アウトバウンド CSIv2 認証層の構成

特定の認証メカニズムをアウトバウンド CSIv2 要求に対して使用するように Liberty サーバーを構成できます。

このタスクについて

Liberty サーバーのアウトバウンド CSIv2 認証層は、デフォルトで、LTPA 認証メカニズムおよび GSSUP 認証メカニズムのサポートと共に有効にされます。認証層の establishTrustInClient 関連オプションは、 デフォルトで Supported に設定され、指定された認証メカニズムがサポートされ、使用は任意であることを示します。

LTPA メカニズムが使用される場合、通信している Liberty サーバーと他のサーバーが同じ LTPA 鍵を共有することを確認してください。

手順

  1. server.xml ファイルで appSecurity-2.0 フィーチャーおよび ejbRemote-3.2 フィーチャーを追加します。
            <featureManager>
                <feature>appSecurity-2.0</feature>
                <feature>ejbRemote-3.2</feature>
            </featureManager>
    以下の例は、server.xml ファイルでの指定を必要としないデフォルト構成です。
        <orb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <attributeLayer identityAssertionEnabled="false"/>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                        <transportLayer/>
                    </layers>
                </serverPolicy.csiv2>
                <clientPolicy.csiv2>
                    <layers>
                        <attributeLayer identityAssertionEnabled="false"/>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                        <transportLayer/>
                    </layers>
                </clientPolicy.csiv2>
        </orb>
  2. オプション: デフォルトのアウトバウンド認証層構成を変更する必要がある場合、次のように server.xml ファイルに <orb> エレメントを追加するか、または、既存のエレメントに authenticationLayer エレメントを追加します。例で使用されているサンプル値は実際の値で置き換えてください。
            <orb id="defaultOrb">
                <clientPolicy.csiv2>
                    <layers>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    </layers>
                </clientPolicy.csiv2>
            </orb>
    注: orb エレメント内の ID 値 <defaultOrb> は、事前定義されていて、変更はできません。
  3. オプション: mechanisms 属性を LTPA または GSSUP に設定して、 LTPA または GSSUP (ユーザー名およびパスワード) のいずれかのみを認証メカニズムとして使用します。
        <authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/>
    または
        <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
  4. オプション: establishTrustInClient 属性を RequiredSupported、または Never に設定して、 クライアントとして動作するサーバーが、指定されたメカニズムでの認証を、必要とすること、サポートすること (オプションであること)、または決して実行しないことを示します。
    注:
    • establishTrustInClient 属性が Required に設定されている場合、 クライアントは、指定されたメカニズムのうちのいずれかの認証トークンを、 同じ認証メカニズムを必要とするか、またはサポートするサーバーにのみ送信できます。
    • establishTrustInClient 属性が Supported に設定されている場合、 クライアントは認証層で認証情報を送信するかどうかを選択できます。ダウンストリーム・サーバーが Supported または Required を指定して構成されている場合、 クライアントは互換の認証トークンを送信します。
    • establishTrustInClient 属性が Never に設定されている場合、アウトバウンド CSIv2 認証層は使用不可になり、 少なくとも 1 つの他の CSIv2 層がダウンストリーム・サーバーへの認証を行えるように使用可能にされている必要があります。
    • いずれかの層を省略すると、その層にはデフォルト値が使用されます。
    attributeLayer エレメントおよび transportLayer エレメントについて詳しくは、『アウトバウンド CSIv2 属性層の構成』および『アウトバウンド CSIv2 トランスポート層の構成』を参照してください。認証メカニズムとして GSSUP を使用する場合のプログラマチック・ログインの例については、 例: WSLogin 構成を使用した基本認証サブジェクトの作成を参照してください。

タスクの結果

これで、アウトバウンド CSIv2 認証層が構成されました。

トピックのタイプを示すアイコン タスク・トピック

ファイル名: twlp_sec_outboundauth.html