Configuración de la capa de transporte CSIv2 de salida

Puede configurar un servidor de Liberty para realizar la autenticación de certificados de cliente para las solicitudes CSIv2 de salida.

Acerca de esta tarea

La autenticación de certificados de cliente de la capa de transporte CSIv2 de salida para un servidor de Liberty está inhabilitada de forma predeterminada. Puede configurar transportLayer para especificar la configuración SSL que desee utilizar.

Puede configurar el elemento SSL para dar soporte a la autenticación de certificados de cliente o requerirla. El certificado que se envía al servidor en sentido descendente se autentica con el registro de usuarios del servidor en sentido descendente, y su identidad sólo se utiliza si no se envía ninguna otra forma de autenticación en la solicitud CSIv2 como, por ejemplo, una aserción de identidad en la capa de atributos o una señal de autenticación en la capa de autenticación.

Cuando se utiliza la autenticación de certificados de cliente, asegúrese de que este servidor dé soporte a SSL.

Procedimiento

  1. Añada las características appSecurity-2.0 y ejbRemote-3.2 en el archivo server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>

    El ejemplo siguiente es la configuración predeterminada sin tener que especificarla en el archivo server.xml.

        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Configure el soporte SSL como se describe en Habilitación de la comunicación SSL para Liberty.
  3. Opcional: configure el elemento SSL para que utilice clientAuthentication o clientAuthenticationSupported. Por ejemplo,
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    o
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
            trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
  4. Opcional: si tiene que cambiar la capa de transporte predeterminada de salida, añada un elemento <orb> en el archivo server.xml tal como se indica a continuación o añada el elemento transportLayer a uno existente. Sustituya los valores de ejemplo por sus valores.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <transportLayer sslRef="defaultSSLConfig"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    Nota: El valor de ID defaultOrb en el elemento <orb> viene predefinido y no se puede modificar.
  5. Asegúrese de que el servidor en sentido descendente confíe en los certificados de cliente que se envían desde este servidor.
  6. Asegúrese de que los certificados de cliente utilizados para la autenticación de cliente se correlacionen con una identidad de usuario en el registro de usuarios del servidor en sentido descendente.
    • Para el registro básico, la identidad de usuario es el nombre común (CN) del nombre distinguido (DN) del certificado.
    • Para un registro LDAP (Lightweight Directory Access Protocol), el DN del certificado de cliente debe estar en el registro LDAP.
    Notas:
    • Cuando el atributo clientAuthentication se establece en true en el elemento <ssl>, el cliente envía un certificado de cliente sólo a los servidores que requieran la autenticación de certificados de cliente o que la admitan.
    • Cuando el atributo clientAuthenticationSupported se establece en true en el elemento <ssl>, el cliente puede decidir si envía un certificado de cliente basado en la configuración del elemento <ssl> que utiliza el servidor en sentido descendente.
    • Cuando los atributos clientAuthentication y clientAuthenticationSupported no se establecen en el elemento <ssl>, el servidor que actúa como cliente no se habilita con la autenticación de certificados de cliente.
    Al omitir una capa se utilizan los valores predeterminados para esa capa. Para obtener más información sobre los elementos attributeLayer y authenticationLayer, consulte Configuración de la capa de atributos CSIv2 de salida y Configuración de la capa de autenticación CSIv2 de salida.

Resultados

La capa de transporte CSIv2 de salida está ahora configurada para la autenticación de certificados de cliente.

Icono que indica el tipo de tema Tema de tarea



Icono de indicación de fecha y hora Última actualización: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_csiv2outtransport
Nombre de archivo:twlp_sec_csiv2outtransport.html