配置入站 CSIv2 属性层
可配置 Liberty 服务器以声明对针对入站 CSIv2 请求的身份断言的支持。
关于此任务
警告:
如果已设置假定信任,请确保只有可信实体与服务器通信。
过程
- 在 server.xml 文件中添加 appSecurity-2.0 和 ejbRemote-3.2 功能部件。
<featureManager> <feature>appSecurity-2.0</feature> <feature>ejbRemote-3.2</feature> </featureManager>
以下是缺省配置,不必在 server.xml 文件中指定该配置。<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/> <transportLayer/> </layers> </serverPolicy.csiv2> <clientPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/> <transportLayer/> </layers> </clientPolicy.csiv2> </orb>
- 可选:如果需要更改缺省入站属性层配置,请按如下所示在 server.xml
文件中添加 <orb> 元素,或将 attributeLayer 元素添加至现有文件。将示例中的样本值替换为您的值。
<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="true"/> </layers> </serverPolicy.csiv2> </orb>
注: <orb> 元素中的 ID 值 defaultOrb 是预先定义的,不能修改。 - 通过将示例值更改为每个上游服务器的 trustedIdentity 来设置 trustedIdentities 属性。如果有多个断言客户机,那么必须使用管道字符 (|) 分隔值。
<attributeLayer identityAssertionEnabled="true" trustedIdentities="yourAssertingUpstreamServer|anotherAssertingUpstreamServer"/>
- 替代方法:可使用字符 (*) 设置 trustedIdentities 属性以指示该服务器支持假定信任,而不是在步骤 2 中对 trustedIdentities 设置指定值。通过使用假定信任,任何上游服务器能够断言身份,并且仅当上游服务器可限定为一组可信服务器时,才必须使用上游服务器。因此,使用此值时应特别谨慎。
<attributeLayer identityAssertionEnabled="true" trustedIdentities="*"/>
- 如果发送证书链的上游服务器可信,请将证书链的颁发者专有名称添加至 trustedIdentities 属性。例如,
<attributeLayer identityAssertionEnabled="true" trustedIdentities="CN=localhost,O=ibm,C=us"/>
- 可选:如果需要更改服务器支持的缺省身份断言令牌类型,应将 identityAssertionTypes
属性添加至 server.xml 文件中的 attributeLayer 元素并指定值的逗号分隔列表。有效值为
ITTAnonymous、ITTPrincipalName、ITTX509CertChain 和
ITTDistinguishedName。例如,可配置服务器以支持带有 X509 证书链或专有名称的身份断言。将示例中的样本值替换为您的值。
<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/> </layers> </serverPolicy.csiv2> </orb>
注: 上游服务器身份是从服务器在认证层或传输层中发送的安全信息中获取的。认证层身份优先于传输身份,如果在认证层未发送任何安全信息,那么使用传输身份。有关 authenticationLayer 和 transportLayer 元素的样本语法和更多信息,请参阅配置入站 CSIv2 认证层和配置入站 CSIv2 传输层。如果省略层,那么系统对该层使用缺省值。
结果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_inboundattributes
文件名:twlp_sec_inboundattributes.html