[Versión 5.1.1 y posterior]Valores de entrada de configuración de inicio de sesión del sistema de JAAS (Java Authentication and Authorization Service)

Utilice esta página para especificar una lista de configuraciones de inicio de sesión del sistema de JAAS (Java Authentication and Authorization Service).

Para ver esta página de la consola administrativa, pulse Seguridad > Configuración de JAAS > Inicios de sesión del sistema.

Lea JAAS (Java Authentication and Authorization Service) antes de empezar a definir módulos de inicio de sesión adicionales que se utilizan para fines de autenticación durante el tiempo de ejecución de seguridad de WebSphere Application Server. No elimine los siguientes módulos de inicio de sesión del sistema:

RMI_INBOUND, WEB_INBOUND, DEFAULT
Procesa peticiones de inicio de sesión de entrada para RMI (invocación de métodos remotos), aplicaciones Web y la mayoría de los demás protocolos de inicio de sesión. Estas configuraciones de inicio de sesión las utiliza WebSphere Application Server Versión 5.1.1
RMI_INBOUND
La configuración de inicio de sesión RMI_INBOUND maneja inicios de sesión para peticiones de RMI de entrada. En general, estos inicios de sesión son peticiones de acceso autenticado a archivos EJB. Además, estos inicios de sesión podrían ser peticiones JMS (Java Management Extensions) cuando se utiliza el conector RMI.
WEB_INBOUND
La configuración de inicio de sesión WEB_INBOUND maneja los inicios de sesión para las peticiones de aplicaciones Web, que incluye servlets y JSP (JavaServer Pages). Esta configuración de inicio de sesión puede interactuar con la salida generada de un interceptor de asociación de confianza (TAI), si está configurado. El Asunto pasado a la configuración de inicio de sesión WEB_INBOUND podría contener objetos generados por el TAI.
DEFAULT
La configuración de inicio de sesión DEFAULT maneja los inicios de sesión de las peticiones de entrada realizadas por la mayoría de los demás protocolos y autenticaciones internas.

Estas tres configuraciones de inicio de sesión pueden pasar en la siguiente información de retorno de llamada, que manejan los módulos de inicio de sesión dentro de estas configuraciones. Estas llamadas de retorno no se pasan a la vez. No obstante, la combinación de estos retornos de llamada determina cómo WebSphere Application Server autentica el usuario.

Retorno de llamada Responsabilidad
callbacks[0] = new javax.security.auth.callback.NameCallback("Username: "); Recopila el nombre de usuario proporcionado durante un inicio de sesión. Esta información puede ser el nombre de usuario para los siguientes tipos de inicio de sesión:
  • Inicio de sesión con nombre de usuario y contraseña, que se conoce como autenticación básica.
  • Nombre de usuario sólo para confirmación de identidad.
callbacks[1] = new javax.security.auth.callback.PasswordCallback("Password: ", false); Recopila la contraseña proporcionada durante un inicio de sesión.
callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential Token: "); Recopila el símbolo LTPA (Lightweight Third Party Authentication) (u otro tipo de símbolo) durante un inicio de sesión. Generalmente, esta información existe cuando no hay nombre de usuario y contraseña.
callbacks[3] = new com.ibm.wsspi.security.auth.callback.WSTokenHolderCallback("Authz Token List: "); Recopila la lista de matrices de los objetos TokenHolder que se devuelven de la llamada al método WSOpaqueTokenHelper.createTokenHolderListFromOpaqueToken () que utiliza el símbolo de autorización Common Secure Interoperability versión 2 (CSIv2) como entrada.


