![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Beispiel 4: TCP/IP-Transport in einem virtuellen privaten Netzwerk konfigurieren
In diesem Szenario wird veranschaulicht, wie im Bedarfsfall TCP/IP als Transport ausgewählt werden kann. Wenn sich zwei Server in demselben VPN (virtuelles privates Netzwerk) befinden, empfiehlt es sich manchmal aus Durchsatzgründen, TCP/IP als Transportprotokoll zu verwenden, weil VPN die Nachricht bereits verschlüsselt.
Informationen zu diesem Vorgang

Vorgehensweise
- Konfigurieren Sie den Client C für die Authentifizierung auf Nachrichtenebene mit einem
SSL-Transport (Secure Sockets Layer).
- Verweisen Sie den Client auf die Datei sas.client.props.
Verwenden Sie die Eigenschaft com.ibm.CORBA.ConfigURL=file:/C:/was/properties/sas.client.props. Alle weiteren Konfigurationseinstellungen werden über Eigenschaften in dieser Datei vorgenommen.
Verwenden Sie die Eigenschaft com.ibm.CORBA.ConfigURL=file:/Profilstammverzeichnis/properties/sas.client.props. Die Variable Profilstammverzeichnis gibt das Profil an, mit dem Sie arbeiten. Alle weiteren Konfigurationseinstellungen werden über Eigenschaften in dieser Datei vorgenommen.
- Aktivieren Sie SSL.
In diesem Fall wird SSL unterstützt, ist jedoch nicht erforderlich. com.ibm.CSI.performTransportAssocSSLTLSSupported=true, com.ibm.CSI.performTransportAssocSSLTLSRequired=false
- Aktivieren Sie die Clientauthentifizierung auf Nachrichtenebene. In diesem Fall wird die Clientauthentifizierung unterstützt, ist jedoch nicht erforderlich: com.ibm.CSI.performClientAuthenticationRequired=false, com.ibm.CSI.performClientAuthenticationSupported=true
- Verwenden Sie die restlichen Standardeinstellungen in der Datei sas.client.props.
- Verweisen Sie den Client auf die Datei sas.client.props.
- Konfigurieren Sie den Server S1. In der Administrationskonsole wird S1
konfiguriert, damit eingehende Nachrichten die Clientauthentifizierung auf Nachrichtenebene und eingehende
Verbindungen SSL ohne Authentifizierung mit Clientzertifikaten unterstützen.
S1 wird auch konfiguriert, damit abgehende Nachrichten die Zusicherung der Identität (IDAssertion)
unterstützen
Es ist möglich, SSL für eingehende Verbindungen zu aktivieren und für abgehende Verbindungen zu inaktivieren. Das Gleiche gilt umgekehrt.
- Konfigurieren Sie S1 für eingehende Verbindungen.
- Inaktivieren Sie die Zusicherung der Identität.
- Aktivieren Sie die Authentifizierung mit Benutzer-ID und Kennwort.
- Aktivieren Sie SSL.
- Inaktivieren Sie die SSL-Authentifizierung mit Clientzertifikaten.
- Konfigurieren Sie S1 für abgehende Verbindungen.
- Inaktivieren Sie die Zusicherung der Identität.
- Aktivieren Sie die Authentifizierung mit Benutzer-ID und Kennwort.
- Inaktivieren Sie SSL.
- Konfigurieren Sie S1 für eingehende Verbindungen.
- Konfigurieren Sie den Server S2.
In der Administrationskonsole wird S2 konfiguriert, damit eingehende Anforderungen die Zusicherung der Identität unterstützen und SSL-Verbindungen akzeptieren. Die Konfiguration für abgehende Anforderungen und Verbindungen ist für dieses Szenario nicht relevant.
- Inaktivieren Sie die Zusicherung der Identität.
- Aktivieren Sie die Authentifizierung mit Benutzer-ID und Kennwort.
- Inaktivieren Sie SSL.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_scenario4
Dateiname:tsec_scenario4.html