Attributebene für abgehende CSIv2-Anforderungen konfigurieren

Sie können einen Liberty-Server so konfigurieren, dass er Identitätszusicherungen für abgehende CSIv2-Anforderungen durchführt.

Informationen zu diesem Vorgang

Die Identitätszusicherung ist auf der Attributebene für abgehende CSIv2-Anforderungen für einen Liberty-Server standardmäßig inaktiviert. Der als Client fungierende Server unterstützt das Senden von Identitätszusicherungen auf der Basis von Principalnamen und anonymen Identitäten an einen Downstream-Server, nachdem die Identitätszusicherung mit dem Attribut identityAssertionEnabled aktiviert wurde. Mit dem Attribut identityAssertionTypes können Sie weitere oder andere Identitätstokentypen angeben, die vom Server für abgehende Anforderungen unterstützt werden. Die Attribute trustedIdentity und trustedPassword können verwendet werden, um die vom Downstream-Server auf Vertrauenswürdigkeit zu prüfende Clientidentität anzugeben, wenn der Mechanismus auf der Authentifizierungsebene GSSUP ist. Das Attribut trustedIdentity kann ohne ein trustedPassword gesetzt werden, wenn das Authentifizierungsmechanismus auf der Authentifizierungsebene LTPA ist. Sie müssen auch den Upstream-Server konfigurieren und die Identitätszusicherung aktivieren, damit der Client eine Identität zusichern kann.

Vorgehensweise

  1. Fügen Sie die Features appSecurity-2.0 und ejbRemote-3.2 der Datei server.xml hinzu.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    Das folgende Beispiel ist die Standardkonfiguration ohne Angabe in der Datei server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Optional: Wenn Sie die Standardkonfiguration der Attributebene für abgehende Anforderungen ändern müssen, fügen Sie der Datei server.xml wie folgt ein <orb>-Element hinzu oder fügen Sie das attributeLayer-Element einem vorhandenen Element hinzu. Ersetzen Sie die Werte im Beispiel durch Ihre eigenen Werte.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    Anmerkung: Der ID-Wert defaultOrb im <orb>-Element ist vordefiniert und kann nicht geändert werden.
  3. Geben Sie die Identität des Upstream-Servers für die Überprüfung einer Vertrauensbeziehung durch den Downstream-Server an. Das angegebene Element trustedIdentity muss in der Benutzerregistry des Zielservers vorhanden sein.
    • Wenn Sie den Mechanismus GSSUP auf der Authentifizierungsebene verwenden, müssen Sie die Attribute trustedIdentity und trustedPassword setzen, indem Sie die Beispielwerte durch die ID und das Kennwort des als Client agierenden Upstream-Servers ersetzen.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId" trustedPassword="yourTrustedIdPwd"/>

      Verschlüsseln Sie das Kennwort in der Konfiguration. Sie können den verschlüsselten Wert mit dem Befehl securityUtility encode abrufen.

    • Wenn Sie den Mechanismus LTPA auf der Authentifizierungsebene verwenden, müssen Sie das Attribut trustedIdentity setzen, indem Sie den Beispielwert durch die Identität des als Client fungierenden Upstream-Servers ersetzen.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId"/>
  4. Optional: Wenn Sie die vom Server unterstützten Standardtokentypen für die Identitätszusicherung ändern müssen, fügen Sie dem Element attributeLayer in der Datei server.xml das Attribut identityAssertionTypes hinzu und geben Sie eine durch Kommas getrennte Liste mit Werten an. Die gültigen Werte sind ITTAnonymous, ITTPrincipalName, ITTX509CertChain und ITTDistinguishedName. Sie können den Server beispielsweise so konfigurieren, dass Identitätszusicherungen auf der Basis von X509-Zertifikatsketten oder definierten Namen unterstützt werden. Ersetzen Sie die Werte im Beispiel durch Ihre eigenen Werte.
    <orb id="defaultOrb">
        <clientPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </clientPolicy.csiv2>
    </orb>
    Anmerkungen:
    • Wenn sowohl LTPA als auch GSSUP auf der Authentifizierungsebene konfiguriert sind und der Downstream-Server LTPA unterstützt, hat LTPA Vorrang vor GSSUP.
    • Wenn sowohl LTPA als auch GSSUP auf der Authentifizierungsebene konfiguriert sind und der Downstream-Server nur GSSUP unterstützt, wird GSSUP verwendet und die Attribute trustedIdentity und trustedPassword müssen angegeben werden.
    • Das Attribut trustedIdentity ist nicht erforderlich, wenn Sie die Transportzertifikatskette verwenden, um den Server beim Downstream-Server zu identifizieren. (In der Authentifizierungsschicht (authenticationLayer) ist das Attribut identityAssertionEnabled auf true und das Attribut establishTrustInClient auf Never gesetzt.)
    • Wenn Sie für eine Ebene keine Werte angeben, werden die Standardwerte für diese Ebene verwendet.
    Weitere Informationen zu den Elementen authenticationLayer und transportLayer finden Sie in den Abschnitten Authentifizierungsebene für abgehende CSIv2-Anforderungen konfigurieren und Transportebene für abgehende CSIv2-Anforderungen konfigurieren.

Ergebnisse

Die Attributebene für abgehende CSIv2-Anforderungen ist jetzt für die Identitätszusicherung konfiguriert.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: twlp_sec_outboundattributes.html