問題タブ [ltpa]

ISAM と MobileFirst 6.3 の間の LTPA トークン ベース認証のセットアップは次のとおりです。 ISAM アプライアンスはログイン ページをホストし、MobileFirst 6.3 サーバーからの ltpa.keys を使用して LTPA トークンを生成します。ISAM は LDAP にも接続してユーザーを認証し、最終的に生成された ltpaToken2 Cookie を含む要求を MobileFirst 6.3 サーバーに転送します。次のauthenticationConfig.xmlを構成しました

Server.xml には以下が含まれます。

次の例外をスローしています。私の理解によれば、要求で ltpaToke2 が提供されている場合、デフォルトのログイン・ハンドラーは MobileFirst で問題なく動作するはずです。ここで何が欠けているのかわかりません。

==> trace.log <== [7/22/15 20:28:03:229 UTC] 000000eb id= com.worklight.core.auth.ext.WebSphereFormBasedAuthenticator I processRequest FWLSE0055I: 認識されません。[プロジェクト ワークライト] [7/22/15 20:28:03:230 UTC] 000000eb id=
com.worklight.core.auth.ext.WebSphereFormBasedAuthenticator 1 processRequest 処理要求が認識されません [プロジェクト ワークライト] [7/22/15 20 :28:03:230 UTC] 000000eb id=
com.worklight.core.auth.ext.WebSphereFormBasedAuthenticator < processRequest RETURN

I have set up the SSO between 2 WAS cells and its being verified. LDAP is being configured in both WAS cells. My question is how to generate the LTPA token which contains the mail or the employee id in it ? In my case the LTPA token generated contains the employee id of the user and I am expecting email id of the user in the LTPA token at receiving end. Is there any setting on WAS console which allows me to set the email id of the user in generated LTPA token ? I have WAS server version 8.5.

WebSphere 7.0.0.29 を使用していますが、SPNEGO 認証に問題があります。WAS は 2 番目の応答で HTTP コード401を返し、ログオンに失敗します。

これは、(私の推測では) クライアントからの LTPA トークン (LtpaToken2) を解析できないためです。ArrayIndexOutOfBoundsExceptionLtpaToken2 で Cookie を Base64 デコードしながらスローします。2 番目のクライアント リクエストの Cookie 内のこの LtpaToken2 は、最初のサーバー レスポンス（Set-Cookie）のトークンと同じです（ご覧のとおり）。したがって、すべて問題ないはずですが、残念ながらそうではありません:/

私の2番目の同様の環境（同じバージョンのWASと同じ構成）では、すべて問題ありませんが、別のドメインにあるため、別のドメインコントローラーです。

これらの環境でクライアントとサーバー間の通信の違いを比較するのは退屈ですが、動作していない環境では、LtpaToken2 が動作している環境よりも短い(!) ことに気付きました (http_access.log で確認できます)。LtpaToken も短いです。しかし、理由はわかりません。

多分それは原因をエンコードしていますか？または別の KDC 構成...?

私のクライアントは Java Web Start 1.7.0_60-b19 です。

WebSphere ログの断片を貼り付けています。他に役立つことがあれば、お知らせください。

AppSrv01/logs/ffdc/server1_6150615_15.08.06_16.17.48.8658543509569228235853.txt:

http_access.log (アドレスを変更しました):

動作中の WAS からの http_access.log の例:

trace.log (個人データと重要ではない行を切り取りました):

ログインする前に、セキュリティ制約ディレクトリの外部にアクセスできます。セキュリティ制約ディレクトリ内の場所に移動しようとすると、フォーム ログイン ページにリダイレクトされます。ご想像のとおり。

ログインしたら、自分の仕事に取り掛かり、セキュリティ制約の外側と内側の両方でリソースにアクセスできます。

しかし、LTPA トークンの有効期限が切れた (まだアクティブなセッションがある) ときに、制限のないページに移動しようとすると、たとえばログイン ページにリダイレクトされると、タイトルにエラーが表示されます。

1. 私のセッションのように LTPA トークンが期限切れにならないようにすることはできますか? 2. LTPA トークンが失効するときに、セッションを失効させることはできますか? 3. 制限のないページに匿名でアクセスできないのはなぜですか? LTPA トークンの有効期限が切れていることを明確に認識しており、ログインにリダイレクトしようとしています。その時点で失敗します。

OK、だからフィルターでどこかに行きました。フィルタは、ログインしていない人をログイン ページにリダイレクトします。しかし、やはり問題は、ltpa トークンの有効期限が切れるとすぐに、この行が((HttpServletRequest) request).getSession(false)タイトルに例外をスローして失敗することUnauthorizedSessionRequestExceptionです。ご覧のとおり、そのエラーをキャッチしてログアウトしようとしました。おっと、別のUnauthorizedSessionRequestException. では、セッションを使用しないようにするにはどうすればよいですか?

プロジェクトの 1 つで、クライアントがプロジェクトの LTPA タイムアウトを延長するように要求します。サーバー レベルで LTPA タイムアウトを延長することはできません。サーバー（WAS 7）にはより多くのプロジェクトがあるためです。

だから私はググって、IBMサイトで解決策を得ました。

それは言います、

午前 11 時 57 分以降に送信された作業項目には、cacheCushionMax よりも小さい LTPA タイムアウトが残っており、LTPA タイムアウトが更新されます。

2分ごとにLTPAトークンを更新するために、アプリケーションから繰り返し呼び出しを試みました。ただし、アプリケーションは時間切れになるとログアウトされます。これを修正する方法。

また、WAS で CacheCushionMax と CacheCusionMin を明示的に設定してみました。それは動作しません。

あなたの提案をしてください。

IBM 提案のスクリーンショット

IBM 提案リンク: http://www-01.ibm.com/support/docview.wss?uid=swg21320747

認証後に datapower で LTPA トークンを生成しています。

このトークンをさらに処理するために保存したい (別の要求に対して検証するため)

このトークンを datapower に保存/キャッシュするにはどうすればよいですか?