Einstellungen für Systemanmeldungskonfigurationen für Java Authentication and
Authorization ServiceVerwenden Sie diese Seite, um eine Liste mit JAAS-Systemanmeldekonfigurationen (Java Authentication and Authorization Service) anzugeben.
Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > JAAS-Konfiguration > Systemanmeldungen.
Lesen Sie den Artikel Java Authentication and Authorization Service, bevor Sie beginnen, weitere Anmeldemodule für die Authentifizierung bei der Sicherheitslaufzeit von WebSphere Application Server zu definieren. Die folgenden Systemanmeldemodule dürfen nicht entfernt werden:
Diese drei Anmeldekonfigurationen können die folgenden Rückrufinformationen übergeben, die von den Anmeldemodulen in diesen Konfigurationen bearbeitet werden. Diese Rückrufe werden nicht zur selben Zeit übergeben. Die Kombination dieser Rückrufe bestimmt, wie WebSphere Application Server einen Benutzer authentifiziert.
| Rückruf | Zuständigkeit |
|---|---|
| callbacks[0] = new javax.security.auth.callback.NameCallback("Username: "); | Erfasst den während einer Anmeldung eingegebenen Benutzernamen. Dieser
Benutzername aus den folgenden Arten von Anmeldungen stammen:
|
| callbacks[1] = new javax.security.auth.callback.PasswordCallback("Password: ", false); | Erfasst das während einer Anmeldung eingegebene Kennwort. |
| callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential Token: "); | Erfasst das während einer Anmeldung übergebene LTPA-Token (oder den Token-Typ). In der Regel ist diese Information vorhanden, wenn kein Benutzername und kein Kennwort angegeben wurden. |
| callbacks[3] = new com.ibm.wsspi.security.auth.callback.WSTokenHolderCallback("Authz Token List: "); | Erfasst die ArrayList der TokenHolder-Objekte, die vom Aufruf des WSOpaqueTokenHelper zurückgegeben werden. Die Methode createTokenHolderListFromOpaqueToken () verwendet das CSIv2-Berechtigungs-Token (Common Secure Interoperability Version 2) als Eingabe. |
In Systemanmeldekonfigurationen authentifiziert WebSphere Application Server den Benutzer anhand der von den Rückrufen erfassten Informationen. Ein benutzerdefiniertes Anmeldemodul muss sich jedoch nicht nach diesen Rückrufen richten. Die folgende Liste zeigt typische Kombinationen dieser Rückrufe:
Dieser Rückruf findet bei CSIv2-IDAssertion-Anmeldungen, Webanmeldungen, CSIv2-Anmeldungen mit X509-Zertifikat, TAI-Anmeldungen des herkömmlichen Stils usw. statt. Bei einer CSIv2-Anmeldung mit X.509-Zertifikat ordnet WebSphere Application Server das Zertifikat einem Benutzernamen zu. Dieser Rückruf wird von jedem Anmeldetyp verwendet, der das Vertrauen auf der Basis des Benutzernamens einrichtet.
Diese Kombination von Rückrufen ist typisch für Anmeldungen mit Basisauthentifizierung. Für die meisten Benutzerauthentifizierungen werden diese beiden Rückrufe verwendet.
Dieser Rückruf wird in der Regel von Downstream-Servern verwendet, um ein LTPA-Token zu validieren. Wenn eine Anforderung von einem WebSphere Application Server stammt und nicht von einem reinen Client, wird das LTPA-Token in der Regel an den Zielserver geleitet. Für Single Sign-On (SSO) wird das LTPA-Token in einem Cookie empfangen und für die Anmeldung verwendet. Wenn ein benutzerdefiniertes Anmeldemodul den Benutzernamen aus einem LTPA-Token benötigt, kann das Modul mit der Methode com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validateLTPAToken(byte[]) die eindeutige ID aus dem Token abrufen. Nach dem Abrufen der eindeutigen ID können Sie mit der Methode com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID(uniqueID) den Benutzernamen abrufen.
Dieser Rückruf zeigt an, dass weitergebene Attribute beim Server eingegangen sind. Die weitergegebenen Attribute erfordern trotzdem eine der folgenden Authentifizierungsmethoden:
Wenn die Attribute dem Subjekt eines reinen Clients hinzugefügt werden, authentifizieren die Rückrufe NameCallback und PasswordCallback die Informationen, und die Objekte, die im Token-Halter serialisiert werden, werden dem authentifizierten Subjekt hinzugefügt.
