Liberty Repository[8.5.5.6 이상]

인바운드 CSIv2 전송 계층 구성

Liberty 프로파일 서버를 구성하여 인바운드 CSIv2 요청에 대해 클라이언트 인증서 인증 지원을 요구할 수 있습니다.

이 태스크 정보

Liberty 프로파일 서버의 인바운드 CSIv2 전송 계층에는 기본적으로 사용 안함으로 설정되는 클라이언트 인증서 인증이 있습니다. transportLayer를 구성하여 사용할 SSL 구성을 지정할 수 있습니다. SSL 요소를 구성하여 클라이언트 인증서 인증을 지원하거나 요구할 수 있습니다. 수신된 인증서는 서버 사용자 레지스트리에 대해 인증되며, 인증서의 ID는 속성 계층의 ID 어설션이나 인증 계층의 인증 토큰처럼 CSIv2 요청으로 보낸 다른 인증 양식이 없는 경우에만 사용됩니다.

클라이언트 인증서 인증을 사용하는 경우 서버가 SSL을 지원하는지 확인하십시오.

프로시저

  1. server.xml 파일에서 appSecurity-2.0ejbRemote-3.2 기능을 추가하십시오.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    다음 예는 server.xml 파일에서 지정할 필요가 없는 기본 구성입니다.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Liberty 프로파일에 SSL 통신 사용 페이지에서 설명한 대로 SSL 지원을 구성하십시오.
  3. clientAuthentication 또는 clientAuthenticationSupported를 사용하는 SSL 요소를 구성하십시오. 예를 들면 다음과 같습니다.
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    또는
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
    • clientAuthentication="true"를 지정하는 경우 서버는 클라이언트가 인증서를 보내도록 요청합니다. 그러나 클라이언트에 인증서가 없거나 인증서를 서버에서 신뢰하지 않는 경우 핸드쉐이크는 성공하지 않습니다.
    • clientAuthenticationSupported="true"를 지정하는 경우 서버는 클라이언트가 인증서를 보내도록 요청합니다. 그러나 클라이언트에 인증서가 없거나 인증서를 서버에서 신뢰하지 않는 경우에도 핸드쉐이크는 여전히 성공합니다.
    • clientAuthentication 또는 clientAuthenticationSupported를 지정하지 않거나 clientAuthentication="false" 또는 clientAuthenticationSupported="false"를 지정하는 경우, 서버는 클라이언트가 핸드쉐이크 중에 인증서를 보내도록 요청하지 않습니다.
  4. 선택사항: 기본 인바운드 전송 계층 구성을 변경해야 하는 경우, 다음과 같이 server.xml 파일에 <orb> 요소를 추가하거나 transportLayer 요소를 기존 요소에 추가하십시오. 예제의 샘플 값을 사용자 값으로 대체하십시오.
            <orb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <transportLayer sslRef="defaultSSLConfig"/>
                    </layers>
                </serverPolicy.csiv2>
            </orb>
    참고: <orb> 요소의 ID 값 defaultOrb는 사전 정의되어 있으며 수정할 수 없습니다.
  5. 사용되는 모든 클라이언트 인증서를 서버가 신뢰하는지 확인하십시오.
  6. 클라이언트 인증에 사용되는 모든 클라이언트 인증서가 레지스트리의 사용자 ID에 맵핑되는지 확인하십시오.
    • 기본 레지스트리의 경우, 사용자 ID는 인증서의 식별 이름(DN)에서 공통된 이름(CN)입니다.
    • LDAP(Lightweight Directory Access Protocol) 레지스트리의 경우, 클라이언트 인증서의 DN은 LDAP 레지스트리에 있어야 합니다.
    계층 생략은 해당 계층에 대해 기본값을 사용합니다. attributeLayerauthenticationLayer 요소에 대한 자세한 정보는 인바운드 CSIv2 속성 계층 구성인바운드 CSIv2 인증 계층 구성을 참조하십시오.

결과

이제 클라이언트 인증서 인증을 위한 인바운드 CSIv2 전송 계층이 구성되었습니다.

주제의 유형을 표시하는 아이콘 태스크 주제

Information Center 이용 약관 | 피드백


시간소인 아이콘 마지막 업데이트 날짜: Wednesday, 2 September 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_inboundtransport
파일 이름: twlp_sec_inboundtransport.html