En configuraciones de inicio de sesión del sistema, WebSphere Application Server autentica el usuario basándose en la información recopilada por los retornos de llamada. No obstante, no es necesario que un módulo de inicio de sesión personalizado actúe en ninguno de estos retornos de llamada. En la siguiente lista se explican las combinaciones típicas de estos retornos de llamada:

Además de los retornos de llamada definidos anteriormente, la configuración de inicio de sesión WEB_INBOUND sólo puede contener los siguientes retornos de llamada adicionales

Retorno de llamada Responsabilidad
callbacks[4] = new com.ibm.websphere.security.auth.callback.WSServletRequestCallback("HttpServletRequest: "); Recopila el objeto de petición de servlet HTTP, si existe. Este retorno de llamada permite a los módulos de inicio de sesión recuperar información de una petición HTTP para utilizarla durante un inicio de sesión.
callbacks[5] = new com.ibm.websphere.security.auth.callback.WSServletResponseCallback("HttpServletResponse: "); Recopila el objeto de respuesta de servlet HTTP, si existe. Este retorno de llamada permite a los módulos de inicio de sesión añadir información en la respuesta HTTP como resultado del inicio de sesión. Por ejemplo, los módulos de inicio de sesión podrían añadir SingleSignonCookie a la respuesta.
callbacks[6] = new com.ibm.websphere.security.auth.callback.WSAppContextCallback("ApplicationContextCallback: "); Recopila el contexto de la aplicación Web utilizado durante el inicio de sesión. Este retorno de llamada consta de una correlación hash, que contiene el nombre de aplicación y la dirección Web de redirección, si existe.


Los siguientes módulos de inicio de sesión están predefinidos para las configuraciones de inicio de sesión del sistema RMI_INBOUND, WEB_INBOUND y DEFAULT. Puede añadir módulos de inicio de sesión personalizados, antes, entre o después de estos módulos de inicio de sesión, aunque no podrá eliminar estos módulos de inicio de sesión predefinidos.

RMI_OUTBOUND
Procesa peticiones RMI que se envían de salida a otro servidor cuando la propiedad com.ibm.CSI.rmiOutboundLoginEnabled o la propiedad com.ibm.CSIOutboundPropagationEnabled son verdaderas.

Estas propiedades se establecen en el panel de autenticación CSIv2. Para acceder al panel, pulse Seguridad > Protocolo de autenticación > Autenticación de salida CSIv2. Para establecer la propiedad com.ibm.CSI.rmiOutboundLoginEnabled, seleccione Correlación de salida personalizada. Para establecer la propiedad com.ibm.CSIOutboundPropagationEnabled, seleccione Propagación de atributos de seguridad.

Esta configuración de inicio de sesión determina las prestaciones de seguridad del servidor de destino y su dominio de seguridad. Por ejemplo, si WebSphere Application Server Versión 5.1.1 se comunica con un servidor de aplicaciones que ejecuta la versión 5.x, el servidor de aplicaciones con la versión 5.1.1 envía la información de autenticación, utilizando un símbolo LTPA, al servidor de aplicaciones de la versión 5.x. No obstante, si WebSphere Application Server Versión 5.1.1 se comunica con un servidor de aplicaciones que ejecuta la versión 5.1.x, la información de autenticación y autorización se envía al servidor de aplicaciones receptor si se ha habilitado la propagación en los dos servidores, en que envía y el que recibe.

El siguiente retorno de llamada está disponible en la configuración de inicio de sesión RMI_OUTBOUND. Puede utilizar el objeto com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy devuelto por este retorno de llamada para consultar la política de seguridad para esta petición de salida concreta. Esta consulta puede ayudar a determinar si el reino de destino es distinto del reino actual y si WebSphere Application Server debe correlacionarse con el reino. Para obtener más información, consulte "Configuración de la correlación de salida con un reino de destino distinto".

Retorno de llamada Responsabilidad
callbacks[0] = new WSProtocolPolicyCallback("Protocol Policy Callback: ");

Proporciona información de política específica del protocolo para los módulos de inicio de sesión en esta invocación de salida. Esta información se utiliza para determinar el nivel de seguridad, incluido el reino de destino, los requisitos de seguridad del destino y los requisitos de seguridad fusionados.

