アウトバウンド CSIv2 属性層の構成

アウトバウンド CSIv2 要求に対して ID アサーションを実行するように Liberty サーバーを構成できます。

このタスクについて

ID アサーションは、Liberty サーバーのアウトバウンド CSIv2 属性層においてデフォルトで無効にされます。identityAssertionEnabled 属性によって ID アサーションが有効にされると、 それ以降、クライアントとして動作しているサーバーは、ダウンストリーム・サーバーへの、 プリンシパル名および匿名での ID アサーションの送信をサポートします。identityAssertionTypes 属性を使用して、サーバーがアウトバウンド要求についてサポートする識別トークン・タイプを複数指定したり、異なる識別トークン・タイプを指定したりできます。trustedIdentity 属性および trustedPassword 属性を使用して、 認証層メカニズムが GSSUP である場合にダウンストリーム・サーバーによって信頼が検証されるクライアントの ID を指定できます。認証層の認証メカニズムが LTPA の場合、 trustedPassword なしで trustedIdentity 属性を設定できます。ID アサーションの有効化と一緒にアップストリーム・サーバーも構成して、 クライアントが ID を表明できるようにする必要があります。

手順

  1. server.xml ファイルで appSecurity-2.0 フィーチャーおよび ejbRemote-3.2 フィーチャーを追加します。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    以下の例は、server.xml ファイルでの指定を必要としないデフォルト構成です。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. オプション: デフォルトのアウトバウンド属性層構成を変更する必要がある場合、 次のように server.xml ファイルに <orb> エレメントを追加するか、 または、既存のエレメントに attributeLayer エレメントを追加します。 例で使用されているサンプル値は実際の値で置き換えてください。
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    注: orb エレメント内の ID 値 <defaultOrb> は、事前定義されていて、変更はできません。
  3. ダウンストリーム・サーバーによる信頼検証のためのアップストリーム・サーバー ID を指定します。指定される trustedIdentity は、ターゲット・サーバーのユーザー・レジストリー内に存在している必要があります。
    • 認証層で GSSUP メカニズムを使用する場合、trustedIdentity 属性および trustedPassword 属性を設定する必要があります。 その際、例で使用されている値をクライアントとして動作しているアップストリーム・サーバーの ID とパスワードに変更してください。
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId" trustedPassword="yourTrustedIdPwd"/>

      構成内でパスワードをエンコードします。securityUtility encode のコマンドを使用して、エンコードされた値を取得できます。

    • 認証層で LTPA メカニズムを使用する場合、trustedIdentity 属性を設定する必要があります。 その際、例で使用されている値をクライアントとして動作しているアップストリーム・サーバーの ID に変更してください。
      <attributeLayer identityAssertionEnabled="true" trustedIdentity="yourTrustedId"/>
  4. オプション: サーバーによってサポートされているデフォルトの ID アサーションのトークン・タイプを変更する必要がある場合は、identityAssertionTypes 属性を server.xml ファイル内の attributeLayer エレメントに追加し、コンマ区切りの値リストを指定します。有効値は、ITTAnonymousITTPrincipalNameITTX509CertChain、および ITTDistinguishedName です。例えば、X509 証明書チェーンまたは識別名での ID アサーションをサポートするようにサーバーを構成できます。例で使用されているサンプル値は実際の値で置き換えてください。
    <orb id="defaultOrb">
        <clientPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </clientPolicy.csiv2>
    </orb>
    注:
    • 認証層で LTPA と GSSUP の両方が構成されていて、 ダウンストリーム・サーバーが LTPA をサポートする場合、LTPA が GSSUP よりも優先されます。
    • 認証層で LTPA と GSSUP の両方が構成されていて、 ダウンストリーム・サーバーが GSSUP のみをサポートする場合、GSSUP が使用され、 trustedIdentity 属性および trustedPassword 属性の指定が必要です。
    • トランスポート証明書チェーンを使用してサーバーをダウンストリーム・サーバーで識別できるようにしている場合は、trustedIdentity 属性は必要ありません。(authenticationLayeridentityAssertionEnabled 属性は true に設定され、establishTrustInClientNever に設定されます)。
    • いずれかの層を省略すると、その層にはデフォルト値が使用されます。
    authenticationLayer エレメントおよび transportLayer エレメントについて詳しくは、『アウトバウンド CSIv2 認証層の構成』および『アウトバウンド CSIv2 トランスポート層の構成』を参照してください。

タスクの結果

これで、ID アサーションについてのアウトバウンド CSIv2 属性層の構成が完了しました。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_outboundattributes
ファイル名: twlp_sec_outboundattributes.html