配置入站 CSIv2 属性层

可配置 Liberty 服务器以声明对针对入站 CSIv2 请求的身份断言的支持。

关于此任务

缺省情况下,已对 Liberty 服务器的入站 CSIv2 属性层禁用身份断言。通过 identityAssertionEnabled 属性启用身份断言后,服务器支持通过充当客户机的上游服务器进行匿名、主体名称、X509 证书链和专有名称身份断言。可使用 identityAssertionTypes 属性指定服务器支持的身份令牌类型。可使用 trustedIdentities 属性指定能够对此服务器断言身份的可信上游服务器的身份。
警告:
如果已设置假定信任,请确保只有可信实体与服务器通信。

过程

  1. server.xml 文件中添加 appSecurity-2.0ejbRemote-3.2 功能部件。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    以下是缺省配置,不必在 server.xml 文件中指定该配置。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. 可选:如果需要更改缺省入站属性层配置,请按如下所示在 server.xml 文件中添加 <orb> 元素,或将 attributeLayer 元素添加至现有文件。将示例中的样本值替换为您的值。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </serverPolicy.csiv2>
        </orb>
    注: <orb> 元素中的标识值 defaultOrb 是预先定义的,不能修改。
  3. 通过将示例值更改为每个上游服务器的 trustedIdentity 来设置 trustedIdentities 属性。如果有多个断言客户机,那么必须使用管道字符 (|) 分隔值。
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="yourAssertingUpstreamServer|anotherAssertingUpstreamServer"/>
  4. 替代方法:可使用字符 (*) 设置 trustedIdentities 属性以指示该服务器支持假定信任,而不是在步骤 2 中对 trustedIdentities 设置指定值。通过使用假定信任,任何上游服务器能够断言身份,并且仅当上游服务器可限定为一组可信服务器时,才必须使用上游服务器。因此,使用此值时应特别谨慎。
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="*"/>
  5. 如果发送证书链的上游服务器可信,请将证书链的签发者专有名称添加至 trustedIdentities 属性。例如,
        <attributeLayer identityAssertionEnabled="true" trustedIdentities="CN=localhost,O=ibm,C=us"/>
  6. 可选:如果需要更改服务器支持的缺省身份断言令牌类型,应将 identityAssertionTypes 属性添加至 server.xml 文件中的 attributeLayer 元素并指定值的逗号分隔列表。有效值为 ITTAnonymousITTPrincipalNameITTX509CertChainITTDistinguishedName。例如,可配置服务器以支持带有 X509 证书链或专有名称的身份断言。将示例中的样本值替换为您的值。
    <orb id="defaultOrb">
        <serverPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </serverPolicy.csiv2>
    </orb>
    注: 上游服务器身份是从服务器在认证层或传输层中发送的安全信息中获取的。认证层身份优先于传输身份,如果在认证层未发送任何安全信息,那么使用传输身份。有关 authenticationLayertransportLayer 元素的样本语法和更多信息,请参阅配置入站 CSIv2 认证层配置入站 CSIv2 传输层
    如果省略层,那么系统对该层使用缺省值。

结果

现在已配置入站 CSIv2 属性层以用于身份断言。

用于指示主题类型的图标 任务主题

文件名:twlp_sec_inboundattributes.html