Configuración de la seguridad para la característica rtcomm-1.0

Este tema describe los muchos aspectos de la protección de la característica rtcomm-1.0.

Acerca de esta tarea

Los pasos siguientes describen cómo habilitar la seguridad para la característica rtcomm-1.0.

Procedimiento

  1. Configure SSL.
    SSL entre la característica rtcomm-1.0 y el intermediario MQTT
    Esta función está habilitada para la característica rtcomm-1.0 estableciendo el atributo sslEnabled="true" para Rtcomm en el archivo server.xml y, a menudo, esto requiere un puerto distinto para SSL (el valor predeterminado 8883) para conectarse al intermediario.
    SSL entre el cliente JavaScript Rtcomm y el intermediario MQTT
    Si se presta servicio al cliente rtcomm.js en https, habilitará SSL, de forma predeterminada, (e intentará utilizar el puerto 8883), de lo contrario SSL se tendrá que habilitar en la configuración cuando se inicialice el EndpointProvider. La configuración tiene un aspecto parecido al siguiente:
    var providerConfig = { 
           server: mqttbroker server, 
           port: mqttbroker SSL Port, 
           useSSL: true};

    Los pasos anteriores garantizan que la comunicación entre los clientes, el intermediario MQTT y el servidor Liberty que ejecuta la característica rtcomm-1.0 está cifrada.

  2. Configure la autenticación.
    Autenticación y autorización del cliente JavaScript con el intermediario MQTT
    Normalmente, una aplicación que implementa las comunicaciones en tiempo real autentica un usuario. Si desea más detalles, consulte Autenticación de usuarios en Liberty.

    Muchos intermediarios MQTT externos pueden requerir autenticación, pero no utilizarán la misma autenticación que la aplicación sin una configuración específica.

    Un intermediario MQTT externo puede utilizar mecanismos de autenticación similares y ofrecer formas para utilizar señales LTPA para verificar la identidad. IBM® MessageSight soporta LTPA y cuando se comparten las claves LTPA con el intermediario MQTT MessageSight, son miembros del mismo dominio (servername.domainname.com), y ambos utilizan el mismo recurso LDAP para identificar usuarios, se puede utilizar una señal LTPA para pasar la autenticación original a IBM MessageSight. Otros intermediarios MQTT pueden trabajar de forma similar. Si desea más detalles sobre cómo utilizar LTPA con IBM MessageSight, consulte Lightweight Third Party Authentication (LTPA).

    El servidor Liberty se debe configurar utilizando la información siguiente, Configuración de LTPA en Liberty.
    Nota: Utilice el atributo ssoDomainNames para definir el dominio común entre servidores:
    <webAppSecurity logoutOnHttpSessionExpire="true" singleSignonEnabled="true" ssoDomainNames="domainname.com" />

    La autenticación que utiliza LTPA es independiente de la autorización o la autorización en IBM MessageSight, y es necesaria para seguir las instrucciones en este URL, Autorización.

    Esta configuración solo funciona si el autenticador original que proporciona la señal LTPA y el servidor MessageSight comparten la misma configuración de LDAP.

    Autenticación de cliente sin LTPA
    Si LTPA no se puede configurar, el cliente rtcomm.js proporciona una API que permite que se proporcione un usuario y una contraseña para la autenticación con el intermediario MQTT, y se realiza en la configuración que se ha pasado al EndpointProvider durante init():
    var providerConfig = { 
         server: servername, 
         port: port, 
         useSSL: true, 
         credentials: { 
              userName: "username", 
              password: "password" }
         };

    Esta configuración pasa la identidad y la contraseña al cliente MQTT para autenticar la conexión con el intermediario MQTT.


Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: twlp_config_rtcomm_security.html