文章
· 十月 15 阅读大约需 2 分钟

第四十八章 解决安全问题

第四十八章 解决安全问题

本主题提供信息来帮助识别 IRISSOAP 安全问题的原因。

有关与安全无关的问题的信息,请参阅 IRIS 中的 SOAP 问题故障排除。

故障排除所需的信息

要解决 SOAP 问题,通常需要以下信息:

  • WSDL 及其引用的所有外部文档。
  • (在出现与消息相关的问题的情况下)某种形式的消息记录或跟踪。有以下选择:
Option Usable with SSL/TLS? Shows HTTP headers? Comments
IRIS SOAP log Yes No 对于安全错误,此日志显示的详细信息比 SOAP 故障中包含的更多。
Web Gateway trace Yes Yes 对于使用 MTOM(MIME 附件)的 SOAP 消息问题,查看 HTTP 标头至关重要。
Third-party tracing tools No Depends on the tool 一些跟踪工具还显示较低级别的详细信息,例如实际发送的数据包,这在进行故障排除时至关重要。

发生安全错误时要检查的项目

IRIS 中的 SOAP 问题故障排除中进行了讨论。

  • 在极少数情况下, SOAP 客户端会使用 `HTTP 身份验证,请注意,可以启用身份验证的日志记录;请参阅提供登录凭据。

正确处理故障也非常有用,这样就可以收到最好的信息。请参阅 SOAP 故障处理。

如果入站消息验证失败或 IRIS 发出不支持的策略替代错误,则检查以下项目很有用:

  • 当检索存储的 IRIS 凭证集时,请确保正确输入其名称。
  • 检索 IRIS 凭证集后,检查对象的类型以确保它是 %SYS.X509Credentials
  • 确保使用的是适当的证书。

如果使用它进行加密,则使用要向其发送消息的实体的证书。加密使用此证书的公钥。

如果使用它进行签名,则使用自己的证书,并使用关联的私钥进行签名。在这种情况下,请确保已加载私钥,并且已正确指定私钥文件的密码。

  • 确保证书由 IRIS 信任的证书颁发机构签名。
  • 如果正在使用 WS-Policy,请务必编辑生成的配置类以指定要使用的 IRIS 凭证集。请参阅编辑生成的策略。
  • 如果 Web 服务需要 <UsernameToken>,请确保 IRIS Web 客户端正在发送此令牌,并且其中包含正确的信息。 IRIS 无法自动指定要发送的 <UsernameToken> ;这必须在运行时完成。请参阅添加时间戳和用户名令牌。

确保 IRIS 支持 Web 服务或客户端所需的至少一种安全策略。请参阅 SOAP 安全标准。
- 如果身份验证失败,则在 <UsernameToken> 中识别用户,并检查该用户所属的角色。

讨论 (0)1
登录或注册以继续