[Version 5.1.1 und höher]Einstellungen für Systemanmeldungskonfigurationen für Java Authentication and Authorization Service

Verwenden Sie diese Seite, um eine Liste mit JAAS-Systemanmeldekonfigurationen (Java Authentication and Authorization Service) anzugeben.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > JAAS-Konfiguration > Systemanmeldungen.

Lesen Sie den Artikel Java Authentication and Authorization Service, bevor Sie beginnen, weitere Anmeldemodule für die Authentifizierung bei der Sicherheitslaufzeit von WebSphere Application Server zu definieren. Die folgenden Systemanmeldemodule dürfen nicht entfernt werden:

RMI_INBOUND, WEB_INBOUND, DEFAULT
Verarbeitet eingehende Anmeldeanforderungen für Remote Method Invocation (RMI), Webanwendungen und die meisten anderen Anmeldeprotokolle. Diese Anmeldekonfigurationen werden von WebSphere Application Server Version 5.1.1 verwendet.
RMI_INBOUND
Die Anmeldekonfiguration RMI_INBOUND bearbeitet Anmeldungen für eingehende RMI-Anforderungen. In der Regel handelt es sich bei diesen Anmeldungen um Anforderungen für authentifizierten Zugriff auf EJB-Module. Bei der Verwendung des RMI-Connector können diese Anmeldungen auch JMX-Anforderungen (Java Management Extensions) sein.
WEB_INBOUND
Die Anmeldekonfiguration WEB_INBOUND bearbeitet Anmeldungen für Webanwendungsanforderungen, zu denen Servlets und JavaServer Pages (JSP) gehören. Diese Anmeldekonfiguration kann mit der von einem Trust Association Interceptor (TAI) generierten Ausgabe interagieren, wenn diese Einstellung konfiguriert ist. Das an die Anmeldekonfiguration WEB_INBOUND übergebene Subjekt kann Objekte enthalten, die vom TAI generiert wurden.
DEFAULT
Die Anmeldekonfiguration DEFAULT bearbeitet die Anmeldungen für eingehende Anforderungen, die die meisten anderen Protokolle und internen Authentifizierungen stellen.

Diese drei Anmeldekonfigurationen können die folgenden Rückrufinformationen übergeben, die von den Anmeldemodulen in diesen Konfigurationen bearbeitet werden. Diese Rückrufe werden nicht zur selben Zeit übergeben. Die Kombination dieser Rückrufe bestimmt, wie WebSphere Application Server einen Benutzer authentifiziert.

Rückruf Zuständigkeit
callbacks[0] = new javax.security.auth.callback.NameCallback("Username: "); Erfasst den während einer Anmeldung eingegebenen Benutzernamen. Dieser Benutzername aus den folgenden Arten von Anmeldungen stammen:
  • Anmeldung durch Benutzernamen und Kennwort, die auch als Basisauthentifizierung bekannt ist.
  • Ausschließliche Anmeldung mit dem Benutzernamen für die Zusicherung der Identität.
callbacks[1] = new javax.security.auth.callback.PasswordCallback("Password: ", false); Erfasst das während einer Anmeldung eingegebene Kennwort.
callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential Token: "); Erfasst das während einer Anmeldung übergebene LTPA-Token (oder den Token-Typ). In der Regel ist diese Information vorhanden, wenn kein Benutzername und kein Kennwort angegeben wurden.
callbacks[3] = new com.ibm.wsspi.security.auth.callback.WSTokenHolderCallback("Authz Token List: "); Erfasst die ArrayList der TokenHolder-Objekte, die vom Aufruf des WSOpaqueTokenHelper zurückgegeben werden. Die Methode createTokenHolderListFromOpaqueToken () verwendet das CSIv2-Berechtigungs-Token (Common Secure Interoperability Version 2) als Eingabe.


