[Versão 5.1.1 e posterior]Definições da entrada de configuração de login do sistema para Java Authentication and Authorization Service

Utilize esta página para especificar uma lista de configurações de login do sistema JAAS (Java Authentication and Authorization Service).

Para visualizar esta página do Administrative Console, clique em Segurança > Configuração do JAAS > Logins de Sistema.

Leia Java Authentication and Authorization Service antes de começar a definição de módulos de login adicionais para autenticação no tempo de execução de segurança do WebSphere Application Server. Não remova os seguintes módulos de login do sistema:

RMI_INBOUND, WEB_INBOUND, DEFAULT
Processa pedidos de login de entrada para RMI (Remote Method Invocation), aplicativos da Web e a maior parte dos outros protocolos de login. Essas configurações de login são utilizadas pelo WebSphere Application Server Versão 5.1.1
RMI_INBOUND
A configuração de login RMI_INBOUND trata os logins para pedidos RMI de entrada. Geralmente, esses logins são pedidos para acesso autenticado a arquivos EJB. Além disso, esses logins podem ser pedidos JMX (Java Management Extensions), ao utilizar o conector RMI.
WEB_INBOUND
A configuração de login WEB_INBOUND trata os logins para pedidos de aplicativos da Web, o que inclui servlets e JSP (JavaServer Pages). Tal configuração de login pode interagir com a saída gerada a partir de um TAI (Trust Association Interceptor), se estiver configurado. O Assunto transmitido na configuração de login WEB_INBOUND pode conter objetos gerados pelo TAI.
DEFAULT
A configuração de login DEFAULT trata os logins para pedidos de entrada feitos pela maior parte dos outros protocolos e autenticações internas.

Essas três configurações de login podem ser transmitidas nas seguintes informações de retorno de chamada, que são tratadas pelos módulos de login que se encontram nessas configurações. Esses retornos de chamada não são transmitidos ao mesmo tempo. No entanto, a combinação desses retornos de chamada determina como o WebSphere Application Server autentica o usuário.

Retorno de chamada Responsabilidade
callbacks[0] = new javax.security.auth.callback.NameCallback("Username: "); Coleta o nome do usuário fornecido durante um login. Estas informações podem ser o nome do usuário dos seguintes tipos de logins:
  • Login com nome do usuário e senha, que é conhecido como autenticação básica.
  • Somente nome do usuário para asserção de identidade.
callbacks[1] = new javax.security.auth.callback.PasswordCallback("Password: ", false); Coleta a senha fornecida durante um login.
callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential Token: "); Coleta o token LTPA (Lightweight Third Party Authentication) (ou outro tipo de token) durante um login. Geralmente, estas informações estão presentes quando um nome do usuário e uma senha estão ausentes.
callbacks[3] = new com.ibm.wsspi.security.auth.callback.WSTokenHolderCallback("Authz Token List: "); Coleta a ArrayList dos objetos TokenHolder que são retornados da chamada para o WSOpaqueTokenHelper. Método createTokenHolderListFromOpaqueToken () utilizando o token de autorização CSIv2 (Common Secure Interoperability version 2) como entrada.


Nas configurações de login do sistema, o WebSphere Application Server autentica o usuário com base nas informações coletadas pelos retornos de chamada. No entanto, um módulo de login personalizado não precisa agir em nenhum desses retornos de chamada. A lista a seguir explica as combinações típicas desses retornos de chamada:

Além dos retornos de chamada definidos anteriormente, a configuração de login WEB_INBOUND pode conter apenas os seguintes retornos de chamada adicionais

Retorno de Chamada Responsabilidade
callbacks[4] = new com.ibm.websphere.security.auth.callback.WSServletRequestCallback("HttpServletRequest: "); Coleta o objeto do pedido do servlet HTTP, se for apresentado. Este retorno de chamada permite que os módulos de login recuperem informações do pedido do HTTP para serem utilizadas durante o login.
callbacks[5] = new com.ibm.websphere.security.auth.callback.WSServletResponseCallback("HttpServletResponse: "); Coleta o objeto de resposta do servlet HTTP, se for apresentado. Este retorno de chamada permite que os módulos de login incluam informações na resposta do HTTP como resultado do login. Por exemplo, os módulos de login podem incluir o SingleSignonCookie na resposta.
callbacks[6] = new com.ibm.websphere.security.auth.callback.WSAppContextCallback("ApplicationContextCallback: "); Coleta o contexto de aplicativo da Web utilizado durante o login. Este retorno de chamada consiste em um HashMap, que contém o nome do aplicativo e o endereço da Web de redirecionamento, se estiver presente.


Os seguintes módulos de login são predefinidos para as configurações de login de sistema RMI_INBOUND, WEB_INBOUND e DEFAULT. Você pode incluir módulos de login personalizados antes, entre ou depois de qualquer um desses módulos de login, porém você não pode remover esses módulos de login predefinidos.

RMI_OUTBOUND
Processa pedidos RMI que são enviados para um outro servidor quando as propriedades com.ibm.CSI.rmiOutboundLoginEnabled ou com.ibm.CSIOutboundPropagationEnabled forem verdadeiras.

