问题标签 [ltpa]

我们创建了一个自定义应用程序并将其作为单独的 WAR 部署在 IBM WebSphere Application Server 8.5 中。在自定义应用程序中，我们创建了一个类文件来检查是否设置了 Ltpatoken2。如果未设置，用户将重定向到自定义登录页面，否则他们将获得对应用程序的访问权限。我们还为 Process Portal Url 和自定义应用程序启用了单点登录。一旦单点登录成功并且用户重定向回 Process Portal，它就会生成 LtpaToken2 。如果用户重定向回自定义应用程序，那么尽管单点登录成功，但它不会生成 LtpaToken2。要在这种情况下设置 Ltpatoke2，用户必须再次访问 ProcessPortal URL，否则他们必须再次使用应用程序的正常登录页面登录应用程序。

流程门户 URL：https://dev.mydomain.com:31067/ProcessPortal/

自定义应用程序 URL：https://dev.mydomain.com:31067/MyApp/

单点登录： https://wsso。mydomain.com/SignOn.htm

火虫详细信息

流程门户

自定义应用程序

我想调用一个托管在 WAS 上的 REST 服务。我想知道如何在使用 SOAPUI 调用服务时在 HTTP 请求标头中设置 ltpa 令牌。

我可以在标头的 Cookie 字段中设置令牌吗？如果是这样，格式是什么？

我们已经在生产环境中使用 Kerberos 实现了单点登录 (SSO)。我们的应用程序的配置如下。操作系统：Solaris10 应用服务器：WebSphere7.0.0.11

父域 (MAIL.COM) 一切正常。但是来自子域（如 CO.MAIL.COM、BO.MAIL.COM..）的用户无法登录到应用程序。

我们还有带有子域详细信息的 Kerberos 配置文件。我的疑问是“需要在 WAS 控制台上进行哪些更改（领域相关、域相关等）”

非常感谢您提前..!!!

我有一些使用 LTPA 令牌进行单点登录的 Lotus domino 服务器。我也想为 cognos 服务器启用 SSO。

Cognos 是 domino 域的子域（例如 mylotus.com 和 cognos.mylotus.com）。Lotus 版本是 8.5.3，Cognos 版本是 10.2.1

我该怎么做？可能吗？

我正在完成我们的第一个 IBM MobileFirst 应用程序，但是从一开始我们就收到了来自 HTTP 适配器的关于无效 cookie 标头的警告。

确切的信息是：

[WARNING ] Invalid cookie header: "Set-Cookie: LtpaToken2=LuuZMW2JzaYtcAz2rtu5EBjKxg1obqeMXszGC5bTMGcJPcxFxO/v/l5BbKJIzZcLFF7mM1eGm+yViqy3ylxdjzdRgSpvSODGqWzZVNzOxQiBookc10mtu1RCAVxnyFTmsm9InXOwtkQV118xLHe1JeDrlcpKOvGoI/+JVG0dN/bXxbf6LqovbBbUHdCTuk7uJC3f3SOSujvde9ekgut+y2XO1PY3f1EaAFa8lHiVW2gY2Jyj+ry7FwCoVUBqUvydq+kJuhqvQiPOU94pq7knXbaZCBnH9QzcmnCRso4s8KWy58TGVo8UgU9q7OVdSt2P; Path=/; HttpOnly'

适配器仅向 Java 后端发出请求。这发生在从应用程序到适配器的每次调用中，即使适配器本身没有向后端发出请求。据我所知，我没有接触任何 cookie 或标头，我也不使用 LTPA。我目前正在使用 MobileFirst Platform 6.3。

我的问题是，当适配器在线时会发生这种情况，还是这只发生在我的本地开发计算机上？如果它仍然发生在服务器上，我真的很想解决这个问题，但无论我尝试什么，它都无法解决这个消息。

正如本网站所建议的，我需要将 cookiePolicy 放在 connectionPolicy 中。我尝试了该网站上列出的所有值，甚至是 BEST_MATCH，因为我最初认为这也是一个可能的值，但警告始终保持不变。

