配置出站 CSIv2 属性层

您可以配置 Liberty 服务器以对出站 CSIv2 请求执行身份断言。

关于此任务

Liberty 服务器的出站 CSIv2 属性层中,身份断言在缺省情况下被禁用。通过 identityAssertionEnabled 属性启用身份断言后,充当客户机的服务器支持将主体名称和匿名身份断言发送至下游服务器。可使用 identityAssertionTypes 属性指定服务器支持对出站请求使用的更多或不同身份令牌类型。认证层机制为 GSSUP 时,可使用 trustedIdentitytrustedPassword 属性指定客户机身份以供下游服务器进行信任验证。如果认证层中的认证机制为 LTPA,那么可设置 trustedIdentity 属性而不设置 trustedPassword 属性。您还必须配置上游服务器并启用身份断言以便客户机可断言身份。

过程

  1. server.xml 文件中添加 appSecurity-2.0ejbRemote-3.2 功能部件。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    以下示例是缺省配置,不必在 server.xml 文件中指定该配置。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. 可选:如果需要更改缺省出站属性层配置,请按如下所示在 server.xml 文件中添加 <orb> 元素,或将 attributeLayer 元素添加至现有文件。将示例中的样本值替换为您的值。
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    注: <orb> 元素中的标识值 defaultOrb 是预先定义的,不能修改。
  3. 指定上游服务器身份以供下游服务器进行信任验证。所指定的 trustedIdentity 必须存在于目标服务器的用户注册表中。
    • 如果在认证层中使用 GSSUP 机制,那么必须通过将示例值更改为充当客户机的上游服务器的身份和密码来设置 trustedIdentitytrustedPassword 属性。
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId" trustedPassword="yourTrustedIdPwd"/>

      对配置中的密码进行编码。可使用 securityUtility 编码命令来获取编码值。

    • 在认证层中使用 LTPA 机制时,必须通过将示例值更改为充当客户机的上游服务器身份来设置 trustedIdentity 属性。
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId"/>
  4. 可选:如果需要更改服务器支持的缺省身份断言令牌类型,应将 identityAssertionTypes 属性添加至 server.xml 文件中的 attributeLayer 元素并指定值的逗号分隔列表。有效值为 ITTAnonymousITTPrincipalNameITTX509CertChainITTDistinguishedName。例如,可配置服务器以支持带有 X509 证书链或专有名称的身份断言。将示例中的样本值替换为您的值。
    <orb id="defaultOrb">
        <clientPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </clientPolicy.csiv2>
    </orb>
    注:
    • 如果同时在认证层中配置了 LTPA 和 GSSUP,并且下游服务器支持 LTPA,那么 LTPA 优先于 GSSUP。
    • 如果同时在认证层中配置了 LTPA 和 GSSUP,并且下游服务器仅支持 GSSUP,那么系统将使用 GSSUP 并且必须指定 trustedIdentitytrustedPassword 属性。
    • 如果使用传输证书链来对下游服务器标识服务器,那么不需要 trustedIdentity 属性。(在 authenticationLayer 中,identityAssertionEnabled 属性设置为 trueestablishTrustInClient 设置为 Never。)
    • 如果省略层,那么系统对该层使用缺省值。
    有关 authenticationLayertransportLayer 元素的更多信息,请参阅配置出站 CSIv2 认证层配置出站 CSIv2 传输层

结果

现在已配置出站 CSIv2 属性层以用于身份断言。

用于指示主题类型的图标 任务主题

文件名:twlp_sec_outboundattributes.html