問題タブ [jaas]

EJB でキーストアのパスワードを提供する必要がありますが、開発者に表示されたくありません。私の考えは、Websphere Console で認証エイリアスを作成し、後で MY_ALIAS を検索して、エイリアスからパスワードを取得することでした。件名に関連するいくつかの議論を見つけました: http://www.coderanch.com/t/79439/Websphere/Authentication-Data

エイリアスを検索できることを知っている人はいますか? 私の目標を達成するための提案された方法は何ですか?

どうもありがとうございました！

Apache Tomcat の Web アプリケーションに JAAS を介して Web SSO を統合しようとしています。私はApacheのドキュメントやその他のものを調べて内部に入りました。

一般的なアプローチは、http://jakarta.apache.org/slide/howto-jaas で説明されているように、ログイン モジュールを実装し、Web アプリケーション (正確には web.xml) を構成し、サーバー (jaas.config、server.xml) を構成することです。 html . 私の会社の環境では、サーバーの構成に関する問題に直面しました。Apache によって提案された環境変数の構成は、さらに悪いことです。

Web アプリケーション内ですべての構成を行う方法はありますか?

PS。Spring セキュリティ フレームワークについては知っています。
ありがとう。

ユーザーが自分の Web サイトにログインしたときに、受信トレイや通知などを含むユーザー メニューを含む div を表示したいのですが、これを行うには JSF で JAAS を使用する必要がありますか? それを行う最良の方法は何ですか？正しい方向やチュートリアルを教えていただければ、またはrender属性を使用する代わりにこれを行うための素晴らしい方法があれば. 前もって感謝します。

jsf2にリダイレクトされた後、ユーザーが選択したURLに直接アクセスできるベースのフォームログインを実現しようとしていlogin-pageます。これはどのように達成できますか？私の現在の設定は次のとおりです（を使用してglassfish 3）

Web.XML

ログインを処理するセッションスコープのマネージドBean

別の質問から、ログインページへの含まれている処理済みリダイレクトの代わりにフィルターを使用し、リダイレクト前のURLを次のようなリクエストの属性として保存するためのヒントを得ました：

url-patternをすべてのセキュリティ制約の合計と同じに設定します。問題は、これをコンテナベースのログインとどのように組み合わせるかです。login-config authメソッドをFORMのままにすると、フィルターは実行されません。これを削除すると、auth-methodがBASICに設定され、1。フォームが表示されなくなります。2。httpServletRequest.getUserPrincipal（）がWebブラウザーによって自動的にキャッシュされた値に設定されるため、フィルターが実行されても、if-ステートメントは常にfalseになります。私の知る限り、セッションが無効になったとしても、ブラウザがこれを実行しないようにする方法はありません。

これに対する解決策はありますか？

こんにちは、私は Tomcat 6.0.14 を使用しており、ユーザーに mysite.com?token=12345678912334333 (長い文字列が続く) というリンクを送信できるシステムを実装することを知りたいのですが、それによりユーザーは自動的にログインしました。

強力なSSOシステムのためにKerberos、JAAS、およびGSS-APIを統合することについてのすばらしいホワイトペーパー（Sunによる）を見つけました。残念ながら、この記事はJava 1.4用に書かれており、数年前のものです。

（1）疑問に思っています：この「勝利」（Kerberos-JAAS-GSS、または略してKJG）はまだ（J6および近日公開予定のJ7の時点で）Java EEアプリの主要なSSOメカニズムですか？そうでない場合、それは何ですか、そしてそのアーキテクチャを簡単に説明できますか？

私のアプリケーションには、安全なWebサービスも必要です。このホワイトペーパーを読む前に、SSLを使用してトランスポートを保護し、認証/署名/暗号化にXWSSまたは（より可能性が高い）ApacheのWSS4Jフレームワークを使用することを検討していました。

（2）KJG（または上記の質問1で推奨したソリューション）は、安全なWebサービスを提供できますか？たとえば、WSS4J / SSLの代わりにKJGを使用することは可能でしょうか？

この2番目の質問は、安全なWebサービスの実装のために多くのSSOコードを再利用できるかどうかを確認するための私の試みです。正しい方向への入力または微調整を事前に感謝します。

ここに私の問題があります: java+kerberos を使用したクロスドメイン認証に関するドキュメントが見つかりません。他のレルムの遠隔 LDAP に対して認証する必要があります。Javaでどうやってそれを行うことができますか?

ありがとうございました

編集：

ここに私のkrb5.confがあります：

[libdefaults]

default_realm = REALM1

dns_lookup_realm = false

dns_lookup_kdc = false

転送可能 = true

[レルム]

レルム1 = {

kdc = kerberos.my.url.domain1:88

admin_server = kerberos.my.url.domain1:749

default_domain = .

}

レルム2 = {

kdc = kerberos.my.url.domain2:88

admin_server = kerberos.my.url.domain2:749

}

[ドメイン_レルム]

.my.url.domain1 = REALM1

.my.url.domain2 = REALM2

ドメイン1で実行すると、コマンドラインでクロスレルムが機能します

ldapsearch -H "ldap:/my.url.domain2"

だから私のkrb5.confは良いと思います

私のビジネスメソッドには多くのEJBがあります。これらのメソッドは、@ RolesAllowedアノテーションを使用して、ユーザーがこのメソッドを実行できるかどうかを確認します。

したがって、これらのEJBメソッドを呼び出すEJBスケジューラがあります。EJBスケジューラは匿名ユーザーで実行されるため、承認は失敗します。

他の役割でスケジューラを実行するにはどうすればよいですか？提案をテストするために、@ RunAs（ "SYSTEM"）アノテーションを使用して実行しますが、これが正しいかどうかはわかりません。

私のスケジューラークラス

私のEJBクラス

@Restrict を seam アプリケーションで使用したいと考えています。私のシナリオの 1 つに、一連のアクションが含まれています。すべてのアクションを制限する必要がありますか、それとも最初のアクションのみを制限する必要がありますか? 最初を除くすべてのアクションは、最初のアクションから呼び出されます。