Pourquoi et quand exécuter cette tâche
L'authentification par certificat client de la couche
transport CSIv2 sortante pour un serveur Liberty est désactivée par défaut. Vous
pouvez configurer transportLayer afin d'indiquer la
configuration SSL à utiliser.
Vous pouvez configurer l'élément SSL pour prendre en charge
l'authentification par certificat ou la rendre obligatoire. Le
certificat adressé au serveur en aval est authentifié par rapport au
registre d'utilisateurs de ce serveur en aval et son identité n'est
utilisée que si aucune autre forme d'authentification n'est envoyée
dans la demande CSIv2, comme une vérification d'identité dans la
couche d'attributs ou un jeton d'authentification dans la couche
d'authentification layer.
Lorsque l'authentification par certificat client est utilisée,
assurez-vous que SSL est pris en charge par ce serveur.
- Ajoutez les fonctions appSecurity-2.0 et
ejbRemote-3.2 dans le fichier
server.xml.
<featureManager>
<feature>appSecurity-2.0</feature>
<feature>ejbRemote-3.2</feature>
</featureManager>
Voici un exemple de configuration par défaut où il n'est pas
nécessaire de l'indiquer dans le fichier
server.xml.
<orb id="defaultOrb">
<serverPolicy.csiv2>
<layers>
<attributeLayer identityAssertionEnabled="false"/>
<authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
<transportLayer/>
</layers>
</serverPolicy.csiv2>
<clientPolicy.csiv2>
<layers>
<attributeLayer identityAssertionEnabled="false"/>
<authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
<transportLayer/>
</layers>
</clientPolicy.csiv2>
</orb>
- Configurez la prise en charge SSL comme décrit dans
Enabling SSL communication for Liberty.
- Facultatif : Configurez l'élément SSL pour l'utilisation de
clientAuthentication ou clientAuthenticationSupported. Par exemple,
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore" clientAuthentication="true" />
ou <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
Facultatif : si vous devez changer la configuration SSL utilisée par la configuration de couche transport sortante, vous pouvez le faire en ajoutant un élément <orb>
dans le fichier server.xml comme ceci ou en ajoutant l'élément transportLayer à un élément existant. Remplacez les exemples de valeurs dans l'exemple par vos propres
valeurs. <orb id="defaultOrb">
<clientPolicy.csiv2>
<layers>
<transportLayer sslRef="defaultSSLConfig"/>
</layers>
</clientPolicy.csiv2>
</orb>
Les options sortantes peuvent également être configurées à partir de la configuration SSL. CSIv2 utilise la configuration SSL sortante par défaut si sslRef n'est pas défini
sur la couche transport. Pour en savoir plus sur la configuration SSL sortante par défaut, voir Configuration d'une couche d'attributs CSIv2 sortante.
Les filtres SSL sortants peuvent également être définis sur la configuration SSL. Les filtres SSL sortants utilisent l'hôte et/ou le port de la connexion sortante pour déterminer quelle
configuration SSL doit être utilisée. Pour en savoir plus sur les filtres SSL sortants, voir Filtres sortants pour configurations SSL.
- Veillez à ce que le serveur en aval fasse
confiance aux certificats de
client envoyés par ce serveur.
- Assurez-vous que les certificats client utilisés pour
l'authentification d'un client est mappé à une identité d'utilisateur
dans le registre d'utilisateurs du serveur en aval.
- Dans le cas du registre de base, l'identité d'utilisateur est la partie CN (nom usuel)
du DN (nom distinctif) du certificat.
- Dans le cas d'un registre LDAP, le DN du certificat de client doit figurer dans le registre
LDAP.
Remarques : - Lorsque l'attribut clientAuthentication est
défini sur true dans l'élément <ssl>,
le client envoie un certificat client uniquement aux serveurs
qui nécessitent ou prennent en charge l'authentification par
certificat client.
- Lorsque l'attribut clientAuthenticationSupported
est défini sur true dans l'élément
<ssl>, le client peut choisir d'envoyer ou non
un certificat client en fonction de la configuration
d'élément <ssl> qui est utilisée par le serveur en aval.
- Lorsque les attributs clientAuthentication et
clientAuthenticationSupported ne sont pas
définis dans l'élément <ssl>, le serveur
qui fait office de client n'est pas activé avec l'authentification
par certificat client.
Si une couche est omise, les valeurs
par défaut de cette couche sont utilisées. Pour plus d'informations sur les éléments
attributeLayer et
authenticationLayer, voir
Configuration
d'une couche d'attributs CSIv2 sortante et
Configuration
d'une couche d'authentification CSIv2 sortante.