配置出站 CSIv2 认证层

您可以配置 Liberty 服务器以对出站 CSIv2 请求使用特定认证机制。

关于此任务

缺省情况下,已启用 Liberty 服务器的出站 CSIv2 认证层,并具有对 LTPA 和 GSSUP 认证机制的支持。缺省情况下,认证层的 establishTrustInClient 关联选项设置为 Supported 以指示所指定认证机制受支持并且是可选的。

使用 LTPA 机制时,确保通信 Liberty 服务器和其他服务器共享相同 LTPA 密钥。

过程

  1. server.xml 文件中添加 appSecurity-2.0ejbRemote-3.2 功能部件。
            <featureManager>
                <feature>appSecurity-2.0</feature>
                <feature>ejbRemote-3.2</feature>
            </featureManager>
    以下示例是缺省配置,不必在 server.xml 文件中指定该配置。
        <orb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <attributeLayer identityAssertionEnabled="false"/>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                        <transportLayer/>
                    </layers>
                </serverPolicy.csiv2>
                <clientPolicy.csiv2>
                    <layers>
                        <attributeLayer identityAssertionEnabled="false"/>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                        <transportLayer/>
                    </layers>
                </clientPolicy.csiv2>
        </orb>
  2. 可选:如果需要更改缺省出站认证层配置,请按如下所示在 server.xml 文件中添加 <orb> 元素,或将 authenticationLayer 元素添加至现有文件。将示例中的样本值替换为您的值。
            <orb id="defaultOrb">
                <clientPolicy.csiv2>
                    <layers>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    </layers>
                </clientPolicy.csiv2>
            </orb>
    注: <orb> 元素中的 ID 值 defaultOrb 是预先定义的,不能修改。
  3. 可选:将 mechanisms 属性设置为 LTPAGSSUP,以仅将 LTPA 或 GSSUP(用户名和密码)用作认证机制。
        <authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/>
        <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
  4. 可选:将 establishTrustInClient 属性设置为 RequiredSupportedNever 以指示充当客户机的服务器需要、支持(可选)或从不执行使用指定机制的认证。
    注释:
    • establishTrustInClient 属性设置为 Required 时,客户机只能将其中一种指定机制的认证令牌发送至需要或支持相同认证机制的服务器。
    • establishTrustInClient 属性设置为 Supported 时,客户机可选择是否在认证层中发送认证信息。如果对下游服务器配置了 SupportedRequired,那么客户机发送兼容认证令牌。
    • 如果 establishTrustInClient 属性设置为 Never,那么系统禁用出站 CSIv2 认证层,并且必须启用至少一个其他 CSIv2 层以向下游服务器认证。
    • 如果省略层,那么系统对该层使用缺省值。
    有关 attributeLayertransportLayer 元素的更多信息,请参阅配置出站 CSIv2 属性层配置出站 CSIv2 传输层。有关将 GSSUP 用作认证机制时的程序化登录的示例,请参阅示例:使用 WSLogin 配置创建基本认证主体集

结果

现在已配置出站 CSIv2 认证层。

用于指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_outboundauth
文件名:twlp_sec_outboundauth.html