配置入埠 CSIv2 屬性層

您可以配置 Liberty 伺服器,以聲明支援入埠 CSIv2 要求的身分主張。

關於這項作業

依預設,Liberty 伺服器的入埠 CSIv2 屬性層會停用身分主張。透過 identityAssertionEnabled 屬性啟用身分主張之後,伺服器可支援來自擔任用戶端之上游伺服器的「匿名」、「主體身分名稱」、「X509 憑證鏈」和「識別名稱」身分主張。您可以使用 identityAssertionTypes 屬性,來指定伺服器支援的身分記號類型。您可以使用 trustedIdentities 屬性,指定能夠向這部伺服器主張身分的授信上游伺服器。
注意:
如果已設定假設信任,請確定只有授信實體能與伺服器通訊。

程序

  1. server.xml 檔中新增 appSecurity-2.0ejbRemote-3.2 特性。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    以下是不需在 server.xml 檔中指定的預設配置。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. 選用:如果您需要變更預設入埠屬性層配置,請依如下所示,在 server.xml 檔中新增 <orb> 元素,或是將 attributeLayer 元素新增至現有的檔案。以您的值取代範例中的範例值。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="true"/>
                </layers>
            </serverPolicy.csiv2>
        </orb>
    註: <orb> 元素中的 ID 值 defaultOrb 是預先定義的,不能修改。
  3. 將範例值變更為每一部上游伺服器的 trustedIdentity,來設定 trustedIdentities 屬性。如果有多個主張用戶端,必須使用直線字元 (|) 來區隔值。
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="yourAssertingUpstreamServer|anotherAssertingUpstreamServer"/>
  4. 替代方案:相對於在步驟 2 中設定 trustedIdentities 的名稱值,您可以改用字元 (*) 來設定 trustedIdentities 屬性,指出伺服器支援假設信任。採用假設信任時,任何上游伺服器都能夠主張身分,但只有當上游伺服器可限制為一組授信伺服器時,才能使用該上游伺服器。因此,必須慎用此值。
    <attributeLayer identityAssertionEnabled="true" trustedIdentities="*"/>
  5. 如果傳送憑證鏈的上游伺服器是授信的,請將憑證鏈的發證者識別名稱新增至 trustedIdentities 屬性。例如,
        <attributeLayer identityAssertionEnabled="true" trustedIdentities="CN=localhost,O=ibm,C=us"/>
  6. 選用:如果您需要變更伺服器支援的預設身分主張記號類型,請在 server.xml 檔的 attributeLayer 元素中,新增 identityAssertionTypes 屬性,並指定以逗點區隔的值清單。有效值是 ITTAnonymousITTPrincipalNameITTX509CertChain,以及 ITTDistinguishedName。例如,您可以將伺服器配置成支援「X509 憑證鏈」或「識別名稱」的主張身分。以您的值取代範例中的範例值。
    <orb id="defaultOrb">
        <serverPolicy.csiv2>
            <layers>
                <attributeLayer identityAssertionEnabled="true" identityAssertionTypes="ITTX509CertChain, ITTDistinguishedName"/>
            </layers>
        </serverPolicy.csiv2>
    </orb>
    註: 上游伺服器身分是從伺服器放在鑑別層或傳輸層中所傳送的安全資訊取得。鑑別層身分優先於傳輸身分,如果未在鑑別層中傳送任何安全資訊,就會使用傳輸身分。如需 authenticationLayertransportLayer 元素的範例語法和其他資訊,請參閱配置入埠 CSIv2 鑑別層配置入埠 CSIv2 傳輸層
    如果省略某層,會使用該層的預設值。

結果

現在您已配置入埠 CSIv2 屬性層,以主張身分。

指示主題類型的圖示 作業主題



「時間戳記」圖示 前次更新: 2016 年 11 月 30 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_inboundattributes
檔名:twlp_sec_inboundattributes.html