Configuración de la capa de autenticación CSIv2 de entrada

Puede configurar un servidor Liberty para que utilice un mecanismo de autenticación específico para solicitudes CSIv2 de entrada.

Acerca de esta tarea

De forma predeterminada, la capa de autenticación CSIv2 de entrada para un servidor Liberty está habilitada con soporte para los mecanismos de autenticación LTPA y GSSUP. La opción de asociación establishTrustInClient de la capa de autenticación se establece en Required de forma predeterminada para indicar que los mecanismos de autenticación especificados son necesarios. Cuando utilice el mecanismo LTPA, asegúrese de que los servidores Liberty que se comunican y otros servidores compartan las mismas claves LTPA.

Procedimiento

  1. Añada las características appSecurity-2.0 y ejbRemote-3.2 en el archivo server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>

    En el ejemplo siguiente se muestra la configuración predeterminada sin tener que especificarla en el archivo server.xml.

        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Opcional: si tiene que cambiar la configuración predeterminada de la capa de autenticación de entrada, añada un elemento <orb> en el archivo server.xml tal como se indica a continuación o añada el elemento authenticationLayer a uno existente. Sustituya los valores de ejemplo por sus valores.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                </layers>
            </serverPolicy.csiv2>
            </orb>
    Nota: El valor de ID defaultOrb en el elemento <orb> viene predefinido y no se puede modificar.
  3. Opcional: establezca el atributo mechanisms en LTPA o GSSUP para utilizar LTPA o GSSUP (nombre de usuario y contraseña) sólo como el mecanismo de autenticación.
        <authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/>
        o
        <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
  4. Opcional: establezca el atributo establishTrustInClient en Required, Supported o Never para indicar que el servidor necesita, da soporte (opcional) o nunca reclama la autenticación con los mecanismos especificados.
    Notas:
    • Cuando el atributo establishTrustInClient se establece en Required, el cliente puede enviar una señal de autenticación de uno de los mecanismos especificados sólo a los servidores que requieran o den soporte a los mismos mecanismos de autenticación.
    • Cuando el atributo establishTrustInClient se establece en Supported, el cliente puede elegir si desea enviar la información de autenticación en la capa de autenticación.
    • Cuando el atributo establishTrustInClient se establece en Never, la capa de autenticación CSIv2 de entrada se inhabilita y debe habilitarse al menos otra capa CSIv2 para realizar la autenticación.

      Al omitir una capa se utilizan los valores predeterminados para esa capa.

      Para obtener más información sobre los elementos attributeLayer y transportLayer, consulte Configuración de la capa de atributos CSIv2 de entrada y Configuración de la capa de transporte CSIv2 de entrada.

Resultados

La capa de autenticación CSIv2 de entrada está ahora configurada.

Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: twlp_sec_inboundauth.html