. Diese Option zeigt an, dass das System alle Zertifikate anerkennt. Es wird kein spezieller Zertifikatsspeicher definiert. Diese Option und die Option Zertifikatsspeicher schließen sich gegenseitig aus.

Zertifikate - Zertifikatsspeicher (Konsument)

Diese Option gilt nur für den Tokenkonsumenten. Verwenden Sie diese Option, um eine Zertifikatsspeichersammlung mit Zwischenzertifikaten anzugeben, zu denen Zertifikatswiderruflisten gehören. Wählen Sie diese Option aus, wenn die im Eingabefeld angegebenen Zertifikatsspeicher anerkannt werden sollen. Diese Option und die Option Jedes Zertifikat anerkennen schließen sich gegenseitig aus. Wenn Sie die Option Zertifikatsspeicher auswählen, ist die Schaltfläche Neu aktiviert, damit Sie einen neuen Zertifikatsspeicher und einen Trust-Anchor-Speicher konfigurieren können.

Sie können den Wert für das Zertifikatsspeicherfeld auf den Standardwert (Ohne) setzen. Der Wert für den Trust-Anchor-Speicher muss auf einen bestimmten Wert gesetzt werden. Es gibt keinen Standardwert. Der Trust-Anchor ist erforderlich, wenn die Option "Jedes Zertifikat anerkennen" nicht ausgewählt ist.

Basisauthentifizierung

Die Felder im Abschnitt "Basisauthentifizierung" sind verfügbar, wenn Sie ein Authentifizierungstoken konfigurieren, das kein LTPA-Weitergabetoken ist.

Für den angepassten Kerberos-Tokentyp müssen Sie den Abschnitt "Basisauthentifizierung" für die Kerberos-Anmeldung ausfüllen.

Benutzername

Gibt den zu authentifizierenden Benutzernamen an.

Kennwort

Gibt das zu authentifizierende Kennwort an. Geben Sie in diesem Eingabefeld das zu authentifizierende Kennwort ein.

Kennwort bestätigen

Gibt das Kennwort an, das Sie bestätigen möchten.

Keystore

Die Felder im Abschnitt "Keystore" sind verfügbar, wenn Sie ein Token für Zugriffsschutz konfigurieren.

Sie können in der Liste "Keystore-Name" auf Angepasst klicken, um einen angepassten Keystore zu definieren, auf einen der extern definierten Keystore-Namen oder auf Ohne klicken, wenn kein Keystore erforderlich ist.

Keystore - Name

Gibt den Namen der zentral verwalteten Keystore-Datei an, die Sie verwenden möchten.

Klicken Sie über dieses Menü auf den Namen eines zentral verwalteten Keystores, oder geben Sie einen der folgenden Werte ein:
NodeDefaultKeyStore
NodeDefaultTrustStore
NodeLTPAKeys
Ohne
Gibt an, das keine zentral verwaltete Keystore-Datei verwendet werden soll.
Angepasst
Gibt an, dass die zentral verwaltete Keystore-Datei verwendet werden soll. Klicken Sie auf den Link Konfiguration angepasster Keystores, um die Einstellungen für den angepassten Keystore und den Schlüssel zu konfigurieren.
Keystore – Konfiguration angepasster Keystores

Gibt einen Link zum Erstellen eines angepassten Keystores an. Klicken Sie auf diesen Link, um eine Anzeige zu öffnen, in der Sie einen angepassten Keystore konfigurieren können.

Schlüssel

Die Felder im Abschnitt "Schlüssel" sind verfügbar, wenn Sie ein Token für Zugriffsschutz konfigurieren.

Name

Gibt den Namen des zu verwendenden Schlüssels an. Geben Sie in diesem erforderlichen Feld den Namen des zu verwendenden Schlüssels ein.

Alias

Gibt den Aliasnamen des zu verwendenden Schlüssels an. Geben Sie in diesem erforderlichen Feld den Aliasnamen des Namens des zu verwendenden Schlüssels ein.

Kennwort

Gibt das für den Schlüssel zu verwendende Kennwort an.

Für öffentliche Schlüssel für asymmetrische Verschlüsselungsgeneratoren und asymmetrische Signaturkonsumenten kann kein Kennwort definiert werden.

