配置入站 CSIv2 认证层

您可以配置 Liberty 服务器以对入站 CSIv2 请求使用特定认证机制。

关于此任务

缺省情况下,已启用 Liberty 服务器的入站 CSIv2 认证层,并具有对 LTPA 和 GSSUP 认证机制的支持。缺省情况下,认证层的 establishTrustInClient 关联选项设置为 Required 以指示所指定认证机制是必需的。使用 LTPA 机制时,确保通信 Liberty 服务器和其他服务器共享相同 LTPA 密钥。

过程

  1. server.xml 文件中添加 appSecurity-2.0ejbRemote-3.2 功能部件。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>

    以下示例显示缺省配置,不必在 server.xml 文件中指定该配置。

        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. 可选:如果需要更改缺省入站认证层配置,请按如下所示在 server.xml 文件中添加 <orb> 元素,或将 authenticationLayer 元素添加至现有文件。将示例中的样本值替换为您的值。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                </layers>
            </serverPolicy.csiv2>
            </orb>
    注: <orb> 元素中的 ID 值 defaultOrb 是预先定义的,不能修改。
  3. 可选:将 mechanisms 属性设置为 LTPAGSSUP,以仅将 LTPA 或 GSSUP(用户名和密码)用作认证机制。
        <authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/>
        或
        <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
  4. 可选:将 establishTrustInClient 属性设置为 RequiredSupportedNever 以指示服务器需要、支持(可选)或从不声明使用指定机制的认证。
    注释:
    • establishTrustInClient 属性设置为 Required 时,只有需要或支持(至少一个)可兼容认证机制的客户机才能向服务器发送安全上下文。
    • establishTrustInClient 属性设置为 Supported 时,客户机可选择是否在认证层中发送认证信息。
    • 如果 establishTrustInClient 属性设置为 Never,那么系统禁用入站 CSIv2 认证层,并且必须启用至少一个其他 CSIv2 层以进行认证。

      如果省略层,那么系统对该层使用缺省值。

      有关 attributeLayertransportLayer 元素的更多信息,请参阅配置入站 CSIv2 属性层配置入站 CSIv2 传输层

结果

现在已配置入站 CSIv2 认证层。

用于指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_inboundauth
文件名:twlp_sec_inboundauth.html