Repositorio de Liberty[8.5.5.6 o posterior]

Configuración de la capa de atributos CSIv2 de salida

Puede configurar un servidor de perfiles Liberty para realizar aserciones de identidad para las solicitudes CSIv2 de salida.

Acerca de esta tarea

La aserción de identidad está inhabilitada de forma predeterminada en la capa de atributos CSIv2 de salida para un servidor de perfiles Liberty. El servidor que actúa como cliente da soporte al envío de aserciones de identidad de nombre principal y anónimas a un servidor en sentido descendente después de habilitar la aserción de identidades con el atributo identityAssertionEnabled. También debe configurar el servidor en sentido ascendente y habilitar la aserción de identidades para que el cliente pueda certificar una identidad. Los atributos trustedIdentity y trustedPassword pueden utilizarse para especificar la identidad del cliente cuya confianza va a verificar el servidor en sentido descendente cuando el mecanismo de la capa de autenticación es GSSUP. El atributo trustedIdentity puede establecerse sin una trustedPassword si el mecanismo de autenticación en la capa de autenticación es LTPA.

Procedimiento

  1. Añada las características appSecurity-2.0 y ejbRemote-3.2 en el archivo server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    El ejemplo siguiente es la configuración predeterminada sin tener que especificarla en el archivo server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Opcional: si tiene que cambiar la capa del atributo predeterminado de salida, añada un elemento <orb> en el archivo server.xml tal como se indica a continuación o añada el elemento attributeLayer a uno existente. Sustituya los valores de ejemplo por sus valores.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    Nota: El valor de ID defaultOrb en el elemento <orb> viene predefinido y no se puede modificar.
  3. Especifique la identidad del servidor en sentido ascendente para la validación de confianza que realiza el servidor en sentido descendente. El valor de trustedIdentity que se ha especificado debe existir en el registro de usuario del servidor de destino.
    • Cuando utiliza el mecanismo GSSUP en la capa de autenticación, debe establecer los atributos trustedIdentity y trustedPassword cambiando los valores de ejemplo por la identidad y la contraseña del servidor en sentido ascendente que actúa como un cliente.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId" trustedPassword="yourTrustedIdPwd"/>

      Codifique la contraseña en la configuración. Puede obtener el valor codificado utilizando el mandato de codificación securityUtility.

    • Cuando utiliza el mecanismo LTPA en la capa de autenticación, debe establecer el atributo trustedIdentity cambiando el valor de ejemplo por la identidad del servidor en sentido ascendente que actúa como un cliente.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId"/>
    Notas:
    • Si se configuran LTPA y GSSUP en la capa de autenticación y el servidor en sentido descendente da soporte a LTPA, LTPA tiene prioridad sobre GSSUP.
    • Si se configuran LTPA y GSSUP en la capa de autenticación y el servidor en sentido descendente sólo da soporte a GSSUP, se utiliza GSSUP y deben especificarse los atributos trustedIdentity y trustedPassword.
    • El atributo trustedIdentity no es necesario si utiliza la cadena de certificados de transporte para identificar el servidor en el servidor en sentido descendente.
    • Al omitir una capa se utilizan los valores predeterminados para esa capa.
    Para obtener más información sobre los elementos authenticationLayer y transportLayer, consulte Configuración de la capa de autenticación CSIv2 de salida y Configuración de la capa de transporte CSIv2 de salida.

Resultados

La capa de atributos CSIv2 de salida está ahora configurada para la aserción de identidades.

Icono que indica el tipo de tema Tema de tarea

Términos y condiciones para centros de información | Comentarios


Icono de indicación de fecha y hora Última actualización: 15 de junio de 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_outboundattributes
Nombre de archivo:twlp_sec_outboundattributes.html