配置出站 CSIv2 属性层
您可以配置 Liberty 服务器以对出站 CSIv2 请求执行身份断言。
关于此任务
过程
- 在 server.xml 文件中添加 appSecurity-2.0 和 ejbRemote-3.2 功能部件。
<featureManager> <feature>appSecurity-2.0</feature> <feature>ejbRemote-3.2</feature> </featureManager>
以下示例是缺省配置,不必在 server.xml 文件中指定该配置。<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/> <transportLayer/> </layers> </serverPolicy.csiv2> <clientPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/> <transportLayer/> </layers> </clientPolicy.csiv2> </orb>
- 可选:如果需要更改缺省出站属性层配置,请按如下所示在 server.xml
文件中添加 <orb> 元素,或将 attributeLayer 元素添加至现有文件。将示例中的样本值替换为您的值。
<orb id="defaultOrb"> <clientPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="true"/> </layers> </clientPolicy.csiv2> </orb>
注: <orb> 元素中的 ID 值 defaultOrb 是预先定义的,不能修改。 - 指定上游服务器身份以供下游服务器进行信任验证。所指定的 trustedIdentity 必须存在于目标服务器的用户注册表中。
- 如果在认证层中使用 GSSUP 机制,那么必须通过将示例值更改为充当客户机的上游服务器的身份和密码来设置 trustedIdentity 和 trustedPassword
属性。
<attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId" trustedPassword="yourTrustedIdPwd"/>
对配置中的密码进行编码。可使用 securityUtility 编码命令来获取编码值。
- 在认证层中使用 LTPA 机制时,必须通过将示例值更改为充当客户机的上游服务器身份来设置 trustedIdentity 属性。
<attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId"/>
- 如果在认证层中使用 GSSUP 机制,那么必须通过将示例值更改为充当客户机的上游服务器的身份和密码来设置 trustedIdentity 和 trustedPassword
属性。
- 可选:如果需要更改服务器支持的缺省身份断言令牌类型,应将 identityAssertionTypes
属性添加至 server.xml 文件中的 attributeLayer 元素并指定值的逗号分隔列表。有效值为
ITTAnonymous、ITTPrincipalName、ITTX509CertChain 和
ITTDistinguishedName。例如,可配置服务器以支持带有 X509 证书链或专有名称的身份断言。将示例中的样本值替换为您的值。
<orb id="defaultOrb"> <clientPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/> </layers> </clientPolicy.csiv2> </orb>
注释:有关 authenticationLayer 和 transportLayer 元素的更多信息,请参阅配置出站 CSIv2 认证层和配置出站 CSIv2 传输层。- 如果同时在认证层中配置了 LTPA 和 GSSUP,并且下游服务器支持 LTPA,那么 LTPA 优先于 GSSUP。
- 如果同时在认证层中配置了 LTPA 和 GSSUP,并且下游服务器仅支持 GSSUP,那么系统将使用 GSSUP 并且必须指定 trustedIdentity 和 trustedPassword 属性。
- 如果使用传输证书链来对下游服务器标识服务器,那么不需要 trustedIdentity 属性。(在 authenticationLayer 中,identityAssertionEnabled 属性设置为 true,establishTrustInClient 设置为 Never。)
- 如果省略层,那么系统对该层使用缺省值。
结果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_outboundattributes
文件名:twlp_sec_outboundattributes.html