Configuration d'une couche d'attribut CSIv2 sortante

Vous pouvez configurer un serveur Liberty pour l'exécution de vérifications d'identité pour les demandes CSIv2 sortantes.

Pourquoi et quand exécuter cette tâche

La vérification d'identité est désactivée par défaut dans la couche attribut CSIv2 sortante pour un serveur Liberty. Le serveur qui fait office de client prend en charge l'envoi des vérifications d'identité Nom principal et Anonyme à un serveur en aval une fois la vérification d'identité activée via l'attribut identityAssertionEnabled. Vous pouvez utiliser l'attribut identityAssertionTypes pour spécifier des types de jeton différents ou supplémentaires pris en charge par le serveur pour les demandes sortantes. Les attributs trustedIdentity et trustedPassword peuvent être utilisés pour indiquer l'identité du client qui doit être vérifiée par le serveur en aval lorsque le mécanisme de couche authentification est GSSUP. L'attribut trustedIdentity peut être défini sans trustedPassword si le mécanisme d'authentification dans la couche authentification est LTPA. Vous devez également configurer le serveur en amont en activant la vérification d'identité de sorte que le client puisse vérifier une identité.

Procédure

  1. Ajoutez les fonctions appSecurity-2.0 et ejbRemote-3.2 dans le fichier server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    Voici un exemple de configuration par défaut où il n'est pas nécessaire de l'indiquer dans le fichier server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Facultatif : si vous devez modifier la configuration de couche attribut sortante par défaut, ajoutez un élément <orb> dans le fichier server.xml comme suit ou ajoutez l'élément attributeLayer à un élément existant. Remplacez les exemples de valeurs dans l'exemple par vos propres valeurs.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    Remarque : La valeur d'ID defaultOrb dans l'élément <orb> est prédéfinie et ne peut pas être modifiée.
  3. Indiquez l'identité du serveur en amont pour la validation d'identité par le serveur en aval. L'élément trustedIdentity spécifié doit exister dans le registre d'utilisateurs du serveur cible.
    • Lorsque vous utilisez le mécanisme GSSUP dans la couche authentification, vous devez définir les attributs trustedIdentity et trustedPassword en remplaçant les valeurs en exemple par l'identité et le mot de passe du serveur en amont qui fait office de client.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId" trustedPassword="yourTrustedIdPwd"/>

      Encodez le mot de passe afin qu'il n'apparaisse pas en clair dans le fichier de configuration. Vous pouvez obtenir la valeur encodée en utilisant la commande de codage securityUtility.

    • Lorsque vous utilisez le mécanisme LTPA dans la couche authentification, vous devez définir l'attribut trustedIdentity en remplaçant la valeur en exemple par l'identité du serveur en amont qui fait office de client.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId"/>
  4. Facultatif : Si vous devez changer les types de jeton de vérification d'identité pris en charge par le serveur, ajoutez l'attribut identityAssertionTypes à l'élément attributeLayer dans le fichier server.xml et spécifiez une liste de valeurs séparées par des virgules. Les valeurs valides sont ITTAnonymous, ITTPrincipalName, ITTX509CertChain et ITTDistinguishedName. Vous pouvez, par exemple, configurer le serveur pour une prise en charge de la vérification d'identité avec des chaînes de certificats X509 ou des noms distinctifs. Remplacez les exemples de valeurs dans l'exemple par vos propres valeurs.
    <orb id="defaultOrb">
        <clientPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </clientPolicy.csiv2>
    </orb>
    Remarques :
    • Si les mécanismes LTPA et GSSUP sont tous deux configurés dans la couche authentification et si le serveur en aval prend en charge LTPA, ce dernier a la priorité sur GSSUP.
    • Si les mécanismes LTPA et GSSUP sont tous deux configurés dans la couche authentification et si le serveur en aval prend en charge uniquement GSSUP, ce dernier est utilisé et les attributs trustedIdentity et trustedPassword doivent être spécifiés.
    • L'attribut trustedIdentity n'est pas obligatoire si vous utilisez la chaîne de certificats de transport pour identifier le serveur auprès du serveur en aval. (L'attribut identityAssertionEnabled est défini sur true et establishTrustInClient est défini sur Never dans authenticationLayer).
    • Si une couche est omise, les valeurs par défaut de cette couche sont utilisées.
    Pour plus d'informations sur les éléments authenticationLayer et transportLayer, voir Configuration d'une couche authentication CSIv2 entrante et Configuration d'une couche authentication CSIv2 sortante.

Résultats

Votre couche attribut CSIv2 sortante est maintenant configurée pour la vérification d'identité.

Icône indiquant le type de rubrique Rubrique Tâche



Icône d'horodatage Dernière mise à jour: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_outboundattributes
Nom du fichier : twlp_sec_outboundattributes.html