第四十八章 解决安全问题
本主题提供信息来帮助识别 IRIS 中 SOAP 安全问题的原因。
有关与安全无关的问题的信息,请参阅 IRIS 中的 SOAP 问题故障排除。
故障排除所需的信息
要解决 SOAP 问题,通常需要以下信息:
WSDL及其引用的所有外部文档。- (在出现与消息相关的问题的情况下)某种形式的消息记录或跟踪。有以下选择:
| Option | Usable with SSL/TLS? | Shows HTTP headers? | Comments |
|---|---|---|---|
| IRIS SOAP log | Yes | No | 对于安全错误,此日志显示的详细信息比 SOAP 故障中包含的更多。 |
| Web Gateway trace | Yes | Yes | 对于使用 MTOM(MIME 附件)的 SOAP 消息问题,查看 HTTP 标头至关重要。 |
| Third-party tracing tools | No | Depends on the tool | 一些跟踪工具还显示较低级别的详细信息,例如实际发送的数据包,这在进行故障排除时至关重要。 |
发生安全错误时要检查的项目
这 IRIS 中的 SOAP 问题故障排除中进行了讨论。
- 在极少数情况下,
SOAP客户端会使用 `HTTP 身份验证,请注意,可以启用身份验证的日志记录;请参阅提供登录凭据。
正确处理故障也非常有用,这样就可以收到最好的信息。请参阅 SOAP 故障处理。
如果入站消息验证失败或 IRIS 发出不支持的策略替代错误,则检查以下项目很有用:
- 当检索存储的
IRIS凭证集时,请确保正确输入其名称。 - 检索
IRIS凭证集后,检查对象的类型以确保它是%SYS.X509Credentials。 - 确保使用的是适当的证书。
如果使用它进行加密,则使用要向其发送消息的实体的证书。加密使用此证书的公钥。
如果使用它进行签名,则使用自己的证书,并使用关联的私钥进行签名。在这种情况下,请确保已加载私钥,并且已正确指定私钥文件的密码。
- 确保证书由
IRIS信任的证书颁发机构签名。 - 如果正在使用
WS-Policy,请务必编辑生成的配置类以指定要使用的IRIS凭证集。请参阅编辑生成的策略。 - 如果
Web服务需要<UsernameToken>,请确保IRIS Web客户端正在发送此令牌,并且其中包含正确的信息。IRIS无法自动指定要发送的<UsernameToken>;这必须在运行时完成。请参阅添加时间戳和用户名令牌。
确保 IRIS 支持 Web 服务或客户端所需的至少一种安全策略。请参阅 SOAP 安全标准。
- 如果身份验证失败,则在 <UsernameToken> 中识别用户,并检查该用户所属的角色。