Wenn CSIv2-IdentityAssertion und -Weitergabe aktiviert sind, verwendet WebSphere Application Server den Rückruf NameCallback und den Token-Halter, der alle weitergegebenen Attribute enthält, um die meisten Objekte zu entserialisieren. WebSphere Application Server verwendet NameCallback, weil das Vertrauen nur zu den Servern hergestellt wird, die in der CSIv2-Liste mit vertrauenswürdigen Servern angegeben sind. Wenn Sie vertrauenswürdige Server definieren möchten, klicken Sie auf Sicherheit > Authentifizierungsprotokoll > Eingehende Authentifizierung gemäß CSIv2.
Eine benutzerdefinierte Serialisierung muss nur von einem benutzerdefinierten Anmeldemodul bearbeitet werden. Nähere Informationen hierzu finden Sie unter "Weitergabe von Sicherheitsattributen".
Neben den zuvor definierten Rückrufen kann die Anmeldekonfiguration WEB_INBOUND nur noch die folgenden zusätzlichen Rückrufe enthalten:
| Rückruf | Zuständigkeit |
|---|---|
| callbacks[4] = new com.ibm.websphere.security.auth.callback.WSServletRequestCallback("HttpServletRequest: "); | Erfasst das Anforderungsobjekt des HTTP-Servlet. Mit diesem Rückruf können Anmeldemodule Informationen aus der HTTP-Anforderung abrufen, die während einer Anmeldung verwendet werden. |
| callbacks[5] = new com.ibm.websphere.security.auth.callback.WSServletResponseCallback("HttpServletResponse: "); | Erfasst das Antwortobjekt des HTTP-Servlet. Mit diesem Rückruf können Anmeldemodule nach der Anmeldung Informationen in die HTTP-Antwort einfügen. Beispielsweise können Anmeldemodule der Antwort ein SingleSignonCookie hinzufügen. |
| callbacks[6] = new com.ibm.websphere.security.auth.callback.WSAppContextCallback("ApplicationContextCallback: "); | Erfasst den während der Anmeldung verwendeten Kontext der Webanwendung. Dieser Rückruf umfasst eine HashMap, die den Anwendungsnamen und die Webadresse für Umleitung enthält. |
Die folgenden Anmeldemodule sind für die Systemanmeldekonfigurationen RMI_INBOUND, WEB_INBOUND und DEFAULT vordefiniert. Sie können vor, zwischen und hinter diesen Anmeldemodulen benutzerdefinierte Anmeldemodule einfügen, diese vordefinierten Anmeldemodule aber nicht entfernen.
Dieses Anmeldemodul führt die primäre Anmeldung durch, wenn die Weitergabe von Attributen aktiviert oder inaktiviert ist. eine primäre Anmeldung verwendet normale Authentifizierungsdaten wie eine Benutzer-ID und ein Kennwort, ein LTPA-Token oder einen TAI (Trust Association Interceptor) und den DN eines Zertifikats. Wenn eines der folgenden Szenarios zutrifft, wird dieses Anmeldemodul nicht verwendet, und das Modul com.ibm.ws.security.server.lm.wsMapInboundLoginModule führt die primäre Anmeldung durch:
Dieses Anmeldemodul führt die primäre Anmeldung mit den normalen Authentifizierungsdaten durch, wenn eine der folgenden Bedingungen zutrifft:
Wenn das Objekt java.util.Hashtable vorhanden ist, ordnet das Anmeldemodul die Objektattribute einem gültigen Subjekt zu. Ist ein WSTokenHolderCallback vorhanden, entserialisiert das Anmeldemodul die Objekte des Byte-Token und generiert den serialisierten Subjektinhalt erneut. java.util.Hashtable hat Vorrang vor allen anderen Anmeldeformen. Sie müssen hier unbedingt vermeiden, vom WebSphere Application Server zuvor weitergegebene Attribute zu duplizieren oder zu überschreiben.
Diese Merkmale werden in der Anzeige "Authentifizierung gemäß CSIv2" definiert. Um diese Anzeige aufzurufen, klicken Sie auf Sicherheit > Authentifizierungsprotokoll > Abgehende Authentifizierung gemäß CSIv2. Zum Definieren des Merkmals com.ibm.CSI.rmiOutboundLoginEnabled wählen Sie Benutzerdefinierte Zuordnung abgehender Anforderungen aus. Wenn Sie das Merkmal com.ibm.CSIOutboundPropagationEnabled definieren möchten, wählen Sie Weitergabe von Sicherheitsattributen aus.