El siguiente método obtiene la CSIv2PerformPolicy desde este módulo de inicio de sesión específico:

csiv2PerformPolicy = (CSIv2PerformPolicy) 
((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy();

Un protocolo distinto del RMI puede tener un tipo distinto de objeto de política.



El siguiente módulo de inicio de sesión está predefinido en la configuración de inicio de sesión RMI_OUTBOUND. Puede añadir módulos de inicio de sesión personalizados, antes, entre o después de estos módulos de inicio de sesión, aunque no podrá eliminar estos módulos de inicio de sesión predefinidos.

com.ibm.ws.security.lm.wsMapCSIv2OutboundLoginModule
Recupera los siguientes símbolos y objetos antes de crear un byte opaco que se envía a otro servidor mediante la capa de símbolos de autorización CSIv2 (Common Secure Interoperability) versión 2:
  • Implementaciones com.ibm.wsspi.security.token.Token que se pueden enviar desde el Asunto
  • Objetos personalizados serializables del Asunto
  • Símbolos de propagación de la hebra

Puede utilizar un módulo de inicio de sesión personalizado antes de este módulo de inicio de sesión antes de realizar la correlación de credenciales. No obstante, se recomienda que el módulo de inicio de sesión cambie el contenido del Asunto que se pasa durante la fase de inicio de sesión. Si se sigue esta recomendación, los módulos de inicio de sesión procesados después de este módulo de inicio de sesión actúan sobre el nuevo contenido del Asunto.

SWAM
Procesa peticiones de inicio de sesión en un entorno de un solo servidor cuando se utiliza SWAM como método de autenticación.

El mecanismo SWAM (Simple WebSphere Authentication Mechanism) no da soporte a las credenciales que se pueden enviar. Cuando SWAM es el método de autenticación, WebSphere Application Server no puede enviar peticiones de servidor a servidor. En este caso, se debe utilizar LTPA.

wssecurity.IDAssertion
Procesa peticiones de configuración de inicio de sesión para la seguridad de servicios Web utilizando la confirmación de identidad.
wssecurity.signature
Procesa peticiones de configuración de inicio de sesión para la seguridad de servicios Web utilizando la validación de signatura digital.
LTPA_WEB
Procesa las peticiones de inicio utilizadas por el contenedor Web, como servlets y JavaServer Pages.

Esta configuración de inicio de sesión la utiliza WebSphere Application Server Versión 5.1 y versiones anteriores.

El módulo de inicio de sesión com.ibm.ws.security.web.AuthenLoginModule está predefinido en la configuración de inicio de sesión LTPA. Puede añadir módulos de inicio de sesión personalizados antes o después de este módulo en la configuración de inicio de sesión LTPA_WEB.

La configuración de inicio de sesión LTPA_WEB puede procesar el objeto HttpServletRequest, el objeto HttpServletResponse y el nombre de aplicación Web que se pasan utilizando un manejador de retorno de llamada. Para obtener más información, consulte "Personalización de una configuración de inicio de sesión y autenticación JAAS (Java Authentication and Authorization Service) del servidor" en la documentación.

LTPA
Procesa peticiones de inicio de sesión que no son manejadas por la configuración de inicio de sesión LTPA_WEB.

Esta configuración de inicio de sesión la utiliza WebSphere Application Server Versión 5.1 y versiones anteriores.

El módulo de inicio de sesión com.ibm.ws.security.server.lm.ltpaLoginModule está predefinido en la configuración de inicio de sesión LTPA. Puede añadir módulos de inicio de sesión personalizados antes o después de este módulo en la configuración de inicio de sesión LTPA. Para obtener más información, consulte "Personalización de una configuración de inicio de sesión y autenticación JAAS (Java Authentication and Authorization Service) del servidor" en la documentación.

Información relacionada

Botones de la consola administrativa
Características de la página de la consola administrativa
Valores de ámbito de la consola administrativa
Valores de filtro de la consola administrativa
Valores de preferencias de la consola administrativa
Valores de entrada de configuración de JAAS (Java Authentication and Authorization Service)