Definições da entrada de configuração de login do sistema para Java Authentication and
Authorization ServiceUtilize esta página para especificar uma lista de configurações de login do sistema JAAS (Java Authentication and Authorization Service).
Para visualizar esta página do Administrative Console, clique em Segurança > Configuração do JAAS > Logins de Sistema.
Leia Java Authentication and Authorization Service antes de começar a definição de módulos de login adicionais para autenticação no tempo de execução de segurança do WebSphere Application Server. Não remova os seguintes módulos de login do sistema:
Essas três configurações de login podem ser transmitidas nas seguintes informações de retorno de chamada, que são tratadas pelos módulos de login que se encontram nessas configurações. Esses retornos de chamada não são transmitidos ao mesmo tempo. No entanto, a combinação desses retornos de chamada determina como o WebSphere Application Server autentica o usuário.
| Retorno de chamada | Responsabilidade |
|---|---|
| callbacks[0] = new javax.security.auth.callback.NameCallback("Username: "); | Coleta o nome do usuário fornecido durante um login. Estas informações podem ser o nome do usuário dos seguintes tipos de logins:
|
| callbacks[1] = new javax.security.auth.callback.PasswordCallback("Password: ", false); | Coleta a senha fornecida durante um login. |
| callbacks[2] = new com.ibm.websphere.security.auth.callback.WSCredTokenCallbackImpl("Credential Token: "); | Coleta o token LTPA (Lightweight Third Party Authentication) (ou outro tipo de token) durante um login. Geralmente, estas informações estão presentes quando um nome do usuário e uma senha estão ausentes. |
| callbacks[3] = new com.ibm.wsspi.security.auth.callback.WSTokenHolderCallback("Authz Token List: "); | Coleta a ArrayList dos objetos TokenHolder que são retornados da chamada para o WSOpaqueTokenHelper. Método createTokenHolderListFromOpaqueToken () utilizando o token de autorização CSIv2 (Common Secure Interoperability version 2) como entrada. |
Nas configurações de login do sistema, o WebSphere Application Server autentica o usuário com base nas informações coletadas pelos retornos de chamada. No entanto, um módulo de login personalizado não precisa agir em nenhum desses retornos de chamada. A lista a seguir explica as combinações típicas desses retornos de chamada:
Este retorno de chamada ocorre para logins certificados CSIv2 Identity Assertion, Web, CSIv2 X509, logins Trust Association Interceptor no estilo antigo e assim por diante. Em um login certificado CSIv2 X.509, o WebSphere Application Server mapeia o certificado para um nome de usuário. Este retorno de chamada é utilizado por qualquer tipo de login que estabeleça verificação utilizando somente o nome do usuário.
Esta combinação de retornos de chamada é típica de logins de autenticação básica. A maioria das autenticações de usuário ocorre utilizando-se esses dois retornos de chamada.
Este retorno de chamada é utilizado geralmente por um servidor de recebimento de dados para validar um token LTPA (Lightweight Third Party Authentication). Sempre que um pedido é originado a partir do WebSphere Application Server, em vez de um simples cliente, o token LTPA geralmente flui para o servidor de destino. Para SSO (Single Signon), o token LTPA é recebido no cookie e o token é utilizado para efetuar login. Se um módulo de login personalizado precisa do nome do usuário de um token LTPA, o módulo pode utilizar o método com.ibm.wsspi.security.token.WSSecurityPropagationHelper.validateLTPAToken(byte[]) para recuperar o uniqueID do token. Depois de recuperar o uniqueID, utilize o método com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID(uniqueID) para obter o nome do usuário.
Este retorno de chamada indica que alguns atributos propagados alcançaram o servidor. Os atributos propagados ainda requerem um dos seguintes métodos de autenticação:
Se os atributos forem incluídos no Assunto de um simples cliente, os retornos de chamada NameCallback e PasswordCallback autenticarão as informações e os objetos serializados no portador do token serão incluídos no Assunto autenticado.
Se a asserção e a propagação de identidade do CSIv2 estiverem ativadas, o WebSphere Application Server utilizará o NameCallback e o portador do token, que contém todos os atributos propagados, para desserializar a maioria dos objetos. O WebSphere Application Server utiliza o NameCallback apenas porque a verificação é estabelecida com os servidores que você indica na lista de servidores confiáveis do CSIv2. Para especificar servidores confiáveis, clique em Segurança > Protocolo de autenticação > Autenticação de entrada do CSIv2.
A serialização personalizada precisa ser tratada somente por um módulo de login personalizado. Para obter informações adicionais, consulte "Propagação de Atributos de Segurança".
Além dos retornos de chamada definidos anteriormente, a configuração de login WEB_INBOUND pode conter apenas os seguintes retornos de chamada adicionais
| Retorno de Chamada | Responsabilidade |
|---|---|
| callbacks[4] = new com.ibm.websphere.security.auth.callback.WSServletRequestCallback("HttpServletRequest: "); | Coleta o objeto do pedido do servlet HTTP, se for apresentado. Este retorno de chamada permite que os módulos de login recuperem informações do pedido do HTTP para serem utilizadas durante o login. |
| callbacks[5] = new com.ibm.websphere.security.auth.callback.WSServletResponseCallback("HttpServletResponse: "); | Coleta o objeto de resposta do servlet HTTP, se for apresentado. Este retorno de chamada permite que os módulos de login incluam informações na resposta do HTTP como resultado do login. Por exemplo, os módulos de login podem incluir o SingleSignonCookie na resposta. |
| callbacks[6] = new com.ibm.websphere.security.auth.callback.WSAppContextCallback("ApplicationContextCallback: "); | Coleta o contexto de aplicativo da Web utilizado durante o login. Este retorno de chamada consiste em um HashMap, que contém o nome do aplicativo e o endereço da Web de redirecionamento, se estiver presente. |
Os seguintes módulos de login são predefinidos para as configurações de login de sistema RMI_INBOUND, WEB_INBOUND e DEFAULT. Você pode incluir módulos de login personalizados antes, entre ou depois de qualquer um desses módulos de login, porém você não pode remover esses módulos de login predefinidos.
