配置出埠 CSIv2 傳輸層
您可以配置 Liberty 伺服器,以便對出埠 CSIv2 要求執行用戶端憑證鑑別。
關於這項作業
依預設,會針對 Liberty 伺服器,停用出埠 CSIv2 傳輸層的用戶端憑證鑑別。您可以配置 transportLayer,來指定要使用的 SSL 配置。
您可以將 SSL 元素配置成支援或需要用戶端憑證鑑別。會鑑別傳送至下游伺服器的憑證是否符合下游伺服器的使用者登錄,且只有在 CSIv2 要求中未傳送其他任何形式的鑑別時(例如,屬性層中的身分主張,或鑑別層中的鑑別記號),才會使用其身分。
使用用戶端憑證鑑別時,請確定此伺服器支援 SSL。
程序
- 在 server.xml 檔中新增 appSecurity-2.0 和 ejbRemote-3.2 特性。
<featureManager> <feature>appSecurity-2.0</feature> <feature>ejbRemote-3.2</feature> </featureManager>
下列範例是不需指定在 server.xml 檔中的預設配置。
<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/> <transportLayer/> </layers> </serverPolicy.csiv2> <clientPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/> <transportLayer/> </layers> </clientPolicy.csiv2> </orb>
- 依照啟用 Liberty 的 SSL 通訊中的說明,來配置 SSL 支援。
- 選用:配置 SSL 元素,以使用 clientAuthentication 或 clientAuthenticationSupported。 例如,
或<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthentication="true" />
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
- 選用:如果您需要變更預設出埠傳輸層配置,請依如下所示,在 server.xml 檔中新增 <orb> 元素,或是將 transportLayer 元素新增至現有的檔案。以您的值取代範例中的範例值。
<orb id="defaultOrb"> <clientPolicy.csiv2> <layers> <transportLayer sslRef="defaultSSLConfig"/> </layers> </clientPolicy.csiv2> </orb>
註: <orb> 元素中的 ID 值 defaultOrb 是預先定義的,不能修改。 - 確定下游伺服器信任此伺服器所傳送的任何用戶端憑證。
- 確定用於用戶端鑑別的所有用戶端憑證,已對映至下游伺服器使用者登錄中的使用者身分。
- 如果是基本登錄,使用者身分是憑證識別名稱 (DN) 中的通用名稱 (CN)。
- 如果是「輕量型目錄存取通訊協定 (LDAP)」登錄,用戶端憑證中的 DN 必須在 LDAP 登錄中。
附註:如果省略某層,會使用該層的預設值。如需 attributeLayer 和 authenticationLayer 元素的相關資訊,請參閱配置出埠 CSIv2 屬性層和配置出埠 CSIv2 鑑別層。- 當 <ssl> 元素中的 clientAuthentication 屬性設為 true 時,用戶端只會將用戶端憑證傳送至需要或支援用戶端憑證鑑別的伺服器。
- 當 <ssl> 元素中的 clientAuthenticationSupported 屬性設為 true 時,用戶端可選擇是否根據下游伺服器使用的 <ssl> 元素配置,來傳送用戶端憑證。
- 當 <ssl> 元素中沒有設定 clientAuthentication 和 clientAuthenticationSupported 屬性時,擔任用戶端的伺服器不會啟用用戶端憑證鑑別。
結果
上層主題: 在 Liberty 中配置出埠 CSIv2


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_csiv2outtransport
檔名:twlp_sec_csiv2outtransport.html