1

我有调用我的会话 Bean 的 JSP,我已经通过 JNDI InitialContext() 实现了它。会话 Bean 类具有一个已定义用户的 @RolesAllowed 注释。我想限制可以调用此 bean 方法的用户。

应用程序服务器通过联结连接到 TAM/WebSEAL。所以我可以看到经过身份验证的用户已经定义了“iv-user”、“iv-groups”、“iv-creds”http 请求标头值,未经身份验证 - 不要。但是后来我尝试调用任何我有安全异常的bean方法,比如尝试以未经身份验证的用户身份访问。此外,在 request.getUserPrincipal() 的响应中我没有看到 userPrincipal

如何将安全上下文从 WebSEAL / Tivoli Access Manager 传递到 EJB 并将其用于 JAAS 注释?

4

1 回答 1

0

我找到了一种解决方案:
1. 将 WebSphere 切换为使用独立 LDAP 注册表,将链接设置为受信任(实际上没有必要) 2. 在这些 JSP 应该获得安全上下文并传递给被调用方法之后,
在 WAS 和 WebSEAL 之间设置 LTPA 身份验证
.
3. 在目标 Web 应用程序中定义安全约束。

于 2011-10-20T16:03:18.327 回答