Configuration de la couche transport CSIv2 sortante

Vous pouvez configurer un serveur Liberty pour l'exécution d'une authentification par certificat client pour les demandes CSIv2 sortantes.

Pourquoi et quand exécuter cette tâche

L'authentification par certificat client de la couche transport CSIv2 sortante pour un serveur Liberty est désactivée par défaut. Vous pouvez configurer transportLayer afin d'indiquer la configuration SSL à utiliser.

Vous pouvez configurer l'élément SSL pour prendre en charge l'authentification par certificat ou la rendre obligatoire. Le certificat adressé au serveur en aval est authentifié par rapport au registre d'utilisateurs de ce serveur en aval et son identité n'est utilisée que si aucune autre forme d'authentification n'est envoyée dans la demande CSIv2, comme une vérification d'identité dans la couche d'attributs ou un jeton d'authentification dans la couche d'authentification layer.

Lorsque l'authentification par certificat client est utilisée, assurez-vous que SSL est pris en charge par ce serveur.

Procédure

  1. Ajoutez les fonctions appSecurity-2.0 et ejbRemote-3.2 dans le fichier server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>

    Voici un exemple de configuration par défaut où il n'est pas nécessaire de l'indiquer dans le fichier server.xml.

        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Configurez la prise en charge SSL comme décrit dans Enabling SSL communication for Liberty.
  3. Facultatif : Configurez l'élément SSL pour l'utilisation de clientAuthentication ou clientAuthenticationSupported. Par exemple,
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    ou
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
            trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
  4. [17.0.0.3 and later]Facultatif : si vous devez changer la configuration SSL utilisée par la configuration de couche transport sortante, vous pouvez le faire en ajoutant un élément <orb> dans le fichier server.xml comme ceci ou en ajoutant l'élément transportLayer à un élément existant. Remplacez les exemples de valeurs dans l'exemple par vos propres valeurs.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <transportLayer sslRef="defaultSSLConfig"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>

    Les options sortantes peuvent également être configurées à partir de la configuration SSL. CSIv2 utilise la configuration SSL sortante par défaut si sslRef n'est pas défini sur la couche transport. Pour en savoir plus sur la configuration SSL sortante par défaut, voir Configuration d'une couche d'attributs CSIv2 sortante.

    Les filtres SSL sortants peuvent également être définis sur la configuration SSL. Les filtres SSL sortants utilisent l'hôte et/ou le port de la connexion sortante pour déterminer quelle configuration SSL doit être utilisée. Pour en savoir plus sur les filtres SSL sortants, voir Filtres sortants pour configurations SSL.

  5. Veillez à ce que le serveur en aval fasse confiance aux certificats de client envoyés par ce serveur.
  6. Assurez-vous que les certificats client utilisés pour l'authentification d'un client est mappé à une identité d'utilisateur dans le registre d'utilisateurs du serveur en aval.
    • Dans le cas du registre de base, l'identité d'utilisateur est la partie CN (nom usuel) du DN (nom distinctif) du certificat.
    • Dans le cas d'un registre LDAP, le DN du certificat de client doit figurer dans le registre LDAP.
    Remarques :
    • Lorsque l'attribut clientAuthentication est défini sur true dans l'élément <ssl>, le client envoie un certificat client uniquement aux serveurs qui nécessitent ou prennent en charge l'authentification par certificat client.
    • Lorsque l'attribut clientAuthenticationSupported est défini sur true dans l'élément <ssl>, le client peut choisir d'envoyer ou non un certificat client en fonction de la configuration d'élément <ssl> qui est utilisée par le serveur en aval.
    • Lorsque les attributs clientAuthentication et clientAuthenticationSupported ne sont pas définis dans l'élément <ssl>, le serveur qui fait office de client n'est pas activé avec l'authentification par certificat client.
    Si une couche est omise, les valeurs par défaut de cette couche sont utilisées. Pour plus d'informations sur les éléments attributeLayer et authenticationLayer, voir Configuration d'une couche d'attributs CSIv2 sortante et Configuration d'une couche d'authentification CSIv2 sortante.

Résultats

Votre couche transport CSIv2 sortante est maintenant configurée pour l'authentification par certificat client.

Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_sec_csiv2outtransport.html