問題タブ [ltpa]

次の設定を検討してください。

• Websphere Application ServerにデプロイされたWebアプリケーション（重要な場合は6.1）
• アプリは、Webシールリバースプロキシを介してアクセスされます
• Webシールが認証を処理し、有効な認証のサインとしてLTPAトークンを渡します

正しければ、LTPAトークンにはユーザー名や役割などの情報が含まれています。

質問：Java WebアプリケーションのLTPAトークンからこの情報にアクセスするにはどうすればよいですか？

LTPA をサポートしていない WebSphere 環境にサーバーを統合する必要があります。Cosmin StejereanによるWorking with Lightweight Third Party Authentication (LTPA)と、LTPA トークン内の情報をデコードするための対応するコードを見つけました。ただし、デジタル署名とその生成/検証方法を説明するコードはありません。カスタム コードで LTPA トークンを生成する方法に関する情報はありますか?

WebSphereでアプリケーションからログアウトして再度オンにすると、LTPAトークンは変更されません。セッショントークンは予測できないはずなので、変わると思いました。

WebSphere から Tomcat への移行を検討しています。WebSphere では、LTPAを使用して、(異なる物理サーバーで実行されている) 異なるアプリケーション間のシングル サインオンを実現します。

Tomcat で 2 つの物理マシン間でシングル サインオンを取得する最良の方法は何ですか?

パスワードが正しくない場合、WebSphere 7 で LTPA 基本認証を使用すると、次のように例外がスローされます。

com.ibm.ws.wim.adapter.file.was.FileAdapter.login(FileAdapter.java:2009) com.ibm.ws.wim.ProfileManager.loginImpl(ProfileManager.java:3338) com.ibm.ws com.ibm.ws.wim.ProfileManager.login(ProfileManager.java:374) の .wim.ProfileManager.genericProfileManagerMethod(ProfileManager.java:270)

これは、フォームベースではなく、デプロイメント記述子 (web.xml) で基本認証が有効になっている場合です。
質問: この例外をキャッチする方法はありますか? これは、リクエストがサーブレットに到達する前にスローされます。

読んでくれてありがとう。

ブラウザーとWebSphereでホストされているWebアプリケーションとの間のトラフィックにsitParosを配置すると、HTTP要求のCookieセクションの一部として2つのセッションIDが渡されます。

JSESSIONID。私が知る限り、これはあなたのHTTPSessionIDです。LTPA2トークン。これは、Websphereに関する限り、「シングルサインオン」セッションです。

現在、IBMは、ユーザーがサインアウトしているときに、単一のホスト型アプリケーションがLTPA2トークンを無効にすることはできないと言っています。この背後にある考え方は、これがSSO識別子であるため、複数のアプリケーションで使用することを目的としているため、単一のアプリケーションで無効にできないようにする必要があるということです。WASには、「この環境は1つのアプリケーションのみをホストするため、アプリがLTPA2トークンを無効にできる」と宣言する構成はありません。

心配なのは、これらのLTPA2セッションが構成可能な時間だけハングすることです。したがって、別のユーザーがユーザーのLTPA2トークンのハンドルを取得した場合、そのユーザーはそれを使用してそのユーザーのセッションにアクセスし、機密データにアクセスできます。

中間者攻撃がセッション値をキャプチャするのを防ぐには、SSLを介してCookieの送信を強制し、Cookieに対してのみHTTPを指定します。ただし、ローカルマシンのハードドライブでCookieが利用できるのではないかと心配しています。ブラウザはそれをどこかに保存する必要があるので、それにアクセスする方法が必要ですか？

私の質問は、誰かがハードドライブからこのようなLTPA2値を取得することは可能ですか？誰かが図書館に座って、オンラインバンキングにサインインし、作業を行ってからログアウトするとします。次のユーザーがどういうわけかLTPA2トークンを取得することは可能ですか？

FireFox 4とIE8がCookieを保存すると思ったディレクトリを検索しようとしましたが、値とパターンマッチングできませんでした。私の直感は、特定のブラウザでこのデータを見つけることができるかもしれないということですか？

JAX-WS を使用して WPS の HumanTask API を使用するフロントエンド Web アプリケーションを構築したいと考えています。この Web アプリケーションは、特定のユーザーの現在のタスクを照会したり、他のユーザーが以前に要求していないタスクを要求したり、タスクを完了したりできる必要があります。この Web アプリケーションは、HumanTask サービスを提供するセルとは異なるセルの WAS 7.0 にデプロイされます (現在、別の WPS インスタンスを WAS として使用していますが、最終的には WPS 機能のない単純な WAS になります)。以下の手順で LTPA 生成鍵を同期しました。