Tais propriedades são definidas no painel de autenticação CSIv2. Para acessar o painel, clique em Segurança > Protocolo de Autenticação > Autenticação de Saída do CSIv2. Para definir a propriedade com.ibm.CSI.rmiOutboundLoginEnabled, selecione Mapeamento de saída personalizado. Para definir a propriedade com.ibm.CSIOutboundPropagationEnabled, selecione Propagação do atributo de segurança.

Esta configuração de login determina os recursos de segurança do servidor de destino e seu domínio de segurança. Por exemplo, se o WebSphere Application Server Versão 5.1.1 se comunica com um Application Server versão 5.x, o Application Server da versão 5.1.1 envia as informações de autenticação, utilizando um token LTPA, ao Application Server da versão 5.x. No entanto, se o WebSphere Application Server Versão 5.1.1 se comunica com um Application Server da versão 5.1.x, as informações de autenticação e de autorização são enviadas ao Application Server de recepção se a propagação for ativada nos servidores de envio e de recepção.

O seguinte retorno de chamada está disponível na configuração de login RMI_OUTBOUND. Você pode utilizar o objeto com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy retornado por este retorno de chamada para consultar a política de segurança desta solicitação de saída específica. Esta consulta pode ajudar a determinar se a região de destino é diferente da região atual e se o WebSphere Application Server deve mapear a região. Para obter informações adicionais, consulte "Configurando o mapeamento de saída para uma região de destino diferente".

Retorno de Chamada Responsabilidade
callbacks[0] = new WSProtocolPolicyCallback("Protocol Policy Callback: ");

Fornece informações sobre a política específica do protocolo para os módulos de login nesta chamada de saída. Estas informações são utilizadas para determinar o nível de segurança, incluindo a região de destino, os requisitos de segurança de destino e os requisitos de segurança unidos.

O seguinte método obtém o CSIv2PerformPolicy a partir deste módulo de login específico:

csiv2PerformPolicy = (CSIv2PerformPolicy)
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();

Um protocolo diferente, que não seja o RMI, pode possuir um tipo de objeto de política diferente.



O seguinte módulo de login é predefinido na configuração de login RMI_OUTBOUND. Você pode incluir módulos de login personalizados antes, entre ou depois de qualquer um desses módulos de login, porém você não pode remover esses módulos de login predefinidos.

com.ibm.ws.security.lm.wsMapCSIv2OutboundLoginModule
Recupera os seguintes tokens e objetos antes de criar um byte opaco enviado a um outro servidor através da utilização da camada de token de autorização CSIv2 (Common Secure Interoperability version 2):
  • Implementações com.ibm.wsspi.security.token.Token redirecionáveis a partir do Assunto
  • Objetos personalizados serializáveis a partir do Assunto
  • Tokens de propagação a partir do encadeamento

Você pode utilizar um módulo de login personalizado antes deste módulo de login para executar o mapeamento credencial. No entanto, é recomendado que o módulo de login altere o conteúdo do Assunto que é transmitido durante a fase de login. Se esta recomendação for seguida, os módulos de login processados depois deste módulo de login agirão no novo conteúdo do Assunto.

SWAM
Processa pedidos de login em um único ambiente de servidor quando o SWAM for utilizado como o método de autenticação.

O SWAM (Simple WebSphere Authentication Mechanism) não suporta credenciais redirecionáveis. Quando o SWAM for o método de autenticação, o WebSphere Application Server não poderá enviar pedidos de servidor para servidor. Nesse caso, você deverá utilizar o LTPA.

wssecurity.IDAssertion
Processa pedidos de configuração de login para segurança de serviços da Web utilizando asserção de identidade.
wssecurity.signature
Processa pedidos de configuração de login para segurança de serviços da Web utilizando validação de assinatura digital.
LTPA_WEB
Processa pedidos de login utilizados pelo contêiner da Web, tais como servlets ou páginas JavaServer.

Esta configuração de login é utilizada pelo WebSphere Application Server Versão 5.1 e pelas versões anteriores.

O módulo de login com.ibm.ws.security.web.AuthenLoginModule é predefinido na configuração de login LTPA. Você pode incluir módulos de login personalizados antes ou depois deste módulo na configuração de login LTPA_WEB.

A configuração de login LTPA_WEB pode processar o objeto HttpServletRequest, o objeto HttpServletResponse e o nome do aplicativo da Web que são transmitidos na utilização de uma rotina de tratamento do retorno de chamada. Para obter informações adicionais, consulte "Personalizando uma Configuração de Login e Autenticação do Java Authentication and Authorization Service do Lado do Servidor" na documentação.

LTPA
Processa pedidos de login que não são tratados pela configuração de login LTPA_WEB.

Esta configuração de login é utilizada pelo WebSphere Application Server Versão 5.1 e pelas versões anteriores.

O módulo de login com.ibm.ws.security.server.lm.ltpaLoginModule é predefinido na configuração de login LTPA. Você pode incluir módulos de login personalizados antes ou depois deste módulo na configuração de login LTPA. Para obter informações adicionais, consulte "Personalizando uma Configuração de Login e Autenticação do Java Authentication and Authorization Service do Lado do Servidor" na documentação.

Informações Relacionadas

Botões do Administrative Console
Recursos de Páginas do Administrative Console
Definições do Escopo do Administrative Console
Configurações do Filtro do Administrative Console
Definições das Preferências do Administrative Console
Definições da Entrada de Configuração para Java Authentication and Authorization Service