この例では、S1 上のセキュア
な Enterprise Bean にアクセスしている Pure Java クライアント C を表しています。
C は、Secure Sockets Layer (SSL) クライアント証明書を使用して S1 に対して認証を行います。
S1 は、証明書内の識別名 (DN) の共通名をローカル・レジストリー内のユーザーにマップします。
この場合のユーザーは bob です。
S1 上の Enterprise Bean コードは、S2 上の別の Enterprise Bean にアクセスします。
RunAs モードが system であるため、
呼び出しクレデンシャルは、アウトバウンド要求の server1 として設定されます。
C の構成
C には、
トランスポート層認証 (SSL クライアント証明書) が必要です。
- クライアントが sas.client.props ファイルを指すようにします。
com.ibm.CORBA.ConfigURL=file:/C:/was/properties/sas.client.props プロパティーを使用します。
これ以降のすべての構成には、このファイル内でのプロパティーの設定が関係します。
- SSL を使用可能にします。
この場合、SSL はサポートされますが必須ではありません。com.ibm.CSI.performTransportAssocSSLTLSSupported=true,
com.ibm.CSI.performTransportAssocSSLTLSRequired=false
- メッセージ層でクライアント認証を使用不可にします。
com.ibm.CSI.performClientAuthenticationRequired=false,
com.ibm.CSI.performClientAuthenticationSupported=false
- トランスポート層でクライアント認証を使用可能にします。
クライアント認証はサポートされますが、必須ではありません。com.ibm.CSI.performTLClientAuthenticationRequired=false,
com.ibm.CSI.performTLClientAuthenticationSupported=true
S1 の構成
管理コンソールで、S1 を、
クライアント証明書認証付きの SSL をサポートする着信接続用に構成します。
S1 サーバーは、メッセージ層クライアント認証をサポートする発信要求用に構成されます。
- 次のようにして、S1 を着信接続向けに構成します。
- ID アサーションを使用不可にします。
- ユーザー ID とパスワード認証を使用不可にします。
- SSL を使用可能にします。
- SSL クライアント証明書認証を使用可能にします。
- 次のようにして、S1 を発信接続向けに構成します。
- ID アサーションを使用不可にします。
- ユーザー ID とパスワード認証を使用不可にします。
- SSL を使用可能にします。
- SSL クライアント証明書認証を使用可能にします。
S2 の構成
管理コンソールで、S2 サーバーを、SSL 経由でメッセージ層認証をサポートする着信要求用に構成します。
発信要求用の構成は、このシナリオには関係ありません。
- ID アサーションを使用不可にします。
- ユーザー ID とパスワード認証を使用可能にします。
- SSL を使用可能にします。
- SSL クライアント認証を使用不可にします。