使用客户机证书登录

配置使用客户机证书登录的功能时有两个选择。

使用 WebSphere Application Server 托管 Build Forge 时登录

关于此任务

使用 WebSphere Application Server 托管 Build Forge 时,您具有一个选项可用于进行某些修改。此选项需要 WebSphereSSOInterceptor,它包含 WebSphere 执行认证后认证的主体。

在以下过程中进行某些修改以使用此选项。

过程

  1. 保护 Build Forge WAR 文件,使 WebSphere Application Server 容器管理的认证将认证对 jas 的请求。 有关如何设置此保护的信息,请参阅使用定制拦截器与 WebSphere Application Server 安全性集成
  2. 配置 WebSphere Application Server 以支持用于 jas Web 应用程序的客户机证书认证映射。 通过配置以下项来设置此支持:
    • 用于客户机证书的 SSL
    • 用于客户机证书的 jas webapp
    • 用于客户机证书的 Web 服务器
    • 用于客户机证书的 LDAP 服务器映射

    有关配置可在配置 WebSphere Application Server 中进行指导的 WebSphere Portal 的客户机证书认证,请参阅 http://publib.boulder.ibm.com/infocenter/wpdoc/v6r0/index.jsp?topic=/com.ibm.wp.ent.doc/wpf/certauth.html。 请遵循步骤 1 至 3。该过程参阅在使用定制拦截器与 WebSphere Application Server 安全性集成中修改的 web.xml 文件。修改位于 ${WAS_INSTALL_ROOT}/profiles/${PROFILE_NAME}/installedApps/${CELL_NAME}/jas_war.ear/jas.war/WEB-INF/web.xml 中的文件。

根据定制的 Build Forge SSO 拦截器登录

关于此任务

此选项需要您添加定制的 SSO 拦截器,如关于单点登录框架中所述。

过程

  1. 请确保定制的 SSO 拦截器从以下请求的属性接收 X509 证书:
    X509Certificate[]
    certs = (X509Certificate[])request.getAttribute("javax.net.ssl.peer_certificates");
  2. 请确保定制的 SSO 拦截器将 Subject DN 的部分映射到 LDAP 属性中。通常,将常见名称 (CN) 从证书映射到 LDAP 目录的用户标识中。 在 Build Forge SSO 拦截器的 authenticateRequest 方法中返回结果。
    responseAttributes.setStatus(HttpServletResponse.SC_OK);
    principal = mapCert(certs);  /* 定制从证书映射
                                    到 Build Forge LDAP 主体的方法。*/
    result = new Result(Result.UseridOnlyOID, domain, principal); /* Specify 
                   the domain name of the LDAP server the principal exists in. */
    return result;

反馈