Référentiel Liberty[8.5.5.6 ou ultérieure]

Configuration d'une couche d'attribut CSIv2 sortante

Vous pouvez configurer un serveur de profil Liberty pour l'exécution de vérifications d'identité pour les demandes CSIv2 sortantes.

Pourquoi et quand exécuter cette tâche

La vérification d'identité est désactivée par défaut dans la couche attribut CSIv2 sortante pour un serveur de profil Liberty. Le serveur qui fait office de client prend en charge l'envoi des vérifications d'identité Nom principal et Anonyme à un serveur en aval une fois la vérification d'identité activée via l'attribut identityAssertionEnabled. Vous devez également configurer le serveur en amont en activant la vérification d'identité de sorte que le client puisse vérifier une identité. Les attributs trustedIdentity et trustedPassword peuvent être utilisés pour indiquer l'identité du client qui doit être vérifiée par le serveur en aval lorsque le mécanisme de couche authentification est GSSUP. L'attribut trustedIdentity peut être défini sans trustedPassword si le mécanisme d'authentification dans la couche authentification est LTPA.

Procédure

  1. Ajoutez les fonctions appSecurity-2.0 et ejbRemote-3.2 dans le fichier server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    Voici un exemple de configuration par défaut où il n'est pas nécessaire de l'indiquer dans le fichier server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Facultatif : si vous devez modifier la configuration de couche attribut sortante par défaut, ajoutez un élément <orb> dans le fichier server.xml comme suit ou ajoutez l'élément attributeLayer à un élément existant. Remplacez les exemples de valeurs dans l'exemple par vos propres valeurs.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    Remarque : La valeur d'ID defaultOrb dans l'élément <orb> est prédéfinie et ne peut pas être modifiée.
  3. Indiquez l'identité du serveur en amont pour la validation d'identité par le serveur en aval. L'élément trustedIdentity spécifié doit exister dans le registre d'utilisateurs du serveur cible.
    • Lorsque vous utilisez le mécanisme GSSUP dans la couche authentification, vous devez définir les attributs trustedIdentity et trustedPassword en remplaçant les valeurs en exemple par l'identité et le mot de passe du serveur en amont qui fait office de client.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId" trustedPassword="yourTrustedIdPwd"/>

      Encodez le mot de passe afin qu'il n'apparaisse pas en clair dans le fichier de configuration. Vous pouvez obtenir la valeur encodée en utilisant la commande de codage securityUtility.

    • Lorsque vous utilisez le mécanisme LTPA dans la couche authentification, vous devez définir l'attribut trustedIdentity en remplaçant la valeur en exemple par l'identité du serveur en amont qui fait office de client.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId"/>
    Remarques :
    • Si les mécanismes LTPA et GSSUP sont tous deux configurés dans la couche authentification et si le serveur en aval prend en charge LTPA, ce dernier a la priorité sur GSSUP.
    • Si les mécanismes LTPA et GSSUP sont tous deux configurés dans la couche authentification et si le serveur en aval prend en charge uniquement GSSUP, ce dernier est utilisé et les attributs trustedIdentity et trustedPassword doivent être spécifiés.
    • L'attribut trustedIdentity n'est pas obligatoire si vous utilisez la chaîne de certificats de transport pour identifier le serveur auprès du serveur en aval.
    • Si une couche est omise, les valeurs par défaut de cette couche sont utilisées.
    Pour plus d'informations sur les éléments authenticationLayer et transportLayer, voir Configuration d'une couche authentication CSIv2 entrante et Configuration d'une couche authentication CSIv2 sortante.

Résultats

Votre couche attribut CSIv2 sortante est maintenant configurée pour la vérification d'identité.

Icône indiquant le type de rubrique Rubrique Tâche

Dispositions pour les centres de documentation | Commentaires


Icône d'horodatage Dernière mise à jour: Wednesday, 2 September 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_outboundattributes
Nom du fichier : twlp_sec_outboundattributes.html