[AIX Solaris HP-UX Linux Windows][IBM i]

Beispiel 1: Basisauthentifizierung und Identitätszusicherung konfigurieren

Das folgende Beispiel zeigt einen reinen Java™-Client (C), der über Benutzer bob auf eine sichere Enterprise-Bean auf Server S1 zugreift. Die folgenden Schritte führen Sie durch die Konfiguration von C, S1 und S2.

Informationen zu diesem Vorgang

Um diese Vertrauensbasis herzustellen, wird gleichzeitig auch die Identität von S1 an S2 weitergeleitet. S2 validiert die Identität durch Überprüfung der trustedPrincipalList-Liste, um sicherzustellen, dass diese einen gültigen Server-Principal bezeichnet.

Der Enterprise-Bean-Code auf S1 greift auf eine andere Enterprise-Bean auf Server S2 zu. Die Konfiguration verwendet die Zusicherung der Identität, um die Identität von bob an den Downstream-Server S2 weiterzugeben. S2 vertraut darauf, dass bob bereits von S1 authentifiziert wurde, weil er S1 vertraut. Um diese Vertrauensbasis herzustellen, wird gleichzeitig auch die Identität von S1 an S2 weitergeleitet. S2 validiert die Identität durch Überprüfung der trustedPrincipalList-Liste, um sicherzustellen, dass diese einen gültigen Server-Principal bezeichnet. S2 authentifiziert auch S1.

Vorgehensweise

  1. Konfigurieren Sie den Client C für die Authentifizierung auf Nachrichtenebene mit einem SSL-Transport (Secure Sockets Layer).
    1. Verweisen Sie den Client auf die Datei sas.client.props.

      [AIX Solaris HP-UX Linux Windows]Verwenden Sie die Eigenschaft com.ibm.CORBA.ConfigURL=file:/C:/was/properties/sas.client.props. Alle weiteren Konfigurationseinstellungen werden über Eigenschaften in dieser Datei vorgenommen.

      [IBM i]Verwenden Sie die Eigenschaft com.ibm.CORBA.ConfigURL=file:/Profilstammverzeichnis/properties/sas.client.props. Die Variable Profilstammverzeichnis gibt das Profil an, mit dem Sie arbeiten. Alle weiteren Konfigurationseinstellungen werden über Eigenschaften in dieser Datei vorgenommen.

    2. Aktivieren Sie SSL.

      In diesem Fall wird SSL unterstützt, ist jedoch nicht erforderlich: com.ibm.CSI.performTransportAssocSSLTLSSupported=true, com.ibm.CSI.performTransportAssocSSLTLSRequired=false

    3. Aktivieren Sie die Clientauthentifizierung auf Nachrichtenebene.

      In diesem Fall wird die Clientauthentifizierung unterstützt, ist jedoch nicht erforderlich: com.ibm.CSI.performClientAuthenticationRequired=false, com.ibm.CSI.performClientAuthenticationSupported=true

    4. Verwenden Sie die restlichen Standardeinstellungen in der Datei sas.client.props.
  2. Konfigurieren Sie den Server S1.

    In der Administrationskonsole wird S1 konfiguriert, damit eingehende Nachrichten die Clientauthentifizierung auf Nachrichtenebene und eingehende Verbindungen SSL ohne Authentifizierung mit Clientzertifikaten unterstützen. Server S1 wird auch konfiguriert, damit abgehende Nachrichten die Zusicherung der Identität (IDAssertion) unterstützen

    1. Konfigurieren Sie S1 für eingehende Verbindungen.
      1. Inaktivieren Sie die Zusicherung der Identität.
      2. Aktivieren Sie die Authentifizierung mit Benutzer-ID und Kennwort.
      3. Aktivieren Sie SSL.
      4. Inaktivieren Sie die SSL-Authentifizierung mit Clientzertifikaten.
    2. Konfigurieren Sie S1 für abgehende Verbindungen.
      1. Aktivieren Sie die Zusicherung der Identität.
      2. Inaktivieren Sie die Authentifizierung mit Benutzer-ID und Kennwort.
      3. Aktivieren Sie SSL.
      4. Inaktivieren Sie die SSL-Authentifizierung mit Clientzertifikaten.
  3. Konfigurieren Sie den Server S2.

    In der Administrationskonsole wird S2 konfiguriert, damit eingehende Anforderungen die Zusicherung der Identität unterstützen und SSL-Verbindungen akzeptieren. Führen Sie die folgenden Schritte aus, um eingehende Verbindungen zu konfigurieren. Die Konfiguration für abgehende Anforderungen und Verbindungen ist für dieses Beispiel nicht relevant.

    1. Aktivieren Sie die Zusicherung der Identität.
    2. Inaktivieren Sie die Authentifizierung mit Benutzer-ID und Kennwort.
    3. Aktivieren Sie SSL.
    4. Inaktivieren Sie die SSL-Clientauthentifizierung.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_scenario1
Dateiname:tsec_scenario1.html