1. 1 つのセルにログインする
2. [セキュリティ] > [グローバル セキュリティ] に移動します。「認証」の下にある「LTPA」をクリックします。
3. 「クロスセル シングル サインオン」の下
   1. パスワードを設定する
   2. パスワードを確認する
   3. LTPA キーがエクスポートされるファイル名を入力します
   4. 「キーのエクスポート」をクリックします
4. ログアウト
5. 生成されたファイルを他のサーバーにコピーします
6. 他のセルにログインする
7. [セキュリティ] > [グローバル セキュリティ] に移動します。「認証」の下にある「LTPA」をクリックします。
8. 「クロスセル シングル サインオン」の下
   1. 以前のパスワードを入力
   2. パスワードを認証する
   3. エクスポートされた LTPA キーを含むファイル名を入力します
   4. 「キーのインポート」をクリックします
9. サーバーを再起動する

シンプルな UI と、HumanTask JAX-WS サービスを使用する Web サービス クライアントを備えた概念実証として、GWT を使用したシンプルな Web アプリケーションを開発しました。この Web アプリケーションは、Siteminder オーセンティケーターの背後で保護されています (最初に Web アプリケーションに入るとき、Siteminder エージェントは資格情報を要求する Web フォームにリダイレクトします)。Web サービス クライアントは JAX-WS 標準に従って開発されました。追加の依存関係は追加されていません。WebSphere JAX-WS 実装 (Apache Axis2) に依存しています。展開したら、運が悪かった2つのシナリオをテストしました。

シナリオ A :

• デフォルトでは、WPS の HumanTask サービス プロバイダーはポリシー セット「BPC Web サービス」に関連付けられており、デフォルトのポリシー セットのバインドとポリシー セットの共有は無効になっています。
• サービス プロバイダーと同じポリシー セットを使用するように、HumanTask サービス クライアントを構成します。

• カスタム Web アプリケーションにログインします。現在のタスクを照会しようとすると、次の例外が発生します。

  /li>

サービス プロバイダー側​​にエラー メッセージはありません。

シナリオ B :

• WPS の HumanTask サービス プロバイダーの設定を変更して、HTTP GET によるポリシー セットの共有を有効にします。このようにして、サービス プロバイダーの WSDL にポリシー セットに関する情報が含まれます。
• HTTP GET を使用してプロバイダーからポリシー セットを取得するように、サービス クライアントでポリシー セットの構成を変更します。

• カスタム Web アプリケーションにログインします。現在のタスクを照会しようとすると、次の例外が発生します。

  /li>

前の例外が報告されるポイントに到達する前に、サービス クライアント ログに次の警告が表示されます。

サービス プロバイダーのログに、次のエラーが表示されます。

そして、一連の FFDC が生成され、サービス クライアント側で発生したのと同じ例外が報告されます。

私たちを助けることができる人は素晴らしいでしょう！

私は j2ee セキュリティーを使用する j2ee Web アプリケーションを持っているので、ユーザーの ID は WebSEAL からアプリケーションに伝搬され、WAS7 で実行されます。私は今、SOAP Web サービス呼び出しを行い、その Web サービス呼び出しでユーザー ID を伝達しようとしています。これを行うには、WSSubject 呼び出しを使用して LTPA (WSCredential) と LPTA2 (SingleSignOnToken) を取得し、それらを webservices 呼び出しにアタッチします。

ここで、bp は私の BindingProvider です。これですべてうまくいくはずです。しかし、Web サービス呼び出しを行うと、この例外が返されます。

LTPA トークン内のフィールドを調べたところ、すべてが正しいように見えます (トークンと呼び出している j2ee セキュリティ レルム Web サービスの間のレルムが同じである、トークンが転送可能であるなど)。 (無関係と思われる) EJB に渡そうとするケースと、レルムが一致しないケースが 1 つあります。

何か案は？ありがとう。

Websphere サーバー 7.x で JSF richfaces 3.3 を使用しています。

問題は、ユーザーがブラウザー ウィンドウを使用してアプリケーションにログインし、それを LTPA トークンのタイムアウト時間より長く開いたままにしておくと、LTPA トークンの有効期限の例外が発生することです。その後、ページは構成された「ログアウト」ページにリダイレクトされません。しかし、ログイン ページにリダイレクトされ、ログインに成功すると、奇妙な xml ページが表示されます。認証の詳細が存在しないため、JSF リソースにアクセスしようとすると LTPA トークンがタイムアウトし、ページがログイン ページにリダイレクトされるため、これが発生していることを理解しています。次に、適切なセッションが存在しないため、Faces コンテキストがまだ前のセッションの JSF ツリーにアクセスしようとしているため、この例外が発生しています。

質問は次のとおりです: JSF richfaces3.3 で LTPA トークンのタイムアウトのこのシナリオを処理するにはどうすればよいですか?

PS: Web セッションの有効期限が切れると、ページが「ログアウト」ページにリダイレクトされます。