[AIX Solaris HP-UX Linux Windows][IBM i]

Beispiel 3: Authentifizierung mit Clientzertifikaten und RunAs-System konfigurieren

Dies ist ein Beispiel für einen reinen Java™-Client, C, der auf eine sichere Enterprise-Bean auf S1 zugreift.

Informationen zu diesem Vorgang

C authentifiziert sich mit SSL-Clientzertifikaten bei S1. S1 ordnet den allgemeinen Namen des definierten Namend (DN) im Zertifikat einem Benutzer in der lokalen Registry zu. Der Benutzer ist in diesem Fall bob. Der Enterprise-Bean-Code auf S1 greift auf eine andere Enterprise-Bean auf S2 zu. Da 'system' als RunAs-Modus eingestellt ist, wird der Aufrufberechtigungsnachweis für abgehende Anforderungen auf server1 gesetzt.

C authentifiziert sich an S1 mit SSL-Clientzertifikaten (Secure Sockets Layer). S1 ordnet den allgemeinen DN im Zertifikat einem Benutzer in der lokalen Registry zu. Der Benutzer ist in diesem Fall bob. Der Enterprise-Bean-Code auf S1 greift auf eine andere Enterprise-Bean auf S2 zu. Da der RunAs-Modus System ist, wird die Aufrufberechtigung für alle abgehenden Anforderungen als server1 festgelegt.

Vorgehensweise

  1. Konfigurieren Sie den Client C für die Authentifizierung auf Transportebene (SSL-Clientzertifikate).
    1. Verweisen Sie den Client auf die Datei sas.client.props.

      [AIX Solaris HP-UX Linux Windows]Verwenden Sie die Eigenschaft com.ibm.CORBA.ConfigURL=file:/C:/was/properties/sas.client.props. Alle weiteren Konfigurationseinstellungen werden über Eigenschaften in dieser Datei vorgenommen.

      [IBM i]Verwenden Sie die Eigenschaft com.ibm.CORBA.ConfigURL=file:/Profilstammverzeichnis/properties/sas.client.props. Die Variable Profilstammverzeichnis gibt das Profil an, mit dem Sie arbeiten. Alle weiteren Konfigurationseinstellungen werden über Eigenschaften in dieser Datei vorgenommen.

    2. Aktivieren Sie SSL.

      In diesem Fall wird SSL unterstützt, ist jedoch nicht erforderlich: com.ibm.CSI.performTransportAssocSSLTLSSupported=true, com.ibm.CSI.performTransportAssocSSLTLSRequired=false

    3. Inaktivieren Sie die Clientauthentifizierung auf Nachrichtenschicht. com.ibm.CSI.performClientAuthenticationRequired=false, com.ibm.CSI.performClientAuthenticationSupported=false
    4. Aktivieren Sie die Clientauthentifizierung auf Transportschicht. Dies wird unterstützt, ist aber nicht erforderlich. com.ibm.CSI.performTLClientAuthenticationRequired=false, com.ibm.CSI.performTLClientAuthenticationSupported=true
  2. Konfigurieren Sie den Server S1. In der Administrationskonsole wird S1 so konfiguriert, dass für eingehende Anforderungen die SSL-Clientauthentifizierung unterstützt wird. Außerdem wird der Server S1 so konfiguriert, dass für abgehende Anforderungen die Clientauthentifizierung über die Nachrichtenschicht unterstützt wird.
    1. Konfigurieren Sie S1 für eingehende Verbindungen.
      1. Inaktivieren Sie die Zusicherung der Identität.
      2. Inaktivieren Sie die Authentifizierung mit Benutzer-ID und Kennwort.
      3. Aktivieren Sie SSL.
      4. Aktivieren Sie die SSL-Authentifizierung mit Clientzertifikaten.
    2. Konfigurieren Sie S1 für abgehende Verbindungen.
      1. Inaktivieren Sie die Zusicherung der Identität.
      2. Inaktivieren Sie die Authentifizierung mit Benutzer-ID und Kennwort.
      3. Aktivieren Sie SSL.
      4. Aktivieren Sie die SSL-Authentifizierung mit Clientzertifikaten.
  3. Konfigurieren Sie den Server S2.

    In der Administrationskonsole wird der Server S2 für eingehende Anforderungen so konfiguriert, dass die Authentifizierung über SSL auf Nachrichtenebene unterstützt wird. Eine Konfiguration für abgehende Anforderungen ist für dieses Szenario nicht relevant.

    1. Inaktivieren Sie die Zusicherung der Identität.
    2. Aktivieren Sie die Authentifizierung mit Benutzer-ID und Kennwort.
    3. Aktivieren Sie SSL.
    4. Inaktivieren Sie die SSL-Clientauthentifizierung.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_scenario3
Dateiname:tsec_scenario3.html