인바운드 CSIv2 속성 계층 구성

Liberty 서버를 구성하여 인바운드 CSIv2 요청에 대해 ID 어설션 지원을 요구할 수 있습니다.

이 태스크 정보

Liberty 서버의 인바운드 CSIv2 속성 계층에서 ID 어설션은 기본적으로 사용 안함으로 설정됩니다. 서버는 ID 어설션이 identityAssertionEnabled 속성을 통해 사용으로 설정된 후 클라이언트로 작동하는 업스트림 서버의 익명, 프린시펄 이름, X509 인증 체인, 식별 이름 ID 어설션을 지원합니다. identityAssertionTypes 속성을 사용하여 서버가 지원하는 ID 토큰 유형을 지정할 수 있습니다. trustedIdentities 속성은 업스트림 서버에 ID를 어셜션할 수 있는 신뢰할 수 있는 업스트림 서버의 ID를 지정하는 데 사용될 수 있습니다.
경고:
추정된 신뢰가 설정된 경우 신뢰할 수 있는 엔티티만 서버와 통신하는지 확인하십시오.

프로시저

  1. server.xml 파일에서 appSecurity-2.0ejbRemote-3.2 기능을 추가하십시오.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    다음은 server.xml 파일에서 지정할 필요가 없는 기본 구성입니다.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. 선택사항: 기본 인바운드 속성 계층 구성을 변경해야 하는 경우, 다음과 같이 server.xml 파일에 <orb> 요소를 추가하거나 attributeLayer 요소를 기존 요소에 추가하십시오. 예제의 샘플 값을 사용자 값으로 대체하십시오.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </serverPolicy.csiv2>
        </orb>
    참고: <orb> 요소의 ID 값 defaultOrb는 사전 정의되어 있으며 수정할 수 없습니다.
  3. 예제 값을 업스트림 서버 각각의 trustedIdentity로 변경하여 trustedIdentities 속성을 설정하십시오. 둘 이상의 어설션 클라이언트가 있는 경우에는 파이프 문자(|)를 사용하여 값을 분리해야 합니다.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="yourAssertingUpstreamServer|anotherAssertingUpstreamServer"/>
  4. 대안: 2단계에서 trustedIdentities에 대해 이름 지정된 값을 설정하는 대신 문자(*)로 trustedIdentities 속성을 설정하여 서버가 추정된 신뢰를 지원함을 표시할 수 있습니다. 추정된 신뢰가 설정된 업스트림 서버는 ID를 어설션할 수 있으며 업스트림 서버를 신뢰할 수 있는 서버 세트로 제한할 수 있는 경우에만 사용되어야 합니다. 따라서 이 값을 주의하여 사용하십시오.
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="*"/>
  5. 인증서를 보내는 업스트림 서버를 신뢰할 수 있는 경우, 인증서 체인의 발행자 식별 이름을 trustedIdentities 속성에 추가하십시오. 예를 들면 다음과 같습니다.
        <attributeLayer identityAssertionEnabled="true" trustedIdentities="CN=localhost,O=ibm,C=us"/>
  6. 선택사항: 서버가 지원하는 기본 ID 어설션 토큰 유형을 변경해야 하는 경우 identityAssertionTypes 속성을 server.xml 파일의 attributeLayer 요소에 추가하고 쉼표로 구분된 값 목록을 지정하십시오. 올바른 값은 ITTAnonymous, ITTPrincipalName, ITTX509CertChain, ITTDistinguishedName입니다. 예를 들어, X509 인증 체인 또는 식별 이름으로 ID 어설션을 지원하도록 서버를 구성할 수 있습니다. 예제의 샘플 값을 사용자 값으로 대체하십시오.
    <orb id="defaultOrb">
        <serverPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </serverPolicy.csiv2>
    </orb>
    참고: 업스트림 서버 ID는 서버가 인증 계층 또는 전송 계층으로 보낸 보안 정보에서 얻습니다. 인증 계층 ID는 전송 ID보다 우선하며, 전송 ID는 보안 정보를 인증 계층에서 보내지 않는 경우 사용됩니다. 샘플 구문과 authenticationLayertransportLayer 요소에 대한 자세한 정보는 인바운드 CSIv2 인증 계층 구성인바운드 CSIv2 전송 계층 구성을 참조하십시오.
    계층 생략은 해당 계층에 대해 기본값을 사용합니다.

결과

이제 ID 어설션을 위한 인바운드 CSIv2 속성 계층이 구성되었습니다.

주제의 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_inboundattributes
파일 이름: twlp_sec_inboundattributes.html