配置出埠 CSIv2 鑑別層

您可以配置 Liberty 伺服器,以便將特定鑑別機制用於出埠 CSIv2 要求。

關於這項作業

依預設,已針對 Liberty 伺服器的出埠 CSIv2 鑑別層,啟用 LTPA 和 GSSUP 鑑別機制支援。依預設,鑑別層的 establishTrustInClient 關聯選項會設為 Supported,以指出支援並可選擇使用指定的鑑別機制。

當使用 LTPA 機制時,請確定通訊端 Liberty 伺服器與其他伺服器共用相同的 LTPA 金鑰。

程序

  1. server.xml 檔中新增 appSecurity-2.0ejbRemote-3.2 特性。
            <featureManager>
                <feature>appSecurity-2.0</feature>
                <feature>ejbRemote-3.2</feature>
            </featureManager>
    下列範例是不需指定在 server.xml 檔中的預設配置。
        <orb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <attributeLayer identityAssertionEnabled="false"/>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                        <transportLayer/>
                    </layers>
                </serverPolicy.csiv2>
                <clientPolicy.csiv2>
                    <layers>
                        <attributeLayer identityAssertionEnabled="false"/>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                        <transportLayer/>
                    </layers>
                </clientPolicy.csiv2>
        </orb>
  2. 選用:如果您需要變更預設出埠鑑別層配置,請依如下所示,在 server.xml 檔中新增 <orb> 元素,或是將 authenticationLayer 元素新增至現有的檔案。以您的值取代範例中的範例值。
            <orb id="defaultOrb">
                <clientPolicy.csiv2>
                    <layers>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    </layers>
                </clientPolicy.csiv2>
            </orb>
    註: <orb> 元素中的 ID 值 defaultOrb 是預先定義的,不能修改。
  3. 選用:將 mechanisms 屬性設定為 LTPAGSSUP,以便只使用 LTPA 或 GSSUP(使用者名稱和密碼)作為鑑別機制。
        <authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/>
        <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
  4. 選用:將 establishTrustInClient 屬性設定為 RequiredSupportedNever,指出擔任用戶端的伺服器需要、支援(選用)或永不使用指定機制來執行鑑別。
    附註:
    • establishTrustInClient 屬性設為 Required 時,用戶端只能夠將其中一種指定機制的鑑別記號,傳送給需要或支援相同鑑別機制的伺服器。
    • establishTrustInClient 屬性設定為 Supported 時,用戶端可選擇是否在鑑別層中傳送鑑別資訊。如果將下游伺服器配置成 SupportedRequired,用戶端會傳送相容的鑑別記號。
    • establishTrustInClient 屬性設定為 Never 時,將會停用入埠 CSIv2 鑑別層,且必須啟用至少一個其他 CSIv2 層,以接受下游伺服器的鑑別。
    • 如果省略某層,會使用該層的預設值。
    如需 attributeLayertransportLayer 元素的相關資訊,請參閱配置出埠 CSIv2 屬性層配置出埠 CSIv2 傳輸層。如需使用 GSSUP 作為鑑別機制時的程式化登入範例,請參閱範例:使用 WSLogin 配置來建立基本鑑別主體

結果

現在您已配置出埠 CSIv2 鑑別層。

指示主題類型的圖示 作業主題



「時間戳記」圖示 前次更新: 2016 年 11 月 30 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_outboundauth
檔名:twlp_sec_outboundauth.html