Diese Anmeldekonfiguration bestimmt die Sicherheitsfunktionen des Zielservers und die dessen Sicherheitsdomäne. Wenn WebSphere Application Server Version 5.1.1 beispielsweise mit einem Application Server der Version 5.x kommuniziert, sendet der Application Server der Version 5.1.1 die Authentifizierungsdaten in einem LTPA-Token an den Application Server der Version 5.x. Kommuniziert der WebSphere Application Server Version 5.1.1 jedoch mit einem Application Server der Version 5.1.x, werden die Authentifizierungs- und Berechtigungsdaten an den empfangenden Application Server gesendet, wenn die Weitergabe von Attributen im sendenden und im empfangenen Server aktiviert ist.
Der folgende Rückruf steht für die Anmeldekonfiguration RMI_OUTBOUND zur Verfügung. Sie können das Objekt com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy, das von diesem Rückruf zurückgegeben wird, verwenden, um die Sicherheits-Policy für diese eine abgehende Anforderung abzufragen. Mit dieser Abfrage können Sie feststellen, ob der Ziel-Realm vom aktuellen Realm abweicht und ob der WebSphere Application Server den Realm zuordnen muss. Nähere Informationen hierzu finden Sie unter "Zuordnung abgehender Anforderungen zu einem anderen Ziel-Realm konfigurieren"
| Rückruf | Zuständigkeit |
|---|---|
| callbacks[0] = new WSProtocolPolicyCallback("Protocol Policy Callback: "); |
Dieser Rückruf liefert protokollspezifische Policy-Informationen für die Anmeldemodule in diesem abgehenden Aufruf. Mit diesen Informationen können Sie die Sicherheitsstufe, einschließlich des Ziel-Realm, die Anforderungen für die Sicherheit der Zieladresse und gemeinsame Sicherheitsanforderungen ermitteln. Die folgende Methode ruft die CSIv2PerformPolicy aus diesem spezifischen Anmeldemodul ab: csiv2PerformPolicy = (CSIv2PerformPolicy) ((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy(); Andere Protokolle als RMI können andere Arten von Policy-Objekten verwenden. |
Das folgende Anmeldemodul ist in der Anmeldekonfiguration RMI_OUTBOUND vordefiniert. Sie können vor, zwischen und hinter diesen Anmeldemodulen benutzerdefinierte Anmeldemodule einfügen, diese vordefinierten Anmeldemodule aber nicht entfernen.
Sie können vor diesem Anmeldemodul ein benutzerdefiniertes Anmeldemodul verwenden, um die Zuordnung der Berechtigungsnachweise vorzunehmen. Es wird jedoch empfohlen, dass das Anmeldemodul den Inhalt des Subjekts ändert, das in der Anmeldephase übergeben wird. Wenn dieser Empfehlung Folge geleistet wird, arbeiten die Anmeldemodule, die nach diesem Anmeldemodul verarbeitet werden, mit dem neuen Subjektinhalt.
Simple WebSphere Authentication Mechanism (SWAM) unterstützt keine weiterleitbaren Berechtigungsnachweise. Wenn SWAM als Authentifizierungsmethode verwendet wird, kann WebSphere Application Server keine Anforderungen von einem Server an einen Server senden. Dazu müssen Sie LTPA verwenden.
Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1 und früheren Versionen verwendet.
Das Anmeldemodul com.ibm.ws.security.web.AuthenLoginModule ist in der Anmeldekonfiguration LTPA vordefiniert. Sie können vor und hinter diesem Modul in der Anmeldekonfiguration LTPA_WEB benutzerdefinierte Anmeldemodule hinzufügen.
Die Anmeldekonfiguration LTPA_WEB kann das Objekt HttpServletRequest, das Objekt HttpServletResponse und den Namen der Webanwendung verarbeiten, die mit einem Handler für Rückrufe (Callback-Handler) übergeben werden. Nähere Informationen hierzu finden Sie unter "Serverseitige JAAS-Authentifizierungs- und Anmeldekonfiguration anpassen" in der Dokumentation.
Diese Anmeldekonfiguration wird von WebSphere Application Server Version 5.1 und früheren Versionen verwendet.
Das Anmeldemodul com.ibm.ws.security.server.lm.ltpaLoginModule ist in der Anmeldekonfiguration LTPA vordefiniert. Sie können vor und hinter diesem Modul in der Anmeldekonfiguration LTPA benutzerdefinierte Anmeldemodule hinzufügen. Nähere Informationen hierzu finden Sie unter "Serverseitige JAAS-Authentifizierungs- und Anmeldekonfiguration anpassen" in der Dokumentation.
Zugehörige Informationen
Knöpfe in der Administrationskonsole