WASとLiberty間のSSOのキーファイルのエクスポートとインポート

Question

WebSphere Application Server 8.0.xからLTPAキーファイルをエクスポートし、そのファイルをLiberty Profile ServerにインポートしてSSO機能を使用できますか？ （16.0.0.3）

私は試してみるとうまくいかないようです。自動的にログインするのではなく、ログイン画面が表示されます。

次のような構成は、server.xmlで行われます

... 
<ltpa keysFileName="${server.output.dir}/ltpakeyexport.keys" keysPassword="ltpatest" expiration="400" /> 
<webAppSecurity ssoCookieName="ltpav2" ssoDomainNames="myintranet.net"/> 

<basicRegistry id="basic" ignoreCaseForAuthentication="true" realm="realmNameFromWAS"> 
... 

Answer 1

LTPAキーがWebSphere Application Serverコンソールからエクスポートすることができます。グローバルセキュリティ> LTPA - >クロスセルシングルサインオン

LTPAキーをエクスポートするためのパスワードとファイル名を指定します。

これらのLTPAキーは、エクスポート中に上記で指定したのと同じパスワードを使用してLiberty Profile Serverで使用できます。

WebSphere Application ServerとLibertyプロファイルの間でシングル・サインオン（SSO）を使用する場合は、両方でユーザー・レジストリー（LDAP）の「レルム名」も同じであることを確認する必要があります。レルムプロファイルには、ldapRegistry定義でrealm = "MyRealm"を指定することで、レルム名を指定できます。

Answer 2

うーん、私はトレース可能にすることによって、問題をダウン追跡することができました：

<logging traceSpecification="com.ibm.ws.security.*=all:com.ibm.ws.webcontainer.security.*=all"/> 

私は、次のexeptionた：だから

com.ibm.ws.security.registry.EntryNotFoundException: uid=KARSTEN,type=Person,scope=LTPA does not exist 
at com.ibm.ws.security.registry.basic.internal.BasicRegistry.getUserSecurityName(BasicRegistry.java:506) 

を、ユーザーは自動的に「ユーザIDため、認証できませんuid = KARSTEN、type = Person、scope = LTPA "は存在しません。それは本当です、ユーザー "KARSTEN"だけが存在します。私は基本的なレジストリにこのユーザーを作成するときに使用されるパターン

java.util.regex.Matcher[pattern=([^:]+):(\QMyRealm\E)/(.*) region=0,49 lastmatch=user:MyRealm/uid=KARSTEN,type=Person,scope=LTPA] 

は、ユーザIDが、等「タイプ=人」

を含む文字列全体と一致しないためだけでなく、正規表現のマッチング問題があるように思われます：

<basicRegistry id="basic" ... > 
... 
<user name="uid=KARSTEN,type=Person,scope=LTPA" password="test" /> 
... 
</basicregistry> 

すべてが期待どおりに機能します。

WLPのバグ（または、私たちのWebSphere 8.0.x SSOインフラストラクチャはユーザーに標準ではない識別子を提供します）と思われます。

（com.ibm.ws.security.AccessIdUtil.setSecurityService（）で指定された（パターン：38〜））