配置入埠 CSIv2 鑑別層

您可以配置 Liberty 伺服器,以便將特定鑑別機制用於入埠 CSIv2 要求。

關於這項作業

依預設,已針對 Liberty 伺服器的入埠 CSIv2 鑑別層,啟用 LTPA 和 GSSUP 鑑別機制支援。依預設,鑑別層的 establishTrustInClient 關聯選項會設為 Required,以指出必須使用指定的鑑別機制。當您使用 LTPA 機制時,請確定通訊端 Liberty 伺服器與其他伺服器共用相同的 LTPA 金鑰。

程序

  1. server.xml 檔中新增 appSecurity-2.0ejbRemote-3.2 特性。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>

    下列範例顯示不需指定在 server.xml 檔中的預設配置。

        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. 選用:如果您需要變更預設入埠鑑別層配置,請依如下所示,在 server.xml 檔中新增 <orb> 元素,或是將 authenticationLayer 元素新增至現有的元素。以您的值取代範例中的範例值。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                </layers>
            </serverPolicy.csiv2>
            </orb>
    註: <orb> 元素中的 ID 值 defaultOrb 是預先定義的,不能修改。
  3. 選用:將 mechanisms 屬性設定為 LTPAGSSUP,以便只使用 LTPA 或 GSSUP(使用者名稱和密碼)作為鑑別機制。
        <authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/>
        或
        <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
  4. 選用:將 establishTrustInClient 屬性設定為 RequiredSupportedNever,指出伺服器需要、支援(選用)或永不請求使用指定機制來進行鑑別。
    附註:
    • establishTrustInClient 屬性設為 Required 時,只有需要或支援相容(至少一種)鑑別機制的用戶端,才能夠傳送安全環境定義給伺服器。
    • establishTrustInClient 屬性設定為 Supported 時,用戶端可選擇是否在鑑別層中傳送鑑別資訊。
    • establishTrustInClient 屬性設定為 Never 時,將會停用入埠 CSIv2 鑑別層,且必須啟用至少一個其他 CSIv2 層來進行鑑別。

      如果省略某層,會使用該層的預設值。

      如需 attributeLayertransportLayer 元素的相關資訊,請參閱配置入埠 CSIv2 屬性層配置入埠 CSIv2 傳輸層

結果

現在您已配置入埠 CSIv2 鑑別層。

指示主題類型的圖示 作業主題

檔名:twlp_sec_inboundauth.html