Este ejemplo presenta un cliente Java™ puro, C, que accede a un
enterprise bean seguro en el servidor S1 mediante el usuario bob. En los
siguientes pasos se describe la configuración de C, S1 y S2.
Acerca de esta tarea
El código del enterprise bean en S1 accede a otro
enterprise bean en el servidor S2. Esta configuración utiliza la aserción de identidad para propagar la identidad de bob al servidor en sentido descendente
S2. S2 confía en que bob ya ha sido autenticado por S1, ya que confía en S1. Para obtener esta confianza, la identidad de S1 también fluye a S2
simultáneamente y S2 valida la identidad comprobando la lista
trustedPrincipalList para verificar que se trata de un principal de
servidor válido. S2 también autentica a S1.
Procedimiento
- Configure el cliente C para la autenticación de capa de mensajes con un transporte SSL
(Secure Sockets Layer).
- Apunte el cliente al archivo sas.client.props.
Utilice la propiedad com.ibm.CORBA.ConfigURL=file:/C:/was/properties/sas.client.props.
El resto de la configuración adicional requiere establecer las propiedades en este archivo.
Utilice la propiedad com.ibm.CORBA.ConfigURL=file:/raíz_perfil /properties/sas.client.props.
La variable raíz_perfil es el perfil específico con el que está trabajando. El resto de la configuración adicional requiere establecer las propiedades en este archivo.
- Habilite SSL.
En este caso, se dará soporte a SSL pero no se requerirá:
com.ibm.CSI.performTransportAssocSSLTLSSupported=true,
com.ibm.CSI.performTransportAssocSSLTLSRequired=false
- Habilite la autenticación de clientes en la capa de mensajes.
En este caso, se da soporte a la autenticación de clientes
pero no se requerirá:
com.ibm.CSI.performClientAuthenticationRequired=false,
com.ibm.CSI.performClientAuthenticationSupported=true
- Utilice el resto de los valores por omisión en el archivo sas.client.props.
- Configure el servidor, S1.
En la consola
administrativa, el servidor S1 se configurará para que las solicitudes de
entrada den soporte a la autenticación de clientes de la capa de mensajes
y las conexiones de entrada para que den soporte a SSL sin la
autenticación de certificados de cliente. El servidor S1 se configura para que las solicitudes de salida den soporte a la
aserción de identidad.
- Configure S1 para las conexiones de entrada.
- Inhabilite la aserción de identidad.
- Habilite la autenticación de ID de usuario y contraseña.
- Habilite SSL.
- Inhabilite la autenticación de certificados de clientes SSL.
- Configure S1 para conexiones de salida.
- Habilite la aserción de identidad.
- Inhabilite la autenticación de ID de usuario y contraseña.
- Habilite SSL.
- Inhabilite la autenticación de certificados de clientes SSL.
- Configure el servidor, S2.
En la consola
administrativa, el servidor S2 se configurará para que las solicitudes de entrada den
soporte a la aserción de identidad y para que acepten conexiones SSL. Efectúe los pasos siguientes para configurar las conexiones de entrada. La configuración
de las solicitudes de salida y de las conexiones no son importantes
para este ejemplo.
- Habilite la aserción de identidad.
- Inhabilite la autenticación de ID de usuario y contraseña.
- Habilite SSL.
- Inhabilite la autenticación de clientes SSL.