Configuración de la capa de atributos CSIv2 de salida

Puede configurar un servidor Liberty para realizar aserciones de identidad para las solicitudes CSIv2 de salida.

Acerca de esta tarea

La aserción de identidad está inhabilitada de forma predeterminada en la capa de atributos CSIv2 de salida para un servidor Liberty. El servidor que actúa como cliente da soporte al envío de aserciones de identidad de nombre principal y anónimas a un servidor en sentido descendente después de habilitar la aserción de identidades con el atributo identityAssertionEnabled. Puede utilizar el atributo identityAssertionTypes para especificar tipos de señal de identidad adicionales o distintos a los que el servidor dé soporte para las solicitudes de salida. Los atributos trustedIdentity y trustedPassword pueden utilizarse para especificar la identidad del cliente cuya confianza va a verificar el servidor en sentido descendente cuando el mecanismo de la capa de autenticación es GSSUP. El atributo trustedIdentity puede establecerse sin una trustedPassword si el mecanismo de autenticación en la capa de autenticación es LTPA. También debe configurar el servidor en sentido ascendente y habilitar la aserción de identidades para que el cliente pueda certificar una identidad.

Procedimiento

  1. Añada las características appSecurity-2.0 y ejbRemote-3.2 en el archivo server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    El ejemplo siguiente es la configuración predeterminada sin tener que especificarla en el archivo server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Opcional: si tiene que cambiar la configuración predeterminada de la capa del atributo de salida, añada un elemento <orb> en el archivo server.xml tal como se indica a continuación o añada el elemento attributeLayer a uno existente. Sustituya los valores de ejemplo por sus valores.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    Nota: El valor de ID defaultOrb en el elemento <orb> viene predefinido y no se puede modificar.
  3. Especifique la identidad del servidor en sentido ascendente para la validación de confianza que realiza el servidor en sentido descendente. El valor de trustedIdentity que se ha especificado debe existir en el registro de usuario del servidor de destino.
    • Cuando utiliza el mecanismo GSSUP en la capa de autenticación, debe establecer los atributos trustedIdentity y trustedPassword cambiando los valores de ejemplo por la identidad y la contraseña del servidor en sentido ascendente que actúa como un cliente.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId" trustedPassword="yourTrustedIdPwd"/>

      Codifique la contraseña en la configuración. Puede obtener el valor codificado utilizando el mandato de codificación securityUtility.

    • Cuando utiliza el mecanismo LTPA en la capa de autenticación, debe establecer el atributo trustedIdentity cambiando el valor de ejemplo por la identidad del servidor en sentido ascendente que actúa como un cliente.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId"/>
  4. Opcional: si necesita cambiar los tipos de señal de aserción de identidad predeterminados soportados por el servidor, añada el atributo identityAssertionTypes al elemento attributeLayer en el archivo server.xml y especifique una lista de valores separados por comas. Los valores válidos son ITTAnonymous, ITTPrincipalName, ITTX509CertChain y ITTDistinguishedName. Por ejemplo, puede configurar el servidor para dar soporte a aserciones de identidad con nombres distinguidos o cadenas de certificados X509. Sustituya los valores de ejemplo por sus valores.
    <orb id="defaultOrb">
        <clientPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </clientPolicy.csiv2>
    </orb>
    Notas:
    • Si se configuran LTPA y GSSUP en la capa de autenticación y el servidor en sentido descendente da soporte a LTPA, LTPA tiene prioridad sobre GSSUP.
    • Si se configuran LTPA y GSSUP en la capa de autenticación y el servidor en sentido descendente sólo da soporte a GSSUP, se utiliza GSSUP y deben especificarse los atributos trustedIdentity y trustedPassword.
    • El atributo trustedIdentity no es necesario si utiliza la cadena de certificados de transporte para identificar el servidor en el servidor en sentido descendente. (El atributo identityAssertionEnabled se establece en true y establishTrustInClient en Never en authenticationLayer).
    • Al omitir una capa se utilizan los valores predeterminados para esa capa.
    Para obtener más información sobre los elementos authenticationLayer y transportLayer, consulte Configuración de la capa de autenticación CSIv2 de salida y Configuración de la capa de transporte CSIv2 de salida.

Resultados

La capa de atributos CSIv2 de salida está ahora configurada para la aserción de identidades.

Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: twlp_sec_outboundattributes.html