Configuración de la capa de autenticación CSIv2 de salida

Puede configurar un servidor Liberty para que utilice mecanismos de autenticación específicos para las solicitudes CSIv2 de salida.

Acerca de esta tarea

De forma predeterminada, la capa de autenticación CSIv2 de salida para un servidor Liberty está habilitada con soporte para los mecanismos de autenticación LTPA y GSSUP. La opción de asociación establishTrustInClient de la capa de autenticación se establece en Supported de forma predeterminada para indicar que los mecanismos de autenticación especificados están soportados y son opcionales.

Cuando utilice el mecanismo LTPA, asegúrese de que los servidores Liberty que se comunican y otros servidores compartan las mismas claves LTPA.

Procedimiento

  1. Añada las características appSecurity-2.0 y ejbRemote-3.2 en el archivo server.xml.
            <featureManager>
                <feature>appSecurity-2.0</feature>
                <feature>ejbRemote-3.2</feature>
            </featureManager>
    El ejemplo siguiente es la configuración predeterminada sin tener que especificarla en el archivo server.xml.
        <orb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <attributeLayer identityAssertionEnabled="false"/>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                        <transportLayer/>
                    </layers>
                </serverPolicy.csiv2>
                <clientPolicy.csiv2>
                    <layers>
                        <attributeLayer identityAssertionEnabled="false"/>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                        <transportLayer/>
                    </layers>
                </clientPolicy.csiv2>
        </orb>
  2. Opcional: si tiene que cambiar la configuración predeterminada de la capa de autenticación de salida, añada un elemento <orb> en el archivo server.xml tal como se indica a continuación o añada el elemento authenticationLayer a uno existente. Sustituya los valores de ejemplo por sus valores.
            <orb id="defaultOrb">
                <clientPolicy.csiv2>
                    <layers>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    </layers>
                </clientPolicy.csiv2>
            </orb>
    Nota: El valor de ID defaultOrb en el elemento <orb> viene predefinido y no se puede modificar.
  3. Opcional: establezca el atributo mechanisms en LTPA o GSSUP para utilizar LTPA o GSSUP (nombre de usuario y contraseña) sólo como el mecanismo de autenticación.
        <authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/>
    o
        <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
  4. Opcional: establezca el atributo establishTrustInClient en Required, Supported o Never para indicar que el servidor que actúa como cliente necesita, da soporte (opcional) o nunca realiza la autenticación con los mecanismos especificados.
    Notas:
    • Cuando el atributo establishTrustInClient se establece en Required, el cliente puede enviar una señal de autenticación de uno de los mecanismos especificados sólo a los servidores que requieran o den soporte a los mismos mecanismos de autenticación.
    • Cuando el atributo establishTrustInClient se establece en Supported, el cliente puede elegir si desea enviar la información de autenticación en la capa de autenticación. Si el servidor en sentido descendente se configura con Supported o Required, el cliente envía una señal de autenticación compatible.
    • Cuando el atributo establishTrustInClient se establece en Never, la capa de autenticación CSIv2 de salida se inhabilita y debe habilitarse al menos otra capa CSIv2 para realizar la autenticación en el servidor en sentido descendente.
    • Al omitir una capa se utilizan los valores predeterminados para esa capa.
    Para obtener más información sobre los elementos attributeLayer y transportLayer, consulte Configuración de la capa de atributos CSIv2 de salida y Configuración de la capa de transporte CSIv2 de salida. Para obtener un ejemplo de un inicio de sesión programático cuando se utiliza GSSUP como mecanismo de autenticación, consulte Ejemplo: utilización de la configuración de WSLogin para crear un asunto de autenticación básico.

Resultados

La capa de autenticación CSIv2 de salida está ahora configurada.

Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: twlp_sec_outboundauth.html