0

次の相互クライアント証明書を使用すると、SSL (TLS) ハンドシェイクが残りのエンドポイントで機能します (yay!) - テストとデバッグによって検証されました: javax.net ロギング & ワイヤーシャーク。しかし...

最初の観察: HTTPServletRequest および JAX-RS アノテーション付き SecurityContext に null プリンシパル情報がある

2 番目の観察: application-policy 要素を含む login-config.xml を改ざんしても効果がない

つまり、TLS は機能しますが、証明書 DN を要求スレッドの HTTPServletRequest オブジェクトに転送しても、アプリケーションが呼び出し元の ID を取得することは妨げられません。誰かアドバイスはありますか?

JBoss 6 の場合:

デプロイ/jbossweb.sar/server.xml:

<Connector protocol="HTTP/1.1" debug="10"
       SSLEnabled="true"
       ...
       secure="true"
       clientAuth="true"
       sslProtocol = "TLS"
       securityDomain="java:/jaas/mydomain"
       SSLImplementation="org.jboss.net.ssl.JBossImplementation" />

deploy/jbossweb.sar/META-INF/jboss-beans.xml:

<depends>jboss.security:service=PBESecurityDomain</depends>

deploy/security-service.xml:

<?xml version="1.0" encoding="UTF-8"?>
<server>
  <mbean code="org.jboss.security.plugins.JaasSecurityDomain"
    name="jboss.security:service=PBESecurityDomain">
    <constructor>           <arg type="java.lang.String" value="mydomain"/>
    </constructor>
    <attribute name="KeyStoreURL">${jboss.server.home.dir}/mykeystore.jks</attribute>
    <attribute name="KeyStorePass">{CLASS}org.jboss.security.plugins.FilePassword:${jboss.server.home.dir}/mykeystorepass.pbe</attribute>
    <attribute name="TrustStoreURL">${jboss.server.home.dir}/mytruststore.jks</attribute>
    <attribute name="TrustStorePass">password</attribute>
    <attribute name="Salt">abunchofrandomchars</attribute>
    <attribute name="IterationCount">13</attribute>
    <depends>jboss.security:service=JaasSecurityManager</depends>
  </mbean>
</server>

デプロイ/セキュリティ/セキュリティ-jboss-beans.xml:

<bean name="XMLLoginConfig" class="org.jboss.security.auth.login.XMLLoginConfig">
   <property name="configResource">login-config.xml</property>
</bean>
<bean name="SecurityConfig" class="org.jboss.security.plugins.SecurityConfig">
   <property name="mbeanServer"><inject bean="JMXKernel" property="mbeanServer"/></property>
   <property name="defaultLoginConfig"><inject bean="XMLLoginConfig"/></property>
</bean>

conf/login-config.xml:

  <application-policy name="mydomain">
    <authentication>
       <login-module code="org.jboss.security.auth.spi.BaseCertLoginModule"
          flag = "required">
          <module-option name="password-stacking">useFirstPass</module-option>
          <module-option name="securityDomain">java:/jaas/mydomain</module-option>
          <module-option name="verifier">org.jboss.security.auth.certs.AnyCertVerifier</module-option>
          <module-option name="principalClass">org.jboss.security.auth.certs.SubjectDNMapping</module-option>
       </login-module>
       <login-module code="org.jboss.security.auth.spi.UserRolesLoginModu"
          flag = "required">
          <module-option name="password-stacking">useFirstPass</module-option>
          <module-option name="usersProperties">users.properties</module-option>
          <module-option name="rolesProperties">roles.properties</module-option>
       </login-module>
    </authentication>
 </application-policy>

戦争/WEB-INF/jboss-web.xml:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE jboss-web PUBLIC
    "-//JBoss//DTD Web Application 2.4//EN"
    "http://www.jboss.org/j2ee/dtd/jboss-web_4_0.dtd">
<jboss-web>
    <security-domain>java:/jaas/mydomain</security-domain>
    <context-root>/myapp</context-root>
</jboss-web>
4

1 に答える 1

0

スペシャルClientLoginModuleをlogin-context.xmlに追加して、nullプリンシパルの問題を修正します。

<login-module code="org.jboss.security.ClientLoginModule" flag="required"></login-module>
于 2011-05-10T14:01:41.997 に答える