Liberty リポジトリー[8.5.5.6 以降]

インバウンド CSIv2 属性層の構成

インバウンド CSIv2 要求に対する ID アサーションのサポートを請求するように Liberty プロファイル・サーバーを構成することができます。

このタスクについて

Liberty プロファイル・サーバーのインバウンド CSIv2 属性層では、ID アサーションはデフォルトで無効にされます。ID アサーションが identityAssertionEnabled 属性を介して有効にされると、それ以降、サーバーは、 クライアントとして動作しているアップストリーム・サーバーからの、プリンシパル名および匿名での ID アサーションをサポートします。trustedIdentities 属性を使用して、このサーバーに ID を表明することのできる、 信頼できるアップストリーム・サーバーの ID を指定できます。
注意:
推定トラストが設定される場合は、 信頼できるエンティティーのみがサーバーと通信するようにしてください。

手順

  1. server.xml ファイルで appSecurity-2.0 フィーチャーおよび ejbRemote-3.2 フィーチャーを追加します。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    以下は、server.xml ファイルでの指定を必要としないデフォルト構成です。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. オプション: デフォルトのインバウンド属性層構成を変更する必要がある場合、 次のように server.xml ファイルに <orb> エレメントを追加するか、 または、既存のエレメントに attributeLayer エレメントを追加します。 例で使用されているサンプル値は実際の値で置き換えてください。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </serverPolicy.csiv2>
        </orb>
    注: orb エレメント内の ID 値 <defaultOrb> は、事前定義されていて、変更はできません。
  3. 例の値を、各アップストリーム・サーバーの trustedIdentity に変更して、 trustedIdentities 属性を設定します。表明するクライアントが複数ある場合は、パイプ文字 (|) を使用して値を区切る必要があります。
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="yourAssertingUpstreamServer|anotherAssertingUpstreamServer"/>
  4. 代替方法: ステップ 2 で、名前値を trustedIdentities に設定する代わりに、 文字 (*) を使用して trustedIdentities 属性を設定して、 サーバーが推定トラストをサポートすることを示すことができます。推定トラストでは、どのアップストリーム・サーバーでも ID を表明することが可能であるため、 アップストリーム・サーバーを一連の信頼できるサーバーに限定できる場合にのみ使用する必要があります。したがって、 この値を使用するときは注意が必要です。
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="*"/>
  5. 証明書チェーンを送信するアップストリーム・サーバーが信頼できる場合、その証明書チェーンの発行者識別名を trustedIdentities 属性に追加します。以下に例を示します。
        <attributeLayer identityAssertionEnabled="true" trustedIdentities="CN=localhost,O=ibm,C=us"/>
    注: アップストリーム・サーバー ID は、 サーバーが認証層またはトランスポート層のいずれかで送信したセキュリティー情報から取得されます。認証層 ID がトランスポート層 ID よりも優先され、 認証層でセキュリティー情報が送信されていない場合はトランスポート ID が使用されます。authenticationLayer エレメントおよび transportLayer エレメントのサンプル構文および詳細情報については、 『インバウンド CSIv2 認証層の構成』および『インバウンド CSIv2 トランスポート層の構成』を参照してください。
    いずれかの層を省略すると、その層にはデフォルト値が使用されます。

タスクの結果

これで、ID アサーションについてのインバウンド CSIv2 属性層の構成が完了しました。

トピックのタイプを示すアイコン タスク・トピック

インフォメーション・センターに関するご使用条件 | フィードバック


タイム・スタンプ・アイコン 最終更新: 2015 年 6 月 17日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_inboundattributes
ファイル名: twlp_sec_inboundattributes.html