In Systemanmeldekonfigurationen authentifiziert WebSphere Application Server den Benutzer anhand der von den Rückrufen erfassten Informationen. Ein benutzerdefiniertes Anmeldemodul muss sich jedoch nicht nach diesen Rückrufen richten. Die folgende Liste zeigt typische Kombinationen dieser Rückrufe:

Neben den zuvor definierten Rückrufen kann die Anmeldekonfiguration WEB_INBOUND nur noch die folgenden zusätzlichen Rückrufe enthalten:

Rückruf Zuständigkeit
callbacks[4] = new com.ibm.websphere.security.auth.callback.WSServletRequestCallback("HttpServletRequest: "); Erfasst das Anforderungsobjekt des HTTP-Servlet. Mit diesem Rückruf können Anmeldemodule Informationen aus der HTTP-Anforderung abrufen, die während einer Anmeldung verwendet werden.
callbacks[5] = new com.ibm.websphere.security.auth.callback.WSServletResponseCallback("HttpServletResponse: "); Erfasst das Antwortobjekt des HTTP-Servlet. Mit diesem Rückruf können Anmeldemodule nach der Anmeldung Informationen in die HTTP-Antwort einfügen. Beispielsweise können Anmeldemodule der Antwort ein SingleSignonCookie hinzufügen.
callbacks[6] = new com.ibm.websphere.security.auth.callback.WSAppContextCallback("ApplicationContextCallback: "); Erfasst den während der Anmeldung verwendeten Kontext der Webanwendung. Dieser Rückruf umfasst eine HashMap, die den Anwendungsnamen und die Webadresse für Umleitung enthält.


Die folgenden Anmeldemodule sind für die Systemanmeldekonfigurationen RMI_INBOUND, WEB_INBOUND und DEFAULT vordefiniert. Sie können vor, zwischen und hinter diesen Anmeldemodulen benutzerdefinierte Anmeldemodule einfügen, diese vordefinierten Anmeldemodule aber nicht entfernen.

RMI_OUTBOUND
Verarbeitet RMI-Anforderungen, die an andere Server gesendet werden, wenn das Merkmal com.ibm.CSI.rmiOutboundLoginEnabled oder com.ibm.CSIOutboundPropagationEnabled den Wert true hat.

Diese Merkmale werden in der Anzeige "Authentifizierung gemäß CSIv2" definiert. Um diese Anzeige aufzurufen, klicken Sie auf Sicherheit > Authentifizierungsprotokoll > Abgehende Authentifizierung gemäß CSIv2. Zum Definieren des Merkmals com.ibm.CSI.rmiOutboundLoginEnabled wählen Sie Benutzerdefinierte Zuordnung abgehender Anforderungen aus. Wenn Sie das Merkmal com.ibm.CSIOutboundPropagationEnabled definieren möchten, wählen Sie Weitergabe von Sicherheitsattributen aus.

Diese Anmeldekonfiguration bestimmt die Sicherheitsfunktionen des Zielservers und die dessen Sicherheitsdomäne. Wenn WebSphere Application Server Version 5.1.1 beispielsweise mit einem Application Server der Version 5.x kommuniziert, sendet der Application Server der Version 5.1.1 die Authentifizierungsdaten in einem LTPA-Token an den Application Server der Version 5.x. Kommuniziert der WebSphere Application Server Version 5.1.1 jedoch mit einem Application Server der Version 5.1.x, werden die Authentifizierungs- und Berechtigungsdaten an den empfangenden Application Server gesendet, wenn die Weitergabe von Attributen im sendenden und im empfangenen Server aktiviert ist.

Der folgende Rückruf steht für die Anmeldekonfiguration RMI_OUTBOUND zur Verfügung. Sie können das Objekt com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy, das von diesem Rückruf zurückgegeben wird, verwenden, um die Sicherheits-Policy für diese eine abgehende Anforderung abzufragen. Mit dieser Abfrage können Sie feststellen, ob der Ziel-Realm vom aktuellen Realm abweicht und ob der WebSphere Application Server den Realm zuordnen muss. Nähere Informationen hierzu finden Sie unter "Zuordnung abgehender Anforderungen zu einem anderen Ziel-Realm konfigurieren"

Rückruf Zuständigkeit
callbacks[0] = new WSProtocolPolicyCallback("Protocol Policy Callback: ");

Dieser Rückruf liefert protokollspezifische Policy-Informationen für die Anmeldemodule in diesem abgehenden Aufruf. Mit diesen Informationen können Sie die Sicherheitsstufe, einschließlich des Ziel-Realm, die Anforderungen für die Sicherheit der Zieladresse und gemeinsame Sicherheitsanforderungen ermitteln.

