Référentiel Liberty[8.5.5.6 ou ultérieure]

Configuration d'une couche d'attribut CSIv2 sortante

Vous pouvez configurer un serveur de profil Liberty pour demander le support de vérification d'identité pour les demandes CSIv2 entrantes.

Pourquoi et quand exécuter cette tâche

La couche attributs CSIv2 entrante d'un serveur de profil Liberty comporte une vérification d'identité qui est désactivée par défaut. Le serveur prend en charge les vérification d'identité Nom principal et Anonyme depuis un serveur en amont qui fait office de client une fois la vérification d'identité activée via l'attribut identityAssertionEnabled. L'attribut trustedIdentities peut être utilisée pour indiquer l'identité des serveurs en amont de confiance qui peuvent vérifier une identité sur ce serveur.
ATTENTION :
Assurez-vous que seules les entités de confiance communiquent avec le serveur si une habilitation présumée est définie.

Procédure

  1. Ajoutez les fonctions appSecurity-2.0 et ejbRemote-3.2 dans le fichier server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    Voici un exemple de configuration par défaut où il n'est pas nécessaire de l'indiquer dans le fichier server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Facultatif : si vous devez modifier la configuration de couche attribut entrante par défaut, ajoutez un élément <orb> dans le fichier server.xml comme suit ou ajoutez l'élément attributeLayer à un élément existant. Remplacez les exemples de valeurs dans l'exemple par vos propres valeurs.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </serverPolicy.csiv2>
        </orb>
    Remarque : La valeur d'ID defaultOrb dans l'élément <orb> est prédéfinie et ne peut pas être modifiée.
  3. Définissez l'attribut trustedIdentities en remplaçant les valeurs en exemple par la valeur trustedIdentity de chacun des serveurs en amont. Le caractère barre verticale (|) doit être utilisé pour séparer les valeurs lorsqu'il y a plusieurs clients de vérification.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="yourAssertingUpstreamServer|anotherAssertingUpstreamServer"/>
  4. Alternative : au lieu de définir une valeur nommée pour l'élément trustedIdentities dans l'étape 2, vous pouvez définir l'attribut trustedIdentities avec le caractère (*) pour indiquer que le serveur prend en charge une habilitation présumée. Avec une habilitation présumée, tout serveur en amont peut vérifier une identité et il ne doit être utilisé que lorsque les serveurs en amont peuvent être limités à un ensemble de serveur d'accréditation. Par conséquent, utilisez cette valeur avec précaution.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="*"/>
  5. Lorsqu'un serveur en amont qui envoie une chaîne de certificats est digne de confiance, ajoutez le nom distinctif de l'émetteur de la chaîne de certificats dans l'attribut trustedIdentities. Exemple :
        <attributeLayer identityAssertionEnabled="true" trustedIdentities="CN=localhost,O=ibm,C=us"/>
    Remarque : L'identité du serveur en amont est obtenue des informations de sécurité que le serveur a envoyées dans la couche authentification ou la couche transport. L'identité de la couche authentification a la priorité sur l'identité de la couche transport, celle-ci n'étant utilisée que si aucune information de sécurité n'est envoyée dans la couche authentification. Pour des exemples de syntaxe et des informations sur les éléments authenticationLayer et transportLayer, voir Configuration d'une couche authentication CSIv2 entrante et Configuration d'une couche authentication CSIv2 sortante.
    Si une couche est omise, les valeurs par défaut de cette couche sont utilisées.

Résultats

Votre couche attribut CSIv2 entrante est maintenant configurée pour la vérification d'identité.

Icône indiquant le type de rubrique Rubrique Tâche

Dispositions pour les centres de documentation | Commentaires


Icône d'horodatage Dernière mise à jour: Wednesday, 2 September 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_inboundattributes
Nom du fichier : twlp_sec_inboundattributes.html