我能做些什么来删除这条消息或至少隐藏它，这样我就再也看不到它了。

一般问题。服务器管理员设置 SPNEGO。LTPA 项目符号标记在管理控制台中的全局安全下。我的理解是 SPNEGO 从初始登录（即网络）中捕获用户名。稍后，如果用户访问应用程序的 URL，发生的许多事情中很少有 SPNEGO 正在通过用户的 ldap 组（管理员控制台安全角色）试图找到与应用程序的角色名称相关联的组。如果找到匹配项，则用户授权并可以直接进入应用程序，而无需使用登录表单输入凭据。但是在尝试实现这一点时遇到问题。检查HttpServletRequest-getUserPrincipal().getName()并getRemoteUser()在应用程序的前端出现null。如果 SPNEGO 实际上设置正确，是否应该null找到一个？

我有一个带有自定义 JSF 登录 portlet 的 JSF portlet 应用程序，它使用portletservice/com.ibm.portal.portlet.service.login.LoginHome来登录用户，

成功登录后，我尝试以下代码：

它给了我，Subject:Principal: /UNAUTHENTICATED

但是，如果我使用门户登录原始 portlet 登录到门户，并测试相同的代码，它会给我Subject:Principal: defaultWIMFileBasedRealm/wpsadmin

谁能告诉我问题出在哪里，我是否需要任何额外的配置，我需要 Run-as 主题来传播生成的 LTPA 令牌。

更新1：

在我们的 Web 应用程序中，我们需要在成功登录后将身份验证令牌 (LtpaToken2 (websphere)、JSESSIONID(tomcat)) 存储在外部数据存储中。我希望在登录 HttpServletRequest 对象后检索令牌。

日志输出表明 cookie 和标头的数量不变。是否有另一种方法可以在登录完成的同一请求中检索身份验证令牌，最好独立于平台？我可能可以进行重定向并从下一个请求中读取令牌，但我担心这会带来一些额外的安全威胁。

我尝试使用 LoginContext 在 WAS Liberty 上进行老式登录：

代码成功并且用户通过了身份验证，但仅针对该特定请求。我发现没有设置 SSO Cookie (Ltpa)，所以我尝试手动设置它：

现在 SSO Cookie 已设置，但在下一个请求时会被删除/重置。

当我在 HttpServletRequest 上使用 login-Method 时，一切看起来都一样，但没有删除 cookie。

有谁知道如何使用用户注册表和 SSO Cookie 在 WAS Liberty 上进行编程登录？

最好的问候，比莉

我正在为使用 LTPA 密钥共享的两个 WAS 服务器之间的 CORS 和 SSO 配置而苦苦挣扎。

如果我在 server2 上没有身份验证（这意味着跨域 Ajax 调用有效），则从 server1（domain1）到 server2（domain2）的 CORS 调用工作正常，但如果我有，则不会。

上下文是：Web 客户端登录到 domain1，UI 的一部分需要显示来自服务器 2（domain2）的一些数据。服务器 1 和服务器 2 与同一领域共享同一 LTPA 密钥。这很好用，我可以使用从 domain1 获取的 webclient 中的 LtpaToken2 对 domain2 进行手动调用（例如使用 curl）。

问题是：当我从 Web 客户端进行 CORS 调用时，我使用 withCredentials 为 true，但 withCredentials 包含来自远程域的 cookie，当然我还没有 cookie，因为浏览器还不知道 domain2。我需要做的是在对 domain2 进行跨域 ajax 调用时包含来自本地域 (domain1) 的 LtpaToken2 cookie。这样我就可以通过身份验证了。但是由于 cookie 跨域策略，我被卡住了。

我在这里以错误的方式解决问题吗？您将如何处理：使用来自本地域的 LtapToken 对未知域进行 CORS 调用？

非常感谢您的帮助！