Liberty-Repository[8.5.5.6 oder höher]

Attributebene für eingehende CSIv2-Anforderungen konfigurieren

Sie können einen Liberty Profile-Server so konfigurieren, dass er Unterstützung für die Identitätszusicherung für eingehende CSIv2-Anforderungen anfordert.

Informationen zu diesem Vorgang

Die Attributebene für eingehende CSIv2-Anforderungen für einen Liberty Profile-Server hat eine Identitätszusicherung, die standardmäßig inaktiviert ist. Der Server unterstützt Identitätszusicherungen auf der Basis von Principalnamen und anonymen Identitäten über einen Upstream-Server, der als Client agiert, nachdem die Identitätszusicherung über das Attribut identityAssertionEnabled aktiviert wurde. Das Attribut trustedIdentities kann verwendet werden, um die Identität der anerkannten Upstream-Server anzugeben, die diesem Server eine Identität zusichern können.
Vorsicht:
Stellen Sie sicher, dass nur vertrauenswürdige Entitäten mit dem Server kommunizieren, wenn eine angenommene Vertrauensbeziehung festgelegt wird.

Vorgehensweise

  1. Fügen Sie die Features appSecurity-2.0 und ejbRemote-3.2 der Datei server.xml hinzu.
        <featureManager> 
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    Das folgende Beispiel ist die Standardkonfiguration ohne Angabe in der Datei server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Optional: Wenn Sie die Standardkonfiguration der Attributebene für eingehende Anforderungen ändern müssen, fügen Sie der Datei server.xml wie folgt ein <orb>-Element hinzu oder fügen Sie das attributeLayer-Element einem vorhandenen Element hinzu. Ersetzen Sie die Werte im Beispiel durch Ihre eigenen Werte.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </serverPolicy.csiv2>
        </orb>
    Anmerkung: Der ID-Wert defaultOrb im <orb>-Element ist vordefiniert und kann nicht geändert werden.
  3. Legen Sie das Attribut trustedIdentities fest, indem Sie die Beispielwerte durch die Werte für die anerkannte Identität (trustedIdentity) der einzelnen Upstream-Server ersetzen. Das Pipezeichen (|) muss verwendet werden, um die Werte voneinander zu trennen, wenn mehrere zusichernde Clients angegeben werden.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="yourAssertingUpstreamServer|anotherAssertingUpstreamServer"/>
  4. Alternative: Anstatt einen namentlich genannten Wert für das Attribut trustedIdentities in Schritt 2 festzulegen, können Sie für das Element trustedIdentities das Sternzeichen (*) angeben, um anzuzeigen, dass der Server eine angenommene Vertrauensbeziehung unterstützt. Mit dem Konzept der angenommenen Vertrauensbeziehung kann jeder Upstream-Server eine Identität zusichern und muss nur verwendet werden, wenn die Upstream-Server auf eine Gruppe anerkannter Server begrenzt werden können. Verwenden Sie diesen Wert deswegen mit Vorsicht.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="*"/>
  5. Wenn ein Upstream-Server, der eine Zertifikatskette sendet, anerkannt wird, fügen Sie den definierten Ausstellernamen der Zertifikatskette dem Attribut trustedIdentities hinzu. Beispiel:
        <attributeLayer identityAssertionEnabled="true" trustedIdentities="CN=localhost,O=ibm,C=us"/>
    Anmerkung: Die Identität des Upstream-Servers wird über die Sicherheitsinformationen abgerufen, die der Server auf der Authentifizierungs- oder Transportebene gesendet hat. Die Identität der Authentifizierungsebene hat Vorrang vor der Transportidentität und die Transportidentität wird verwendet, wenn keine Sicherheitsinformationen auf der Authentifizierungsebene gesendet werden. Eine Beispielsyntax und weitere Informationen zu den Elementen authenticationLayer und transportLayer finden Sie in den Abschnitten Authentifizierungsebene für eingehende CSIv2-Anforderungen konfigurieren und Transportebene für eingehende CSIv2-Anforderungen konfigurieren.
    Wenn Sie für eine Ebene keine Werte angeben, werden die Standardwerte für diese Ebene verwendet.

Ergebnisse

Die Attributebene für eingehende CSIv2-Anforderungen ist jetzt für die Identitätszusicherung konfiguriert.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_inboundattributes
Dateiname: twlp_sec_inboundattributes.html