Die folgende Methode ruft die CSIv2PerformPolicy aus diesem spezifischen Anmeldemodul ab:

csiv2PerformPolicy = (CSIv2PerformPolicy) 
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();

Andere Protokolle als RMI können andere Arten von Policy-Objekten verwenden.



Das folgende Anmeldemodul ist in der Anmeldekonfiguration RMI_OUTBOUND vordefiniert. Sie können vor, zwischen und hinter diesen Anmeldemodulen benutzerdefinierte Anmeldemodule einfügen, diese vordefinierten Anmeldemodule aber nicht entfernen.

com.ibm.ws.security.lm.wsMapCSIv2OutboundLoginModule
Das Modul ruft die folgenden Token und Objekte ab, bevor es ein so genanntes Opaque-Byte erstellt, dass über die CSIv2-Berechtigungs-Token-Schicht an den anderen Server gesendet wird:
  • Weiterleitbare com.ibm.wsspi.security.token.Token-Implementierungen aus dem Subjekt
  • Serialisierbare benutzerdefinierte Objekte aus dem Subjekt
  • Weitergabe-Token aus dem Thread

Sie können vor diesem Anmeldemodul ein benutzerdefiniertes Anmeldemodul verwenden, um die Zuordnung der Berechtigungsnachweise vorzunehmen. Es wird jedoch empfohlen, dass das Anmeldemodul den Inhalt des Subjekts ändert, das in der Anmeldephase übergeben wird. Wenn dieser Empfehlung Folge geleistet wird, arbeiten die Anmeldemodule, die nach diesem Anmeldemodul verarbeitet werden, mit dem neuen Subjektinhalt.

SWAM
Verarbeitet Anmeldeanforderungen in einer Einzelserverumgebung, wenn SWAM als Authentifizierungsmethode verwendet wird.

Simple WebSphere Authentication Mechanism (SWAM) unterstützt keine weiterleitbaren Berechtigungsnachweise. Wenn SWAM als Authentifizierungsmethode verwendet wird, kann WebSphere Application Server keine Anforderungen von einem Server an einen Server senden. Dazu müssen Sie LTPA verwenden.

wssecurity.IDAssertion
Verarbeitet Anmeldekonfigurationsanforderungen für die Web-Services-Sicherheit durch Zusicherung der Identität (IDAssertion).
wssecurity.signature
Verarbeitet Anmeldekonfigurationsanforderungen für die Web-Services-Sicherheit durch Validierung der digitalen Signatur.
LTPA_WEB
Verarbeitet Anmeldeanforderungen, die vom Webcontainer verwendet werden, wie z. B. Servlets und JavaServer Pages.

Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1 und früheren Versionen verwendet.

Das Anmeldemodul com.ibm.ws.security.web.AuthenLoginModule ist in der Anmeldekonfiguration LTPA vordefiniert. Sie können vor und hinter diesem Modul in der Anmeldekonfiguration LTPA_WEB benutzerdefinierte Anmeldemodule hinzufügen.

Die Anmeldekonfiguration LTPA_WEB kann das Objekt HttpServletRequest, das Objekt HttpServletResponse und den Namen der Webanwendung verarbeiten, die mit einem Handler für Rückrufe (Callback-Handler) übergeben werden. Nähere Informationen hierzu finden Sie unter "Serverseitige JAAS-Authentifizierungs- und Anmeldekonfiguration anpassen" in der Dokumentation.

LTPA
Verarbeitet Anmeldezuordnungen, die von der Anmeldekonfiguration LTPA_WEB nicht bearbeitet werden.

Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1 und früheren Versionen verwendet.

Das Anmeldemodul com.ibm.ws.security.server.lm.ltpaLoginModule ist in der Anmeldekonfiguration LTPA vordefiniert. Sie können vor und hinter diesem Modul in der Anmeldekonfiguration LTPA benutzerdefinierte Anmeldemodule hinzufügen. Nähere Informationen hierzu finden Sie unter "Serverseitige JAAS-Authentifizierungs- und Anmeldekonfiguration anpassen" in der Dokumentation.

Zugehörige Informationen

Knöpfe in der Administrationskonsole
Features der Administrationskonsolseiten
Bereichseinstellungen für die Administrationskonsole
Filtereinstellungen für die Administrationskonsole
Einstellungen für Vorgaben in der Administrationskonsole
Konfigurationseinstellungen für Java Authentication and Authorization Service