Configuration d'une couche transport CSIv2 entrante

Vous pouvez configurer un serveur Liberty pour demander la prise en charge de l'authentification par certificat client pour les demandes CSIv2 entrantes.

Pourquoi et quand exécuter cette tâche

La couche transport CSIv2 entrante pour un serveur Liberty dispose d'une fonction d'authentification par certificat client qui est désactivée par défaut. Vous pouvez configurer transportLayer afin d'indiquer la configuration SSL à utiliser. Vous pouvez configurer l'élément SSL pour prendre en charge ou exiger l'authentification par certificat client. Le certificat qui est reçu est authentifié par rapport au registre utilisateur du serveur, et son identité est aussi utilisées si aucune autre forme d'authentification n'a été envoyée dans la demande CSIv2, comme une vérification d'identité dans la couche d'attribut ou un jeton d'authentification dans la couche d'authentification.

Lorsque vous utilisez l'authentification par certificat client, assurez-vous que SSL est pris en charge par ce serveur.

Procédure

  1. Ajoutez les fonctions appSecurity-2.0 et ejbRemote-3.2 dans le fichier server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    Voici un exemple de configuration par défaut où il n'est pas nécessaire de l'indiquer dans le fichier server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Configurez la prise en charge SSL comme décrit à la page Activation de la communication SSL dans Liberty.
  3. Configurez l'élément SSL pour l'utilisation de clientAuthentication ou clientAuthenticationSupported. Exemple :
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    ou
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
    • Si vous spécifiez clientAuthentication="true", le serveur exige d'un client qu'il envoie un certificat. Toutefois, si le client n'a pas de certificat ou si celui qu'il envoie n'est pas reconnu comme digne de confiance par le serveur, l'établissement de liaison SSL échoue.
    • Si vous spécifiez clientAuthenticationSupported="true", le serveur exige d'un client qu'il envoie un certificat. Toutefois, si le client n'a pas de certificat ou si celui qu'il envoie n'est pas reconnu comme digne de confiance par le serveur, l'établissement de liaison aboutit encore.
    • Si les attributs clientAuthentication et clientAuthenticationSupported sont tous deux omis, ou si vous indiquez explicitement clientAuthentication="false" ou clientAuthenticationSupported="false", le serveur ne demande pas au client d'envoyer un certificat lors de l'établissement de liaison SSL.
  4. Facultatif : si vous devez modifier la configuration de couche transport entrante par défaut, ajoutez un élément <orb> dans le fichier server.xml comme suit ou ajoutez l'élément transportLayer à un élément existant. Remplacez les exemples de valeurs dans l'exemple par vos propres valeurs.
            <orb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <transportLayer sslRef="defaultSSLConfig"/>
                    </layers>
                </serverPolicy.csiv2>
            </orb>
    Remarque : La valeur d'ID defaultOrb dans l'élément <orb> est prédéfinie et ne peut pas être modifiée.
  5. Veillez à ce que le serveur fasse confiance aux certificats de client utilisés.
  6. Assurez-vous que chaque certificat de client utilisé pour l'authentification d'un client est mappé à une identité d'utilisateur dans votre registre.
    • Dans le cas du registre de base, l'identité d'utilisateur est la partie CN (nom usuel) du DN (nom distinctif) du certificat.
    • Dans le cas d'un registre LDAP, le DN du certificat de client doit figurer dans le registre LDAP.
    Si une couche est omise, les valeurs par défaut de cette couche sont utilisées. Pour plus d'informations sur les éléments attributeLayer et authenticationLayer, voir Configuration d'une couche d'attribut CSIv2 entrante et Configuration d'une couche d'authentification CSIv2 entrante.

Résultats

Votre couche transport CSIv2 entrante est maintenant configurée pour l'authentification par certificat client.

Icône indiquant le type de rubrique Rubrique Tâche



Icône d'horodatage Dernière mise à jour: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_inboundtransport
Nom du fichier : twlp_sec_inboundtransport.html