配置出埠 CSIv2 屬性層

您可以配置 Liberty 伺服器,以執行出埠 CSIv2 要求的身分主張。

關於這項作業

依預設,在 Liberty 伺服器的出埠 CSIv2 屬性層中,會停用身分主張。透過 identityAssertionEnabled 屬性啟用身分主張之後,擔任用戶端的伺服器支援將「主體名稱」和「匿名」身分主張傳送給下游伺服器。您可以使用 identityAssertionTypes 屬性,來指定伺服器對於出埠要求所支援的其他或不同的身分記號類型。當鑑別層機制是 GSSUP 時,您可以使用 trustedIdentitytrustedPassword 屬性來指定用戶端的身分,讓下游伺服器驗證是否信任它。如果鑑別層中的鑑別機制是 LTPA,可設定 trustedIdentity 屬性,而不設定 trustedPassword 屬性。您也必須配置上游伺服器,並啟用身分主張,這樣用戶端才能主張身分。

程序

  1. server.xml 檔中新增 appSecurity-2.0ejbRemote-3.2 特性。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    下列範例是不需指定在 server.xml 檔中的預設配置。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. 選用:如果您需要變更預設出埠屬性層配置,請依如下所示,在 server.xml 檔中新增 <orb> 元素,或是將 attributeLayer 元素新增至現有的檔案。以您的值取代範例中的範例值。
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    註: <orb> 元素中的 ID 值 defaultOrb 是預先定義的,不能修改。
  3. 指定上游伺服器身分,讓下游伺服器進行信任驗證。指定的 trustedIdentity 必須存在於目標伺服器的使用者登錄中。
    • 如果在鑑別層中使用 GSSUP 機制,您必須設定 trustedIdentitytrustedPassword 屬性,以便將範例值變更為擔任用戶端之上游伺服器的身分和密碼。
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId" trustedPassword="yourTrustedIdPwd"/>

      在配置內進行密碼編碼。 您可以利用 securityUtility 編碼指令,來取得編碼值。

    • 在鑑別層中使用 LTPA 機制時,您必須設定 trustedIdentity 屬性,以便將範例值變更為擔任用戶端之上游伺服器的身分。
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId"/>
  4. 選用:如果您需要變更伺服器支援的預設身分主張記號類型,請在 server.xml 檔的 attributeLayer 元素中,新增 identityAssertionTypes 屬性,並指定以逗點區隔的值清單。有效值是 ITTAnonymousITTPrincipalNameITTX509CertChain,以及 ITTDistinguishedName。例如,您可以將伺服器配置成支援「X509 憑證鏈」或「識別名稱」的主張身分。以您的值取代範例中的範例值。
    <orb id="defaultOrb">
        <clientPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </clientPolicy.csiv2>
    </orb>
    附註:
    • 如果在鑑別層中同時配置了 LTPA 和 GSSUP,且下游伺服器支援 LTPA,則 LTPA 優先於 GSSUP。
    • 如果在鑑別層中同時配置了 LTPA 和 GSSUP,且下游伺服器只支援 GSSUP,則會使用 GSSUP,並且必須指定 trustedIdentitytrustedPassword 屬性。
    • 如果您使用傳輸憑證鏈,向下游伺服器識別該伺服器,就不需要指定 trustedIdentity 屬性。(在 authenticationLayer 中,identityAssertionEnabled 屬性設為 true,且 establishTrustInClient 設為 Never)。
    • 如果省略某層,會使用該層的預設值。
    如需 authenticationLayertransportLayer 元素的相關資訊,請參閱配置出埠 CSIv2 鑑別層配置出埠 CSIv2 傳輸層

結果

現在您已配置出埠 CSIv2 屬性層,以主張身分。

指示主題類型的圖示 作業主題



「時間戳記」圖示 前次更新: 2016 年 11 月 30 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_outboundattributes
檔名:twlp_sec_outboundattributes.html