配置入站 CSIv2 认证层
您可以配置 Liberty 服务器以对入站 CSIv2 请求使用特定认证机制。
关于此任务
缺省情况下,已启用 Liberty 服务器的入站 CSIv2 认证层,并具有对 LTPA 和 GSSUP 认证机制的支持。缺省情况下,认证层的 establishTrustInClient 关联选项设置为 Required 以指示所指定认证机制是必需的。使用 LTPA 机制时,确保通信 Liberty 服务器和其他服务器共享相同 LTPA 密钥。
过程
- 在 server.xml 文件中添加 appSecurity-2.0 和 ejbRemote-3.2 功能部件。
<featureManager> <feature>appSecurity-2.0</feature> <feature>ejbRemote-3.2</feature> </featureManager>
以下示例显示缺省配置,不必在 server.xml 文件中指定该配置。
<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/> <transportLayer/> </layers> </serverPolicy.csiv2> <clientPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/> <transportLayer/> </layers> </clientPolicy.csiv2> </orb>
- 可选:如果需要更改缺省入站认证层配置,请按如下所示在 server.xml
文件中添加 <orb> 元素,或将 authenticationLayer 元素添加至现有文件。将示例中的样本值替换为您的值。
<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/> </layers> </serverPolicy.csiv2> </orb>
注: <orb> 元素中的 ID 值 defaultOrb 是预先定义的,不能修改。 - 可选:将 mechanisms 属性设置为 LTPA 或 GSSUP,以仅将 LTPA 或 GSSUP(用户名和密码)用作认证机制。
<authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/> 或 <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
- 可选:将 establishTrustInClient 属性设置为 Required、Supported
或 Never 以指示服务器需要、支持(可选)或从不声明使用指定机制的认证。
注释:
- establishTrustInClient 属性设置为 Required 时,只有需要或支持(至少一个)可兼容认证机制的客户机才能向服务器发送安全上下文。
- establishTrustInClient 属性设置为 Supported 时,客户机可选择是否在认证层中发送认证信息。
- 如果 establishTrustInClient 属性设置为 Never,那么系统禁用入站 CSIv2 认证层,并且必须启用至少一个其他 CSIv2 层以进行认证。
如果省略层,那么系统对该层使用缺省值。
有关 attributeLayer 和 transportLayer 元素的更多信息,请参阅配置入站 CSIv2 属性层和配置入站 CSIv2 传输层。
结果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_inboundauth
文件名:twlp_sec_inboundauth.html