Configuración de la capa de atributos CSIv2 de entrada

Puede configurar un servidor de Liberty para reclamar soporte para la aserción de identidad para las solicitudes CSIv2 de entrada.

Acerca de esta tarea

La capa de atributos CSIv2 de entrada para un servidor de Liberty tiene una aserción de identidad que está inhabilitada de forma predeterminada. El servidor da soporte a las aserciones de identidad de nombre principal, anónimas, de cadena de certificados X509 y de nombre distinguido desde un servidor en sentido ascendente que actúa como cliente después de habilitar la aserción de identidades con el atributo identityAssertionEnabled. Puede utilizar el atributo identityAssertionTypes para especificar los tipos de señal de identidad a los que el servidor da soporte. El atributo trustedIdentities puede utilizarse para especificar la identidad de los servidores en sentido ascendente de confianza que pueden certificar una identidad en este servidor.
PRECAUCIÓN:
Asegúrese de que sólo se comuniquen entidades de confianza con el servidor si se supone que se ha establecido de confianza.

Procedimiento

  1. Añada las características appSecurity-2.0 y ejbRemote-3.2 en el archivo server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    A continuación se muestra la configuración predeterminada sin tener que especificarla en el archivo server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Opcional: si tiene que cambiar la capa del atributo predeterminado de entrada, añada un elemento <orb> en el archivo server.xml tal como se indica a continuación o añada el elemento attributeLayer a uno existente. Sustituya los valores de ejemplo por sus valores.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </serverPolicy.csiv2>
        </orb>
    Nota: El valor de ID defaultOrb en el elemento <orb> viene predefinido y no se puede modificar.
  3. Establezca el atributo trustedIdentities cambiando los valores de ejemplo para trustedIdentity de cada servidor en sentido ascendente. Debe utilizarse el carácter de barra vertical (|) para separar los valores cuando hay más de un cliente realizando la aserción.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="yourAssertingUpstreamServer|anotherAssertingUpstreamServer"/>
  4. Alternativa: en lugar de establecer un valor con nombre para trustedIdentities en el paso 2, puede establecer el atributo trustedIdentities con el carácter (*) para indicar que el servidor da soporte a la confianza supuesta. Con la confianza supuesta, cualquier servidor en sentido ascendente puede realizar la aserción de una identidad y debe utilizarse sólo cuando los servidores en sentido ascendente puedan limitarse a un conjunto de servidores de confianza. Por lo tanto, utilice este valor con precaución.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="*"/>
  5. Cuando un servidor en sentido ascendente que envía una cadena de certificados es de confianza, añada el nombre distinguido del emisor de la cadena de certificados al atributo trustedIdentities. Por ejemplo:
        <attributeLayer identityAssertionEnabled="true" trustedIdentities="CN=localhost,O=ibm,C=us"/>
  6. Opcional: Si necesita cambiar los tipos de señal de aserción de identidad predeterminados soportados por el servidor, añada el atributo identityAssertionTypes al elemento attributeLayer en el archivo server.xml y especifique una lista de valores separados por comas. Los valores válidos son ITTAnonymous, ITTPrincipalName, ITTX509CertChain y ITTDistinguishedName. Por ejemplo, puede configurar el servidor para dar soporte a aserciones de identidad con nombres distinguidos o cadenas de certificados X509. Sustituya los valores de ejemplo por sus valores.
    <orb id="defaultOrb">
        <serverPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </serverPolicy.csiv2>
    </orb>
    Nota: La identidad del servidor en sentido ascendente se obtiene de la información de seguridad que el servidor envía en la capa de autenticación o en la capa de transporte. La identidad de la capa de autenticación tiene prioridad sobre la identidad de transporte, y la identidad de transporte se utiliza si no se envía ninguna información de seguridad en la capa de autenticación. Para ver la sintaxis de ejemplo y obtener más información sobre los elementos authenticationLayer y transportLayer, consulte Configuración de la capa de autenticación CSIv2 de entrada y Configuración de la capa de transporte CSIv2 de entrada.
    Al omitir una capa se utilizan los valores predeterminados para esa capa.

Resultados

La capa de atributos CSIv2 de entrada está ahora configurada para la aserción de identidades.

Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: twlp_sec_inboundattributes.html