아웃바운드 CSIv2 속성 계층 구성

Liberty 서버를 구성하여 아웃바운드 CSIv2 요청에 대해 ID 어설션을 수행할 수 있습니다.

이 태스크 정보

ID 어설션은 Liberty 서버의 아웃바운드 CSIv2 속성 계층에서 기본적으로 사용 안함으로 설정되어 있습니다. 클라이언트로 작동하고 있는 서버는 ID 어설션이 identityAssertionEnabled 속성을 통해 사용으로 설정된 후 프린시펄 이름과 익명 ID 어설션을 다운스트림 서버로 보내는 것을 지원합니다. identityAssertionTypes 속성을 사용하여 서버가 아웃바운드 요청에 지원하는 추가 또는 다른 ID 토큰 유형을 지정할 수 있습니다. trustedIdentitytrustedPassword 속성은 인증 계층 메커니즘이 GSSUP인 경우 다운스트림 서버에서 신뢰를 확인할 클라이언트의 ID를 지정하는 데 사용할 수 있습니다. trustedIdentity 속성은 인증 계층의 인증 메커니즘이 LTPA인 경우 trustedPassword 없이 설정할 수 있습니다.또한 클라이언트가 ID를 어설션할 수 있도록 ID 어설션을 사용으로 설정하는 것과 함께 업스트림 서버를 구성해야 합니다.

프로시저

  1. server.xml 파일에서 appSecurity-2.0ejbRemote-3.2 기능을 추가하십시오.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    다음 예는 server.xml 파일에서 지정할 필요가 없는 기본 구성입니다.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. 선택사항: 기본 아웃바운드 속성 계층 구성을 변경해야 하는 경우, 다음과 같이 server.xml 파일에 <orb> 요소를 추가하거나 attributeLayer 요소를 기존 요소에 추가하십시오. 예제의 샘플 값을 사용자 값으로 대체하십시오.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    참고: <orb> 요소의 ID 값 defaultOrb는 사전 정의되어 있으며 수정할 수 없습니다.
  3. 다운스트림 서버에서 신뢰 유효성 검증을 수행할 업스트림 서버 ID를 지정하십시오. 지정된 trustedIdentity는 대상 서버의 사용자 레지스트리에 존재해야 합니다.
    • 인증 계층에서 GSSUP 메커니즘을 사용 중인 경우, 클라이언트로 작동하고 있는 업스트림 서버의 ID와 비밀번호로 예제 값을 변경하여 trustedIdentitytrustedPassword 속성을 설정해야 합니다.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId" trustedPassword="yourTrustedIdPwd"/>

      구성 내의 비밀번호를 인코딩하십시오. securityUtility 인코드 명령을 사용하여 인코딩된 값을 가져올 수 있습니다.

    • 인증 계층에서 LTPA 메커니즘을 사용 중인 경우, 클라이언트의 역할을 하고 있는 업스트림 서버의 ID로 예제 값을 변경하여 trustedIdentity 속성을 설정해야 합니다.
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId"/>
  4. 선택사항: 서버가 지원하는 기본 ID 어설션 토큰 유형을 변경해야 하는 경우 identityAssertionTypes 속성을 server.xml 파일의 attributeLayer 요소에 추가하고 쉼표로 구분된 값 목록을 지정하십시오. 올바른 값은 ITTAnonymous, ITTPrincipalName, ITTX509CertChain, ITTDistinguishedName입니다. 예를 들어, X509 인증 체인 또는 식별 이름으로 ID 어설션을 지원하도록 서버를 구성할 수 있습니다. 예제의 샘플 값을 사용자 값으로 대체하십시오.
    <orb id="defaultOrb">
        <clientPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </clientPolicy.csiv2>
    </orb>
    참고:
    • LTPA와 GSSUP 둘 다 인증 계층에 구성되어 있고 다운스트림 서버가 LTPA를 지원하면 LTPA가 GSSUP보다 우선합니다.
    • LTPA와 GSSUP 둘 다 인증 계층에 구성되어 있고 다운스트림 서버가 GSSUP만 지원하면 GSSUP가 사용되며 trustedIdentitytrustedPassword 속성을 지정해야 합니다.
    • 다운스트림 서버에서 서버를 식별하기 위해 전송 인증서 체인을 사용 중이면 trustedIdentity 속성은 필요하지 않습니다. (authenticationLayer에서 identityAssertionEnabled 속성이 true로 설정되고 establishTrustInClientNever로 설정됩니다.)
    • 계층 생략은 해당 계층에 대해 기본값을 사용합니다.
    authenticationLayertransportLayer 요소에 대한 자세한 정보는 아웃바운드 CSIv2 인증 계층 구성아웃바운드 CSIv2 전송 계층 구성을 참조하십시오.

결과

이제 ID 어설션을 위한 아웃바운드 CSIv2 속성 계층이 구성되었습니다.

주제의 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_outboundattributes
파일 이름: twlp_sec_outboundattributes.html