问题标签 [ltpa]

我正在开发集成项目，而不是基于 Web 的项目，部署在版本 7.0.0.39 的 WebSphere Application Server 上。由于我没有从事网络项目，因此我无法ibm_security_logout用于注销（使 ltpa 令牌无效）。因此，任何人都可以建议任何其他方式来使 ltpa 令牌无效或删除。我正在开发 Servlet 2.5 版和 Java 1.6 版。

我最近为 WebSphere 应用程序实现了 LTPA (LDAP) 身份验证。此后，我在尝试对不同域上的端点进行 Web 服务调用时看到以下错误：

该错误是间歇性的，迄今为止我还无法可靠地重现它。在线记录了类似的问题，但这些问题似乎提供了有关给定错误的更多信息 - 我一直无法找到有关此特定错误的任何信息。

谁能建议这里可能存在什么问题？

在 WebSphere 8 下运行我有一个调用 SOAP Web 服务的 EJB（使用 JAX-WS 生成的客户端代码）。对 Web 服务的认证是通过 LTPA 令牌完成的。当前，Websphere 被配置为（使用策略集和绑定）自动创建 LTPA 令牌。此令牌包含来自 EJB 正在运行的上下文的用户凭据。

但是，我需要将当前用户映射到其他用户以用于 Web 服务调用。（即用户a打电话给我，我需要使用用户x来调用Web服务。用户b打电话给我，我需要使用用户y等）

有没有办法为 LTPA 令牌动态设置凭证？如果不是，我是否可以使用策略集绑定来为 LTPA 令牌设置静态用户，而与当前上下文无关？

是否有任何实用程序可用于为 WebSphere Liberty Profile 生成 LTPA 令牌密钥。每当我们启动自由服务器时，我都知道 Liberty 会自行生成令牌。

我还发现了一个实用程序，它可以帮助生成基于 Domino 的 LTPA。但它不适用于 WebSphere，因为我们没有服务器密码。

我的要求是在外部生成密钥。任何帮助在这里表示赞赏。

如何从 IBM Bluemix 云获取3DESKey和LTPA 密码？我需要它来解码来自LtpaToken2 cookie 的用户信息。在 Websphere 中，我可以从应用程序服务器密钥文件中获取它。有财产com.ibm.websphere.ltpa.3DESKey。IBM Bluemix 云上是否有任何类似的属性？

我能否从 WebSphere Application Server 8.0.x 导出 LTPA 密钥文件，然后将该文件导入 Liberty Profile Server 并使用 SSO 功能？(16.0.0.3)

我试过了，它似乎不起作用。我得到一个登录屏幕，而不是自动登录。

在 server.xml 中完成以下配置：

我正在开发新的 Platform MFP8，我想在混合应用程序中实现 LTPA 身份验证。在网上搜索，我发现了 LTPA ChallengeHandler 的 Swift 实现（https://github.com/mfpdev/ldap-and-ltpa-sample/tree/master/LTPABasedSample）。但是，如果我尝试在 JS challengeHandler 中复制相同的行为，它就不起作用。在我的 challengeHandler 实现下面：

当我提交对plain-war 应用程序的请求时，LTPASecurityCheck 的授权方法中的主体结果为空。相反，如果我执行 iOS 示例应用程序，则会对主体进行评估并进行身份验证。

你有什么想法来解决这种奇怪的行为吗？

非常感谢，斯特凡诺

我正在使用 LTPA 令牌在 IBM ISAM 和 LIberty 配置文件之间构建 SSO，ISAM 配置了 LDAP 身份验证，并且我已将相同的 LDAP 用户添加到 liberty server.xml 基本注册表中。现在，在 ISAM 身份验证之后，我无法看到我的自由，我在自由日志中看到以下错误。

堆栈跟踪 Stack Dump = com.ibm.ws.security.registry.EntryNotFoundException: cn=f4a3e7df53e9caf8dfd3,o=xxx,c=us,dc=xxx,dc=com 在com.ibm.ws.security.registry中不存在。 basic.internal.BasicRegistry.getUserSecurityName(BasicRegistry.java:506) 在 com.ibm.ws.security.authentication.jaas.modules.TokenLoginModule.setUpTemporaryUserSubject(TokenLoginModule.java:130) 在 com.ibm.ws.security.authentication。 jaas.modules.TokenLoginModule.login(TokenLoginModule.java:76) 在 com.ibm.ws.kernel.boot.security.LoginModuleProxy.login(LoginModuleProxy.java:53) 在

