Authentifizierungsebene für abgehende CSIv2-Anforderungen konfigurieren

Sie können einen Liberty-Server so konfigurieren, dass er bestimmte Authentifizierungsmechanismen für abgehende CSIv2-Anforderungen verwendet.

Informationen zu diesem Vorgang

Die Authentifizierungsebene für abgehende CSIv2-Anforderungen für einen Liberty-Server wird standardmäßig mit der Unterstützung für die Authentifizierungsmechanismen LTPA und GSSUP aktiviert. Die Zuordnungsoption establishTrustInClient der Authentifizierungsebene ist standardmäßig auf Supported gesetzt, um anzuzeigen, dass die angegebenen Authentifizierungsmechanismen unterstützt werden und optional sind.

Wenn Sie den Mechanismus LTPA verwenden, vergewissern Sie sich, dass die Liberty-Server und andere Server, die miteinander kommunizieren, dieselben LTPA-Schlüssel verwenden.

Vorgehensweise

  1. Fügen Sie die Features appSecurity-2.0 und ejbRemote-3.2 der Datei server.xml hinzu.
            <featureManager> 
                <feature>appSecurity-2.0</feature>
                <feature>ejbRemote-3.2</feature>
            </featureManager>
    Das folgende Beispiel ist die Standardkonfiguration ohne Angabe in der Datei server.xml.
        <orb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <attributeLayer identityAssertionEnabled="false"/>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                        <transportLayer/>
                    </layers>
                </serverPolicy.csiv2>
                <clientPolicy.csiv2>
                    <layers>
                        <attributeLayer identityAssertionEnabled="false"/>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                        <transportLayer/>
                    </layers>
                </clientPolicy.csiv2>
        </orb>
  2. Optional: Wenn Sie die Standardkonfiguration der Authentifizierungsebene für abgehende Anforderungen ändern müssen, fügen Sie der Datei server.xml wie folgt ein <orb>-Element hinzu oder fügen Sie das authenticationLayer-Element einem vorhandenen Element hinzu. Ersetzen Sie die Werte im Beispiel durch Ihre eigenen Werte.
            <orb id="defaultOrb">
                <clientPolicy.csiv2>
                    <layers>
                        <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    </layers>
                </clientPolicy.csiv2>
            </orb>
    Anmerkung: Der ID-Wert defaultOrb im <orb>-Element ist vordefiniert und kann nicht geändert werden.
  3. Optional: Setzen Sie das Attribut "mechanisms" auf LTPA oder GSSUP, damit entweder nur LTPA oder nur GSSUP (Benutzername und Kennwort) als Authentifizierungsmechanismus verwendet wird.
        <authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/>
    oder
        <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
  4. Optional: Setzen Sie das Attribut establishTrustInClient auf Required, Supported oder Never, um anzuzeigen, dass der als Client fungierende Server die Authentifizierung mit den angegebenen Mechanismen entweder voraussetzt, unterstützt (optional) oder nie anfordert.
    Anmerkungen:
    • Wenn das Attribut establishTrustInClient auf Required gesetzt ist, kann der Client ein Authentifizierungstoken von einem der angegebenen Mechanismen nur an Server senden, die dieselben Authentifizierungsmechanismen entweder voraussetzen oder unterstützen.
    • Wenn das Attribut establishTrustInClient auf Supported gesetzt ist, kann der Client festlegen, ob die Authentifizierungsdaten auf der Authentifizierungsebene gesendet werden sollen. Wenn der Downstream-Server mit den Einstellungen Supported oder Required konfiguriert ist, sendet der Client ein kompatibles Authentifizierungstoken.
    • Wenn das Attribut establishTrustInClient auf Never gesetzt ist, ist die Authentifizierungsebene für abgehende CSIv2-Anforderungen inaktiviert und es muss mindestens eine weitere CSIv2-Ebene aktiviert sein, damit die Authentifizierung beim Downstream-Server durchgeführt werden kann.
    • Wenn Sie für eine Ebene keine Werte angeben, werden die Standardwerte für diese Ebene verwendet.
    Weitere Informationen zu den Elementen attributeLayer und transportLayer finden Sie in den Abschnitten Attributebene für abgehende CSIv2-Anforderungen konfigurieren und Transportebene für abgehende CSIv2-Anforderungen konfigurieren. Ein Beispiel für eine programmgesteuerte Anmeldung bei Verwendung des Authentifizierungsmechanismus GSSUP finden Sie im Artikel Beispiel: Mit der WSLogin-Konfiguration ein Subject für die Basisauthentifizierung erstellen.

Ergebnisse

Ihre Authentifizierungsebene für abgehende CSIv2-Anforderungen ist jetzt konfiguriert.

Symbol das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 01.12.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_outboundauth
Dateiname: twlp_sec_outboundauth.html