
![[8.5.5.6 或更新版本]](../ng_v8556.gif)
配置出埠 CSIv2 鑑別層
您可以配置 Liberty 設定檔伺服器,以便將特定鑑別機制用於出埠 CSIv2 要求。
關於這項作業
依預設,已針對 Liberty 設定檔伺服器的出埠 CSIv2 鑑別層,啟用 LTPA 和 GSSUP 鑑別機制支援。依預設,鑑別層的 establishTrustInClient 關聯選項會設為 Supported,以指出支援並可選擇使用指定的鑑別機制。
當使用 LTPA 機制時,請確定通訊端 Liberty 設定檔伺服器與其他伺服器共用相同的 LTPA 金鑰。
程序
- 在 server.xml 檔中新增 appSecurity-2.0 和 ejbRemote-3.2 特性。
<featureManager> <feature>appSecurity-2.0</feature> <feature>ejbRemote-3.2</feature> </featureManager>
下列範例是不需指定在 server.xml 檔中的預設配置。<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/> <transportLayer/> </layers> </serverPolicy.csiv2> <clientPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/> <transportLayer/> </layers> </clientPolicy.csiv2> </orb>
- 選用:如果您需要變更預設出埠鑑別層配置,請依如下所示,在 server.xml 檔中新增 <orb> 元素,或是將 authenticationLayer 元素新增至現有的檔案。以您的值取代範例中的範例值。
<orb id="defaultOrb"> <clientPolicy.csiv2> <layers> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/> </layers> </clientPolicy.csiv2> </orb>
註: <orb> 元素中的 ID 值 defaultOrb 是預先定義的,不能修改。 - 選用:將 mechanisms 屬性設定為 LTPA 或 GSSUP,以便只使用 LTPA 或 GSSUP(使用者名稱和密碼)作為鑑別機制。
或<authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/>
<authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
- 選用:將 establishTrustInClient 屬性設定為 Required、Supported
或 Never,指出擔任用戶端的伺服器需要、支援(選用)或永不使用指定機制來執行鑑別。
附註:如需 attributeLayer 和 transportLayer 元素的相關資訊,請參閱配置出埠 CSIv2 屬性層和配置出埠 CSIv2 傳輸層。如需使用 GSSUP 作為鑑別機制時的程式化登入範例,請參閱範例:使用 WSLogin 配置來建立基本鑑別主體。
- 當 establishTrustInClient 屬性設為 Required 時,用戶端只能夠將其中一種指定機制的鑑別記號,傳送給需要或支援相同鑑別機制的伺服器。
- 當 establishTrustInClient 屬性設定為 Supported 時,用戶端可選擇是否在鑑別層中傳送鑑別資訊。如果將下游伺服器配置成 Supported 或 Required,用戶端會傳送相容的鑑別記號。
- 當 establishTrustInClient 屬性設定為 Never 時,將會停用入埠 CSIv2 鑑別層,且必須啟用至少一個其他 CSIv2 層,以接受下游伺服器的鑑別。
- 如果省略某層,會使用該層的預設值。