Este módulo de login executa o login principal quando a propagação do atributo for ativada ou desativada. Um login principal utiliza informações de autenticação normais, tais como um ID de usuário e senha; um token LTPA; ou um TAI (Trust Association Interceptor) e um DN (Nome Distinto) certificado. Se algum dos seguintes cenários for verdadeiro, este módulo de login não será utilizado e com.ibm.ws.security.server.lm.wsMapInboundLoginModule executará o login principal:
Este módulo de login executa o login principal utilizando as informações de autenticação normais se alguma das seguintes condições for verdadeira:
Quando o objeto java.util.Hashtable estiver presente, o módulo de login mapeará os atributos do objeto em um Assunto válido. Quando o WSTokenHolderCallback estiver presente, o módulo de login desserializará os objetos do token de byte e regenerará o conteúdo do Assunto serializado. O java.util.Hashtable tem precedência sobre todos os outros formulários do login. Assim, seja cauteloso para evitar a duplicação ou a substituição do que o WebSphere Application Server pode ter propagado anteriormente.
Tais propriedades são definidas no painel de autenticação CSIv2. Para acessar o painel, clique em Segurança > Protocolo de Autenticação > Autenticação de Saída do CSIv2. Para definir a propriedade com.ibm.CSI.rmiOutboundLoginEnabled, selecione Mapeamento de saída personalizado. Para definir a propriedade com.ibm.CSIOutboundPropagationEnabled, selecione Propagação do atributo de segurança.
Esta configuração de login determina os recursos de segurança do servidor de destino e seu domínio de segurança. Por exemplo, se o WebSphere Application Server Versão 5.1.1 se comunica com um Application Server versão 5.x, o Application Server da versão 5.1.1 envia as informações de autenticação, utilizando um token LTPA, ao Application Server da versão 5.x. No entanto, se o WebSphere Application Server Versão 5.1.1 se comunica com um Application Server da versão 5.1.x, as informações de autenticação e de autorização são enviadas ao Application Server de recepção se a propagação for ativada nos servidores de envio e de recepção.
O seguinte retorno de chamada está disponível na configuração de login RMI_OUTBOUND. Você pode utilizar o objeto com.ibm.wsspi.security.csiv2.CSIv2PerformPolicy retornado por este retorno de chamada para consultar a política de segurança desta solicitação de saída específica. Esta consulta pode ajudar a determinar se a região de destino é diferente da região atual e se o WebSphere Application Server deve mapear a região. Para obter informações adicionais, consulte "Configurando o mapeamento de saída para uma região de destino diferente".
| Retorno de Chamada | Responsabilidade |
|---|---|
| callbacks[0] = new WSProtocolPolicyCallback("Protocol Policy Callback: "); |
Fornece informações sobre a política específica do protocolo para os módulos de login nesta chamada de saída. Estas informações são utilizadas para determinar o nível de segurança, incluindo a região de destino, os requisitos de segurança de destino e os requisitos de segurança unidos. O seguinte método obtém o CSIv2PerformPolicy a partir deste módulo de login específico: csiv2PerformPolicy = (CSIv2PerformPolicy) ((WSProtocolPolicyCallback)callbacks[0]).getProtocolPolicy(); Um protocolo diferente, que não seja o RMI, pode possuir um tipo de objeto de política diferente. |
O seguinte módulo de login é predefinido na configuração de login RMI_OUTBOUND. Você pode incluir módulos de login personalizados antes, entre ou depois de qualquer um desses módulos de login, porém você não pode remover esses módulos de login predefinidos.
Você pode utilizar um módulo de login personalizado antes deste módulo de login para executar o mapeamento credencial. No entanto, é recomendado que o módulo de login altere o conteúdo do Assunto que é transmitido durante a fase de login. Se esta recomendação for seguida, os módulos de login processados depois deste módulo de login agirão no novo conteúdo do Assunto.
O SWAM (Simple WebSphere Authentication Mechanism) não suporta credenciais redirecionáveis. Quando o SWAM for o método de autenticação, o WebSphere Application Server não poderá enviar pedidos de servidor para servidor. Nesse caso, você deverá utilizar o LTPA.
Esta configuração de login é utilizada pelo WebSphere Application Server Versão 5.1 e pelas versões anteriores.
O módulo de login com.ibm.ws.security.web.AuthenLoginModule é predefinido na configuração de login LTPA. Você pode incluir módulos de login personalizados antes ou depois deste módulo na configuração de login LTPA_WEB.
A configuração de login LTPA_WEB pode processar o objeto HttpServletRequest, o objeto HttpServletResponse e o nome do aplicativo da Web que são transmitidos na utilização de uma rotina de tratamento do retorno de chamada. Para obter informações adicionais, consulte "Personalizando uma Configuração de Login e Autenticação do Java Authentication and Authorization Service do Lado do Servidor" na documentação.
Esta configuração de login é utilizada pelo WebSphere Application Server Versão 5.1 e pelas versões anteriores.
O módulo de login com.ibm.ws.security.server.lm.ltpaLoginModule é predefinido na configuração de login LTPA. Você pode incluir módulos de login personalizados antes ou depois deste módulo na configuração de login LTPA. Para obter informações adicionais, consulte "Personalizando uma Configuração de Login e Autenticação do Java Authentication and Authorization Service do Lado do Servidor" na documentação.
Informações Relacionadas
Botões do Administrative Console