[AIX Solaris HP-UX Linux Windows][z/OS]

Interoperation mit einem C++-CORBA-Client

WebSphere Application Server bietet Sicherheitsunterstützung für den CORBA-C++-Client, sodass dieser auf geschützte Enterprise-Beans zugreifen kann. Ist diese Unterstützung konfiguriert, können C++-CORBA-Clients auf Methoden geschützter Enterprise-Beans zugreifen. Die gegenseitige Authentifizierung in den Anwendungen von WebSphere Application Server erfolgt mit einem Clientzertifikat.

Informationen zu diesem Vorgang

[AIX Solaris HP-UX Linux Windows]Die Interoperabilität von SAS (Security Authentication Service) zwischen dem C++-CORBA-Client (Common Object Request Broker Architecture) und WebSphere Application Server kann durch Verwendung des Authentifizierungsprotokolls CSIv2 (Common Secure Interoperability Version 2) über Remote Method Invocation over the Internet Inter-ORB Protocol (RMI-IIOP) realisiert werden. Das Sicherheitsserviceprotokoll CSIv2 arbeitet auf Authentifizierungs-, Attribut- und Transportschicht. Die Transportauthentifizierung ist konzeptionell einfach. Die auf Verschlüsselung gestützte Transportauthentifizierung ist jedoch die sicherste. WebSphere Application Server hat die Transportauthentifizierungsschicht so implementiert, dass sichere C++-CORBA-Clients sie für die Interoperabilität von CORBA-Clients und geschützten Enterprise-Bean-Ressourcen effektiv nutzen können.

[z/OS]Die Interoperabilität zwischen C++-CORBA-Clients und WebSphere Application Server kann mit dem Protokoll Common Secure Interoperability Version 2 (CSIv2) oder dem Protokoll z/OS Secure Authentication Service (z/SAS) erreicht werden. Verwenden Sie CSIv2 nur, wenn die Interoperabilität mit WebSphere Application Server Version 4 erforderlich ist.
Wichtig: z/SAS wird nur zwischen Servern der Version 6.0.x und früheren Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden wurden.

[z/OS]Weitere Informationen finden Sie unter Einstellungen für globale Sicherheit.

Sicherheitsauthentifizierung nicht Java-basierter C++-Clients für Enterprise-Beans. WebSphere Application Server bietet Sicherheitsunterstützung für den CORBA-C++-Client, sodass dieser auf geschützte Enterprise-Beans zugreifen kann. Ist diese Unterstützung konfiguriert, können C++-CORBA-Clients auf Methoden geschützter Enterprise-Beans zugreifen. Die gegenseitige Authentifizierung in den Anwendungen von WebSphere Application Server erfolgt mit einem Clientzertifikat.

Führen Sie die folgenden Schritte aus, wenn der C++-CORBA-Client für den Zugriff auf geschützte Enterprise-Beans unterstützt werden soll:
  • Erstellen Sie eine Umgebungsdatei für den Client, z. B. current.env. Setzen Sie die in der folgenden Liste aufgeführten Variablen in der Datei:
    Tabelle 1. Umgebungsvariablen.

    Die folgende Tabelle enthält die Umgebungsvariablen, die notwendig sind, um den C++-CORBA-Client beim Zugriff auf geschützte Enterprise-Beans zu unterstützen.

    C++-Sicherheitseinstellung Beschreibung
    client_protocol_password Gibt das Kennwort für die Benutzer-ID an.
    client_protocol_user Gibt die auf dem Zielserver zu authentifizierende Benutzer-ID an.
    security_sslKeyring Gibt den Namen des RACF-Schlüsselrings an, den der Client verwenden soll. Der Schlüsselring muss von der Benutzer-ID definiert werden, die den Befehls zum Ausführen des Clients absetzt.
  • Geben Sie mit der Umgebungsvariablen WAS_CONFIG_FILE einen vollständig qualifizierten Pfadnamen an, der auf die Umgebungsdatei zeigt. Exportieren Sie beispielsweise im Test-Shell-Script test.sh Folgendes:
    /WebSphere/V6R0M0/DeploymentManager/profiles/default/config/cells
      /PLEX1Network/nodes/PLEX1Manager/servers/dmgr
    Einige Begriffe zu Umgebungsdateien werden im Folgenden erläutert:
    default
    Profilname
    PLEX1Network
    Zellenname
    PLEX1Manager
    Knotenname
    dmgr
    Servername
[AIX Solaris HP-UX Linux Windows]

Vorgehensweise

  1. Fordern Sie ein gültiges Zertifikat für den Client an und exportieren Sie anschließend den öffentlichen Schlüssel des Zertifikats auf den Enterprise-Bean-Zielserver.

    Sie benötigen ein gültiges Zertifikat für den C++-Client. Fordern Sie ein Zertifikat von der Zertifizierungsstelle (CA) an, oder erstellen Sie zu Testzwecken ein selbst signiertes Zertifikat.

    Extrahieren Sie dann mit dem Dienstprogramm IBM Key Management des GSKit (Global Security Kit) den öffentlichen Schlüssel aus dem persönlichen Zertifikat, und speichern Sie ihn im Format .arm.

