Liberty 儲存庫[8.5.5.6 或更新版本]

配置入埠 CSIv2 傳輸層

您可以配置 Liberty 設定檔伺服器,以請求支援入埠 CSIv2 要求的用戶端憑證鑑別。

關於這項作業

依預設,Liberty 設定檔伺服器的入埠 CSIv2 傳輸層會停用用戶端憑證鑑別。您可以配置 transportLayer,來指定要使用的 SSL 配置。您可以將 SSL 元素配置成支援或需要用戶端憑證鑑別。會鑑別所收到的憑證是否符合伺服器的使用者登錄,且只有在 CSIv2 要求中未傳送其他任何形式的鑑別時(例如,屬性層中的身分主張,或鑑別層中的鑑別記號),才會使用其身分。

使用用戶端憑證鑑別時,請確定伺服器支援 SSL。

程序

  1. server.xml 檔中新增 appSecurity-2.0ejbRemote-3.2 特性。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    下列範例是不需指定在 server.xml 檔中的預設配置。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. 依照啟用 Liberty 設定檔的 SSL 通訊頁面的說明,來配置 SSL 支援。
  3. 配置 SSL 元素,以使用 clientAuthenticationclientAuthenticationSupported 例如,
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
             trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
    • 如果您指定 clientAuthentication="true",伺服器會要求用戶端傳送憑證。不過,如果用戶端沒有憑證,或伺服器不信任其憑證,信號交換就不會成功。
    • 如果您指定 clientAuthenticationSupported="true",伺服器會要求用戶端傳送憑證。不過,如果用戶端沒有憑證,或伺服器不信任其憑證,信號交換仍有可能成功。
    • 如果您沒有指定 clientAuthenticationclientAuthenticationSupported,或者指定 clientAuthentication="false"clientAuthenticationSupported="false",在信號交換期間,伺服器不會要求用戶端傳送憑證。
  4. 選用:如果您需要變更預設入埠傳輸層配置,請依如下所示,在 server.xml 檔中新增 <orb> 元素,或是將 transportLayer 元素新增至現有的檔案。以您的值取代範例中的範例值。
            <orb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <transportLayer sslRef="defaultSSLConfig"/>
                    </layers>
                </serverPolicy.csiv2>
            </orb>
    註: <orb> 元素中的 ID 值 defaultOrb 是預先定義的,不能修改。
  5. 確定伺服器信任所用的任何用戶端憑證。
  6. 確定用來鑑別用戶端的任何用戶端憑證,都會對映至您登錄中的使用者身分。
    • 如果是基本登錄,使用者身分是憑證識別名稱 (DN) 中的通用名稱 (CN)。
    • 如果是「輕量型目錄存取通訊協定 (LDAP)」登錄,用戶端憑證中的 DN 必須在 LDAP 登錄中。
    如果省略某層,會使用該層的預設值。如需 attributeLayerauthenticationLayer 元素的其他資訊,請參閱配置入埠 CSIv2 屬性層配置入埠 CSIv2 鑑別層

結果

現在您已配置入埠 CSIv2 傳輸層,以鑑別用戶端憑證。

指示主題類型的圖示 作業主題

資訊中心條款 | 意見


「時間戳記」圖示 前次更新: 2015 年 6 月 22 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_inboundtransport
檔名:twlp_sec_inboundtransport.html