Liberty-Repository[8.5.5.6 oder höher]

Attributebene für abgehende CSIv2-Anforderungen konfigurieren

Sie können einen Liberty Profile-Server so konfigurieren, dass er Identitätszusicherungen für abgehende CSIv2-Anforderungen durchführt.

Informationen zu diesem Vorgang

Die Identitätszusicherung ist auf der Attributebene für abgehende CSIv2-Anforderungen für einen Liberty Profile-Server standardmäßig inaktiviert. Der als Client fungierende Server unterstützt das Senden von Identitätszusicherungen auf der Basis von Principalnamen und anonymen Identitäten an einen Downstream-Server, nachdem die Identitätszusicherung über das Attribut identityAssertionEnabled aktiviert wurde. Sie müssen auch den Upstream-Server konfigurieren und die Identitätszusicherung aktivieren, damit der Client eine Identität zusichern kann. Die Attribute trustedIdentity und trustedPassword können verwendet werden, um die vom Downstream-Server auf Vertrauenswürdigkeit zu prüfende Clientidentität anzugeben, wenn der Mechanismus auf der Authentifizierungsebene GSSUP ist. Das Attribut trustedIdentity kann ohne ein trustedPassword gesetzt werden, wenn das Authentifizierungsmechanismus auf der Authentifizierungsebene LTPA ist.

Vorgehensweise

  1. Fügen Sie die Features appSecurity-2.0 und ejbRemote-3.2 der Datei server.xml hinzu.
        <featureManager> 
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    Das folgende Beispiel ist die Standardkonfiguration ohne Angabe in der Datei server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Optional: Wenn Sie die Standardkonfiguration der Attributebene für abgehende Anforderungen ändern müssen, fügen Sie der Datei server.xml wie folgt ein <orb>-Element hinzu oder fügen Sie das attributeLayer-Element einem vorhandenen Element hinzu. Ersetzen Sie die Werte im Beispiel durch Ihre eigenen Werte.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    Anmerkung: Der ID-Wert defaultOrb im <orb>-Element ist vordefiniert und kann nicht geändert werden.
  3. Geben Sie die Identität des Upstream-Servers für die Überprüfung einer Vertrauensbeziehung durch den Downstream-Server an. Das angegebene Element trustedIdentity muss in der Benutzerregistry des Zielservers vorhanden sein.
    • Wenn Sie den Mechanismus GSSUP auf der Authentifizierungsebene verwenden, müssen Sie die Attribute trustedIdentity und trustedPassword setzen, indem Sie die Beispielwerte durch die ID und das Kennwort des als Client agierenden Upstream-Servers ersetzen.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId" trustedPassword="yourTrustedIdPwd"/>

      Verschlüsseln Sie das Kennwort in der Konfiguration. Sie können den verschlüsselten Wert mit dem Befehl securityUtility encode abrufen.

    • Wenn Sie den Mechanismus LTPA auf der Authentifizierungsebene verwenden, müssen Sie das Attribut trustedIdentity setzen, indem Sie den Beispielwert durch die Identität des als Client fungierenden Upstream-Servers ersetzen.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId"/>
    Anmerkungen:
    • Wenn sowohl LTPA als auch GSSUP auf der Authentifizierungsebene konfiguriert sind und der Downstream-Server LTPA unterstützt, hat LTPA Vorrang vor GSSUP.
    • Wenn sowohl LTPA als auch GSSUP auf der Authentifizierungsebene konfiguriert sind und der Downstream-Server nur GSSUP unterstützt, wird GSSUP verwendet und die Attribute trustedIdentity und trustedPassword müssen angegeben werden.
    • Das Attribut trustedIdentity ist nicht erforderlich, wenn Sie die Transportzertifikatskette verwenden, um den Server beim Downstream-Server zu identifizieren.
    • Wenn Sie für eine Ebene keine Werte angeben, werden die Standardwerte für diese Ebene verwendet.
    Weitere Informationen zu den Elementen authenticationLayer und transportLayer finden Sie in den Abschnitten Authentifizierungsebene für abgehende CSIv2-Anforderungen konfigurieren und Transportebene für abgehende CSIv2-Anforderungen konfigurieren.

Ergebnisse

Die Attributebene für abgehende CSIv2-Anforderungen ist jetzt für die Identitätszusicherung konfiguriert.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_outboundattributes
Dateiname: twlp_sec_outboundattributes.html