Configuration d'une couche authentication CSIv2 entrante

Vous pouvez configurer un serveur Liberty pour l'utilisation d'un mécanisme d'authentification spécifique pour les demandes CSIv2 entrantes.

Pourquoi et quand exécuter cette tâche

La couche authentification CSIv2 entrante pour un serveur Liberty est activée avec la prise en charge des mécanismes d'authentification LTPA et GSSUP par défaut. L'option d'association establishTrustInClient de la couche authentification est définie sur Required par défaut afin d'indiquer que les mécanismes d'authentification spécifiées sont obligatoires. Lorsque vous utilisez le mécanisme LTPA, assurez-vous que les serveurs Liberty de communication et les autres serveurs partagent les mêmes clés LTPA.

Procédure

  1. Ajoutez les fonctions appSecurity-2.0 et ejbRemote-3.2 dans le fichier server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>

    Voici un exemple de configuration par défaut où il n'est pas nécessaire de l'indiquer dans le fichier server.xml.

        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Facultatif : si vous devez modifier la configuration de couche authentification entrante par défaut, ajoutez un élément <orb> dans le fichier server.xml comme suit ou ajoutez l'élément authenticationLayer à un élément existant. Remplacez les exemples de valeurs dans l'exemple par vos propres valeurs.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                </layers>
            </serverPolicy.csiv2>
            </orb>
    Remarque : La valeur d'ID defaultOrb dans l'élément <orb> est prédéfinie et ne peut pas être modifiée.
  3. Facultatif : définissez l'attribut des mécanismes sur LTPA ou sur GSSUP afin d'utiliser LTPA ou GSSUP (nom d'utilisateur et mot de passe) uniquement en tant que mécanisme d'authentification.
        <authenticationLayer mechanisms="LTPA" establishTrustInClient="Supported"/>
        or
        <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
  4. Facultatif : définissez l'attribut establishTrustInClient sur Required, Supported ou Never afin d'indiquer que le serveur requiert, prend en charge (facultatif) ou ne réclame jamais l'authentification avec les mécanismes spécifiés.
    Remarques :
    • Lorsque l'attribut establishTrustInClient est défini sur Required, seuls les clients qui requièrent ou prennent en charge des mécanismes d'authentification (au moins un) peuvent envoyer un contexte de sécurité au serveur.
    • Lorsque l'attribut establishTrustInClient est défini sur Supported, un client peut décider d'envoyer les informations d'authentification dans la couche authentification.
    • Lorsque l'attribut establishTrustInClient est défini sur Never, la couche authentification CSIv2 entrante est désactivée et au moins une autre couche CSIv2 doit être activée pour l'authentification.

      Si une couche est omise, les valeurs par défaut de cette couche sont utilisées.

      Pour plus d'informations sur les éléments attributeLayer and transportLayer, voir Configuration d'une couche d'attribut CSIv2 entrante et Configuration d'une couche transport CSIv2 enrtante.

Résultats

Votre couche authentification CSIv2 entrante est maintenant configurée.

Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_sec_inboundauth.html