  2. Bereiten Sie eine Truststoredatei für WebSphere Application Server.
    Fügen Sie den extrahierten öffentlichen Clientschlüssel in der Datei .arm vom Client zur Truststoredatei für den Serverschlüssel hinzu. Der Server kann den Client jetzt authentifizieren.
    Anmerkung: Rufen Sie hierfür das Dienstprogramm für Schlüsselverwaltung mit ikeyman.bat bzw. ikeyman.sh aus der Installation von WebSphere Application Server auf.
  3. Konfigurieren Sie die Unterstützung von SSL als Authentifizierungsverfahren in WebSphere Application Server.
    1. Starten Sie die Administrationskonsole.
    2. Suchen Sie den Anwendungsserver, in dem die Ziel-Enterprise-Bean implementiert ist, und konfigurieren Sie ihn für die Verwendung der SSL-Authentifizierung mit Clientzertifikaten.
      Für eine Basisinstallation führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf Sicherheit > Globale Sicherheit. Klicken Sie unter "RMI/IIOP-Sicherheit" auf Eingehende CSIv2-Kommunikation. Wählen Sie für die Optionen "Basisauthentifizierung" und "Authentifizierung mit Clientzertifikat" die Option Unterstützt aus. Übernehmen Sie für die restlichen Optionen die Standardwerte.
      2. Klicken Sie auf OK.
      3. Klicken Sie auf Sicherheit > Globale Sicherheit. Klicken Sie unter "RMI/IIOP-Sicherheit" auf Eingehende CSIv2-Kommunikation und vergewissern Sie sich, dass unter "Transport" die Option SSL unterstützt ausgewählt ist.
      Für eine Umgebung mit WebSphere Application Server Network Deployment führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf Server > Anwendungsserver > EJB-Servername.
      2. Klicken Sie unter "Sicherheit" auf Serversicherheit.
      3. Wählen Sie die Option RMI/IIOP-Sicherheit für diesen Server überschreibt Zelleneinstellungen aus.
      4. Klicken Sie unter "Weitere Eigenschaften" auf Eingehende CSIv2-Kommunikation.
      5. Wählen Sie für die Optionen "Basisauthentifizierung" und "Authentifizierung mit Clientzertifikat" die Option Unterstützt aus. Übernehmen Sie für die restlichen Optionen die Standardwerte.
      6. Klicken Sie auf Server > Anwendungsserver > EJB-Servername.
      7. Klicken Sie unter "Sicherheit" auf Serversicherheit.
      8. Klicken Sie unter "Weitere Eigenschaften" auf Eingehende CSIv2-Kommunikation.
      9. Prüfen Sie, ob die Option SSL unterstützt ausgewählt ist.

      Details finden Sie in den Artikeln Eingehende CSIv2-Kommunikation konfigurieren und Transport für eingehende Verbindungen konfigurieren.

    3. Starten Sie den Anwendungsserver erneut.

      WebSphere Application Server ist bereit, einen CORBA-C++-Sicherheitsclient zu verwenden und die Authentifizierung zwischen Server und Client in der Transportschicht mit SSL auszuführen.

  4. Konfigurieren Sie auf dem C++-CORBA-Client die Verwendung von Zertifikaten für die gegenseitige Authentifizierung.
    Clientbenutzer verwenden meistens Eigenschaftendateien in ihren Anwendungen, da diese für die Angabe von Konfigurationseinstellungen praktisch sind. Nachfolgend sind wichtige C++-Sicherheitseinstellungen aufgelistet:
    Tabelle 2. Sicherheitseigenschaften von C++.

    In den folgenden Tabellen sind wichtige Sicherheitseinstellungen für C++ aufgelistet.

    C++-Sicherheitseinstellung Beschreibung
    com.ibm.CORBA.bootstrapHostName=ricebella.austin.ibm.com Gibt den Namen des Zielhosts an.
    com.ibm.CORBA.securityEnabled=yes Aktiviert die Sicherheit.
    com.ibm.CSI.performTLClientAuthenticationSupported=yes Gewährleistet die Clientunterstützung für gegenseitige Authentifizierung mit Zertifikat.
    com.ibm.ssl.keyFile=C:/ricebella/etc/DummyKeyRingFile.KDB Gibt an, welche Schlüsseldatenbankdatei verwendet werden soll.
    com.ibm.ssl.keyPassword=WebAS Gibt das Kennwort für das Öffnen der Schlüsseldatenbankdatei an. WebSphere Application Server unterstützt das Dienstprogramm PasswordEncode4cpp für die Verschlüsselung des Kennworts.
    com.ibm.CORBA.translationEnabled=1 Aktiviert die valueType-Konvertierung.
    Wenn Sie Eigenschaftendateien für die Ausführung eines C++-Clients verwenden möchten, müssen Sie mit der Umgebungsvariablen WASPROPS angeben, wo sich eine Eigenschaftendatei oder eine Liste von Eigenschaftendateien befindet.

    Eine vollständige Liste der C++-Clienteigenschaften finden Sie in der Beispieleigenschaftendatei scclient.props, die mit dem Produkt im Verzeichnis Stammverzeichnis_des_Anwendungsservers/profiles/Profilname/etc bereitgestellt wird.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_interoperatec
Dateiname:tsec_interoperatec.html