インバウンド CSIv2 トランスポート層の構成

インバウンド CSIv2 要求に対するクライアント証明書認証のサポートを請求するように Liberty サーバーを構成することができます。

このタスクについて

Liberty サーバーのインバウンド CSIv2 トランスポート層にあるクライアント証明書認証はデフォルトで無効になります。transportLayer を構成して、使用する SSL 構成を指定できます。クライアント証明書認証をサポートするように、 または必要とするように、SSL エレメントを構成することができます。受信した証明書は、サーバーのユーザー・レジストリーに照らして認証され、証明書の ID は、 属性層の ID アサーションや認証層の認証トークンのような他の形の認証が、CSIv2 要求内で何も送信されなかった場合のみ使用されます。

クライアント証明書認証を使用する場合は、サーバーが SSL をサポートしていることを確認してください。

手順

  1. server.xml ファイルで appSecurity-2.0 フィーチャーおよび ejbRemote-3.2 フィーチャーを追加します。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    以下の例は、server.xml ファイルでの指定を必要としないデフォルト構成です。
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Liberty での SSL 通信の使用可能化』ページの説明に従って、SSL サポートを構成します。
  3. clientAuthentication または clientAuthenticationSupported を使用するように SSL エレメントを構成します。 以下に例を示します。
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    or
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
    • clientAuthentication="true" を指定した場合、 サーバーは、クライアントが証明書を送信することを要求します。ただし、クライアントが証明書を持たない場合、 または証明書がサーバーによって信頼されない場合、ハンドシェークは失敗します。
    • clientAuthenticationSupported="true" を指定した場合、 サーバーは、クライアントが証明書を送信することを要求します。ただし、クライアントが証明書を持たない場合、 または証明書がサーバーによって信頼されない場合でも、ハンドシェークは成功することがあります。
    • clientAuthenticationclientAuthenticationSupported のどちらも指定しない場合、 または、clientAuthentication="false" または clientAuthenticationSupported="false" を指定した場合、 サーバーは、ハンドシェーク中にクライアントが証明書を送信することを要求しません。
  4. オプション: デフォルトのインバウンド・トランスポート層構成を変更する必要がある場合、 次のように server.xml ファイルに <orb> エレメントを追加するか、 または、既存のエレメントに transportLayer エレメントを追加します。 例で使用されているサンプル値は実際の値で置き換えてください。
            <orb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <transportLayer sslRef="defaultSSLConfig"/>
                    </layers>
                </serverPolicy.csiv2>
            </orb>
    注: orb エレメント内の ID 値 <defaultOrb> は、事前定義されていて、変更はできません。
  5. サーバーが、使用されているすべてのクライアント証明書を信頼していることを確認します。
  6. クライアント認証に使用されるどのクライアント証明書も、レジストリー内のユーザー ID にマップされていることを確認します。
    • 基本レジストリーの場合、ユーザー ID は証明書の識別名 (DN) の共通名 (CN) です。
    • Lightweight Directory Access Protocol (LDAP) レジストリーの場合、クライアント証明書の DN が LDAP レジストリー内に存在していなければなりません。
    いずれかの層を省略すると、その層にはデフォルト値が使用されます。attributeLayer エレメント および authenticationLayer エレメントについて詳しくは、『インバウンド CSIv2 属性層の構成』および『インバウンド CSIv2 認証層の構成』を参照してください。

タスクの結果

これで、クライアント証明書認証についてのインバウンド CSIv2 トランスポート層の構成が完了しました。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_inboundtransport
ファイル名: twlp_sec_inboundtransport.html