配置详情

1. 在自由 ltpa.keys 中，领域是“com.ibm.websphere.ltpa.Realm=BasicRealm”，这就是上述连接中使用的内容。

2. 在 server.xml 中

   basicRegistry id="basic" realm="BasicRealm" 用户名="loginID=user@mail.com,cn=f4a3e7df53e9caf8dfd3,o=xxx,c=xx,dc=xxx,dc=com" password="qazwsx1234"

   basicRegistry webApplication contextRoot="my-demo" id="MyDemo" location="MyDemo.war" name="MyDemo" application-bnd security-role name="LDAPUsersRole" group name="LDAPgroupUsers" security-role application-bnd webApplication

我觉得 ltpa2token 传递给了自由，我可以从下面的日志中看到它，所以它一定是我在 server.xml 中提到的 basicRegistry 中配置用户模式的方式出现了一些问题......有什么线索吗？

对象类型 = com.ibm.ws.security.authentication.jaas.modules.TokenLoginModule tc = class com.ibm.websphere.ras.TraceComponent@8f59a5c2 strings[0] = "TraceComponent[com.ibm.ws.security.authentication. jaas.modules.TokenLoginModule,类 com.ibm.ws.security.authentication.jaas.modules.TokenLoginModule,[Authentication],com.ibm.ws.security.authentication.internal.resources.AuthenticationMessages,null]" accessId = "user :BasicRealm/cn=f4a3e7df53e9caf8dfd3,o=xxx,c=us,dc=xxx,dc=com" recreatedToken = class com.ibm.ws.security.token.ltpa.internal.LTPAToken2@255023a9 tc = class com.ibm。 websphere.ras.TraceComponent@cb94b8a1

我必须将基于 SOAP 的 SOAP 转换为 RESTFul 应用程序。我们使用 IBM websphere 和 LTPA 令牌进行身份验证。我对此有两个想法。

1. 手动转换为 restful 应用程序。（不确定如何将 LTPA 集成到其中）
2. 提供一个代理，以便一个安静的应用程序调用soap并获取响应。（我想我不必担心这里的 LTPA）

我正在寻找的是最终用户的易用性，这样他们就不必构建整个 xml。

我从一篇不错的博客文章中了解了 SSO 原理的基本知识，请访问https://auth0.com/blog/what-is-and-how-does-single-sign-on-work/#

我认为要实现 SSO，我们使用一个中心域（例如 LDAP 或其他身份验证服务器）进行身份验证，它可以生成令牌并存储为 cookie 或仅存储在浏览器的存储中。

下次我们访问另一个域中的应用程序时，它会重定向到 Auth Server 并可以使用我们之前存储的令牌，然后我们可以获得一个新的 cookie，其中包含我们要访问的域的令牌。

通过这种方式，我认为 SSO 是使用一个中央 Auth Server 作为第三个托管服务器，或者我们可以称它为委托服务器，为不同的域生成不同的 cookie，这样我们就解决了 Single Origin Policy(cookie 只能是由其创建者访问，不能跨域）。

如果这就是 SSO 的工作方式，那么我对 IBM LTPA 感到困惑。我正在使用 WAS，并且从指南中，如果我想实现 SSO，我需要从第一台服务器获取一个 LTPA 密钥，并将其复制到我想要创建 SSO 功能的每台服务器。LTPA 密钥包括一个公钥和一个私钥，用于解密由 WAS 生成的 LTPA 令牌。

因此，如果我使用 LDAP 作为身份验证服务器，首先我在域 1 上访问我的应用程序，我的请求将被重定向到登录页面并在 LDAP 中进行身份验证后（这里我认为 LDAP 不会生成令牌），WAS 将生成一个带有 LTPA 令牌的 cookie，但是当我们想要访问域 2 中的应用程序时（该域中的 WAS 已经获得了 LTPA 密钥），我们的 LTPA 令牌可以被解密并且我们得到了我们的 userId（或者某些字段可以识别用户)，然后我们再次去我们的 LDAP Auth 服务器验证这个 userId...

我不知道我的理解是否正确，但我认为这不能称为“SSO”。因为，首先，我们得到的token是WAS生成的，而不是LDAP，所以我们得到的只是一个userId，当我们解密这个token时，我们需要在LDAP中再次验证这个用户。其次，我们用来使 SSO 工作的方法是提供一个带有 LTPA 令牌的 cookie，但是 cookie 不能跨域发送......所以如果域 1 和域 2 不是同一个 Realm，这不可能发生......因为我们无法获取域 2 中的 cookie...

我几乎要疯了...

谁能告诉我 LTPA 如何通过使用 LTPA 密钥准确地作为 SSO 机制工作......

太感谢了！