Kennwort bestätigen

Bestätigt das für den Schlüssel zu verwendende Kennwort. Geben Sie das Kennwort, das Sie im Feld "Kennwort" eingegeben haben, zur Bestätigung erneut ein.

Für die öffentlichen Schlüssel für asymmetrische Verschlüsselung (abgehend) und Signatur (eingehend) ist keine Kennwortbestätigung erforderlich.

Angepasste Eigenschaften

Die Felder im Abschnitt "Angepasste Eigenschaften" sind für alle Tokenkonfigurationstypen verfügbar.

Hier können Sie die vom Callback-Handler benötigten angepassten Eigenschaften in Form von Name/Wert-Paaren eingeben.

Wenn Sie bei der Verwendung des Programmiermodells JAX-WS die Verschlüsselung des Unterzeichnerzertifikats implementieren möchten, fügen Sie die angepasste Eigenschaft com.ibm.wsspi.wssecurity.token.cert.useRequestorCert mit dem Wert true im Callback-Handler des Verschlüsselungstokengenerator hinzu. Diese Implementierung verwendet das Zertifikat des Unterzeichners der SOAP-Anforderung, um die SOAP-Antwort zu verschlüsseln. Diese angepasste Eigenschaft wird vom Antwortgenerator verwendet.

Für ein angepasstes Kerberos-Token, das auf OASIS Web Services Security Specification for Kerberos Token Profile V1.1 basiert, geben Sie die folgende Eigenschaft für die Tokengenerierung an: com.ibm.wsspi.wssecurity.krbtoken.clientRealm. Diese Eigenschaft gibt den Namen des Kerberos-Realms an, der dem Client zugeordnet ist, und ermöglicht dem Kerberos-Client-Realm, die Kerberos-Anmeldung einzuleiten. Wenn Sie diese Eigenschaft nicht angeben, wird der Kerberos-Standard-Realm-Name verwendet. Diese Eigenschaft ist für eine einzelne Kerberos-Realm-Umgebung optional.Wenn Sie die Web-Service-Sicherheit in einer Kerberos-Realm-übergreifenden Umgebung oder einer anerkannten Kerberos-Realm-Umgebung implementieren, müssen Sie einen Wert für die Eigenschaft "clientRealm" angeben.

Die angepasste Kerberos-Eigenschaft com.ibm.wsspi.wssecurity.krbtoken.loginPrompt ermöglicht die Kerberos-Anmeldung, wenn sie auf true gesetzt ist. Der Standardwert ist False. Diese Eigenschaft ist optional.

Wenn Sie ein Benutzernamenstoken für das JAX-WS-Programmiermodell als Schutz vor Attacken durch Nachrichtenaufzeichnung und -wiederholung konfigurieren, wird dringend empfohlen, der Callback-Handler-Konfiguration die folgenden angepassten Eigenschaften hinzuzufügen. Diese angepassten Eigenschaften aktivieren und prüfen Nonce und Zeitmarke für die Nachrichtenauthentifizierung.
Eigenschaftsname (Generator) Eigenschaftswert
com.ibm.wsspi.wssecurity.token.username.addNonce true
com.ibm.wsspi.wssecurity.token.username.addTimestamp true
Eigenschaftsname (Konsument) Eigenschaftswert
com.ibm.wsspi.wssecurity.token.username.verifyNonce true
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
Name

Gibt den Namen der zu verwendenden angepassten Eigenschaft an.

Zunächst werden keine angepassten Eigenschaften in dieser Spalte angezeigt. Klicken Sie auf eine der folgenden Aktionen für angepasste Eigenschaften:

Schaltfläche Aktion
Neu Erstellt einen neuen angepassten Eigenschaftseintrag. Zum Hinzufügen einer angepassten Eigenschaft geben Sie den Namen und den Wert ein.
Löschen Entfernt die ausgewählte angepasste Eigenschaft.
Wert

Gibt den Wert der zu verwendenden angepassten Eigenschaft an. Über das Eingabefeld Wert können Sie den Wert für eine angepasste Eigenschaft eingeben oder löschen.




Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Einstellungen für Token für Zugriffsschutz (Generator oder Konsument)
Anwendungsrichtliniensätze
Einstellungen für Anwendungsrichtliniensatz
Zugeordnete Anwendungen suchen
Einstellungen für Richtliniensatzbindungen


Dateiname: uwbs_wsspsbch.html