Attributebene für eingehende CSIv2-Anforderungen konfigurieren

Sie können einen Liberty-Server so konfigurieren, dass er Unterstützung für die Identitätszusicherung für eingehende CSIv2-Anforderungen anfordert.

Informationen zu diesem Vorgang

Die Attributebene für eingehende CSIv2-Anforderungen für einen Liberty-Server hat eine Identitätszusicherung, die standardmäßig inaktiviert ist. Der Server unterstützt Identitätszusicherungen auf der Basis von anonymen Identitäten, Principalnamen, X509-Zertifikatsketten und definierten Namen über einen Upstream-Server, der als Client agiert, nachdem die Identitätszusicherung mit dem Attribut identityAssertionEnabled aktiviert wurde. Mit dem Attribut identityAssertionTypes können Sie die vom Server unterstützten Identitätstokentypen angeben. Das Attribut trustedIdentities kann verwendet werden, um die Identität der anerkannten Upstream-Server anzugeben, die diesem Server eine Identität zusichern können.
Vorsicht:
Stellen Sie sicher, dass nur vertrauenswürdige Entitäten mit dem Server kommunizieren, wenn eine angenommene Vertrauensbeziehung festgelegt wird.

Vorgehensweise

  1. Fügen Sie die Features appSecurity-2.0 und ejbRemote-3.2 der Datei server.xml hinzu.
        <featureManager> 
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    Im Folgenden finden Sie die Standardkonfiguration ohne Angabe in der Datei server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Optional: Wenn Sie die Standardkonfiguration der Attributebene für eingehende Anforderungen ändern müssen, fügen Sie der Datei server.xml wie folgt ein <orb>-Element hinzu oder fügen Sie das attributeLayer-Element einem vorhandenen Element hinzu. Ersetzen Sie die Werte im Beispiel durch Ihre eigenen Werte.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </serverPolicy.csiv2>
        </orb>
    Anmerkung: Der ID-Wert defaultOrb im <orb>-Element ist vordefiniert und kann nicht geändert werden.
  3. Legen Sie das Attribut trustedIdentities fest, indem Sie die Beispielwerte durch die Werte für die anerkannte Identität (trustedIdentity) der einzelnen Upstream-Server ersetzen. Das Pipezeichen (|) muss verwendet werden, um die Werte voneinander zu trennen, wenn mehrere zusichernde Clients angegeben werden.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="yourAssertingUpstreamServer|anotherAssertingUpstreamServer"/>
  4. Alternative: Anstatt einen namentlich genannten Wert für das Attribut trustedIdentities in Schritt 2 festzulegen, können Sie für das Element trustedIdentities das Sternzeichen (*) angeben, um anzuzeigen, dass der Server eine angenommene Vertrauensbeziehung unterstützt. Mit dem Konzept der angenommenen Vertrauensbeziehung kann jeder Upstream-Server eine Identität zusichern und das Konzept darf nur verwendet werden, wenn die Upstream-Server auf eine Gruppe anerkannter Server begrenzt werden können. Verwenden Sie diesen Wert deswegen mit Vorsicht.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="*"/>
  5. Wenn ein Upstream-Server, der eine Zertifikatskette sendet, anerkannt wird, fügen Sie den definierten Namen des Ausstellers der Zertifikatskette dem Attribut trustedIdentities hinzu. Beispiel:
        <attributeLayer identityAssertionEnabled="true" trustedIdentities="CN=localhost,O=ibm,C=us"/>
  6. Optional: Wenn Sie die vom Server unterstützten Standardtokentypen für die Identitätszusicherung ändern müssen, fügen Sie dem Element attributeLayer in der Datei server.xml das Attribut identityAssertionTypes hinzu und geben Sie eine durch Kommas getrennte Liste mit Werten an. Die gültigen Werte sind ITTAnonymous, ITTPrincipalName, ITTX509CertChain und ITTDistinguishedName. Sie können den Server beispielsweise so konfigurieren, dass Identitätszusicherungen auf der Basis von X509-Zertifikatsketten oder definierten Namen unterstützt werden. Ersetzen Sie die Werte im Beispiel durch Ihre eigenen Werte.
    <orb id="defaultOrb">
        <serverPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </serverPolicy.csiv2>
    </orb>
    Anmerkung: Die Identität des Upstream-Servers wird über die Sicherheitsinformationen abgerufen, die der Server auf der Authentifizierungs- oder Transportebene gesendet hat. Die Identität der Authentifizierungsebene hat Vorrang vor der Transportidentität und die Transportidentität wird verwendet, wenn keine Sicherheitsinformationen auf der Authentifizierungsebene gesendet werden. Eine Beispielsyntax und weitere Informationen zu den Elementen authenticationLayer und transportLayer finden Sie in den Abschnitten Authentifizierungsebene für eingehende CSIv2-Anforderungen konfigurieren und Transportebene für eingehende CSIv2-Anforderungen konfigurieren.
    Wenn Sie für eine Ebene keine Werte angeben, werden die Standardwerte für diese Ebene verwendet.

Ergebnisse

Die Attributebene für eingehende CSIv2-Anforderungen ist jetzt für die Identitätszusicherung konfiguriert.

Symbol das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 01.12.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_inboundattributes
Dateiname: twlp_sec_inboundattributes.html