Puede configurar un servidor de Liberty para que utilice un mecanismo de autenticación específico.
Acerca de esta tarea
La capa de autenticación CSIv2 de entrada para un servidor de Liberty está habilitada con soporte para los mecanismos de autenticación LTPA y GSSUP de forma predeterminada. La opción de asociación establishTrustInClient de la capa de autenticación se establece en Required de forma predeterminada para indicar que los mecanismos de autenticación especificados son necesarios. Cuando utilice el mecanismo LTPA, asegúrese de que los servidores de Liberty que se comunican y otros servidores compartan las mismas claves LTPA.
Procedimiento
- Añada las características appSecurity-2.0 y ejbRemote-3.2 en el archivo server.xml.
<featureManager>
<feature>appSecurity-2.0</feature>
<feature>ejbRemote-3.2</feature>
</featureManager>
En el ejemplo siguiente se muestra la configuración predeterminada sin tener que especificarla en el archivo server.xml.
<orb id="defaultOrb">
<serverPolicy.csiv2>
<layers>
<attributeLayer identityAssertionEnabled="false"/>
<authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
<transportLayer/>
</layers>
</serverPolicy.csiv2>
<clientPolicy.csiv2>
<layers>
<attributeLayer identityAssertionEnabled="false"/>
<authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
<transportLayer/>
</layers>
</clientPolicy.csiv2>
</orb>
- Opcional: si tiene que cambiar la capa de autenticación predeterminada de entrada, añada un elemento
<orb> en el archivo server.xml tal como se indica a continuación o añada el elemento
authenticationLayer a uno existente. Sustituya los valores de ejemplo por sus valores.
<orb id="defaultOrb">
<serverPolicy.csiv2>
<layers>
<authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
</layers>
</serverPolicy.csiv2>
</orb>
Nota: El valor de ID defaultOrb en el elemento <orb> viene predefinido y no se puede modificar.
- Opcional: establezca el atributo mechanisms en LTPA o GSSUP para utilizar LTPA o GSSUP (nombre de usuario y contraseña) sólo como el mecanismo de autenticación.
<authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/>
o
<authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
- Opcional: establezca el atributo establishTrustInClient en Required, Supported o Never para indicar que el servidor necesita, da soporte (opcional) o nunca reclama la autenticación con los mecanismos especificados.
Notas:
- Cuando el atributo establishTrustInClient se establece en Required, el cliente puede enviar una señal de autenticación de uno de los mecanismos especificados sólo a los servidores que requieran o den soporte a los mismos mecanismos de autenticación.
- Cuando el atributo establishTrustInClient se establece en Supported, el cliente puede elegir si desea enviar la información de autenticación en la capa de autenticación.
- Cuando el atributo establishTrustInClient se establece en Never, la capa de autenticación CSIv2 de entrada se inhabilita y debe habilitarse al menos otra capa CSIv2 para realizar la autenticación.
Al omitir una capa se utilizan los valores predeterminados para esa capa.
Para obtener más información sobre los elementos attributeLayer y transportLayer, consulte Configuración de la capa de atributos CSIv2 de entrada y Configuración de la capa de transporte CSIv2 de entrada.
Resultados
La capa de autenticación CSIv2 de entrada está ahora configurada.