[AIX Solaris HP-UX Linux Windows][z/OS]

Interaction avec un client CORBA (Common Object Request Broker) C++

WebSphere Application Server prend en charge la sécurité sur le client CORBA C++ pour accéder aux beans entreprise protégés. S'ils sont configurés, les clients C++ CORBA peuvent accéder aux méthodes clients à l'aide d'un certificat client pour autoriser l'authentification mutuelle dans les applications WebSphere Application Server.

Pourquoi et quand exécuter cette tâche

[AIX Solaris HP-UX Linux Windows]L'interopérabilité du service SAS (Security Authentication Service) entre le client CORBA (Common Object Request Broker Architecture) C++ et WebSphere Application Server peut être obtenue à l'aide du protocole d'authentification CSIv2 (Common Secure Interoperability version 2) via le protocole RMI-IIOP (Remote Method Invocation via Internet Inter-ORB Protocol). Le protocole du service de sécurité CSIv2 dispose des couches d'authentification, d'attribut et de transport. Parmi ces trois couches, l'authentification du transport a une conception simple, mais l'authentification du transport basée sur le chiffrement est la plus puissante. WebSphere Application Server a implémenté la couche d'authentification du transport qui permet aux clients sécurisés CORBA C++ de faire fonctionner les clients CORBA avec les ressources de beans enterprise protégées.

[z/OS]L'interopérabilité entre les clients CORBA C++ et WebSphere Application Server peut être obtenue à l'aide du protocole CSIv2 (Common Secure Interoperability Version 2) ou des protocoles z/SAS (z/OS Secure Authentication Service). CSIv2 doit être utilisé sauf si la compatibilité avec WebSphere Application Server version 4 est requise.
Important : z/SAS est pris en charge uniquement sur les serveurs version 6.0.x et versions antérieures qui ont été fédérés dans une cellule version 6.1.

[z/OS]Pour plus d'informations, voir Paramètres de sécurité globale.

Authentification de la sécurité à partir d'un client C++ non-Java vers les beans enterprise. WebSphere Application Server prend en charge la sécurité sur le client CORBA C++ pour accéder aux beans entreprise protégés. S'ils sont configurés, les clients C++ CORBA peuvent accéder aux méthodes clients à l'aide d'un certificat client pour autoriser l'authentification mutuelle dans les applications WebSphere Application Server.

Pour autoriser le client CORBA C++ à accéder aux beans enterprise protégés, procédez comme suit :
  • Créez un fichier d'environnement pour le client, tel que current.env. Dans ce fichier, définissez les variables répertoriées dans la liste suivante :
    Tableau 1. Variables d'environnement.

    Ce tableau répertorie les variables d'environnement nécessaires pour autoriser le client CORBA C++ à accéder aux beans enterprise protégés.

    Paramètre de sécurité C++ Description
    client_protocol_password Indique le mot de passe pour l'ID utilisateur.
    client_protocol_user Indique l'ID utilisateur à authentifier sur le serveur cible.
    security_sslKeyring Indique le nom du fichier de clés RACF à utiliser par le client. Le fichier de clés doit être défini sous l'ID de l'utilisateur qui a lancé la commande d'exécution du client.
  • Désignez le fichier d'environnement en indiquant son chemin complet par le biais de la variable d'environnement WAS_CONFIG_FILE. Par exemple, dans le script shell de test test.sh, exportez :
    /WebSphere/V6R0M0/DeploymentManager/profiles/default/config/cells
      /PLEX1Network/nodes/PLEX1Manager/servers/dmgr
    Certains des termes relatifs aux fichiers d'environnement sont décrits ci-dessous :
    Valeur par défaut
    nom de profil
    PLEX1Network
    nom de cellule
    PLEX1Manager
    nom de noeud
    dmgr
    nom de serveur
[AIX Solaris HP-UX Linux Windows]

Procédure

  1. Procurez-vous un certificat valide pour représenter le client et exportez sa clé publique vers le serveur de beans enterprise cible.

    Vous avez besoin d'un certificat valide pour représenter le client C++. Demandez un certificat à l'autorité de certification (CA) ou créez un certificat auto-signé à des fins de test.

    Exécutez l'utilitaire de gestion des clés disponible dans le kit GSKit (Global Security Kit) pour extraire la clé publique du certificat personnel et l'enregistrer au format .arm.

  2. Préparez un fichier de clés certifiées pour WebSphere Application Server.
    Ajoutez la clé publique extraite du fichier .arm installé sur le client dans le fichier du fichier de clés certifiées du serveur. Le serveur peut maintenant authentifier le client.
    Remarque : Pour cela, vous devez appeler l'utilitaire de gestion des clés à l'aide de la commande ikeyman.bat ou ikeyman.sh à partir de l'installation de WebSphere Application Server.
  3. Configurez WebSphere Application Server pour la prise en charge de SSL (Secure Sockets Layer) comme mécanisme d'authentification.
    1. Démarrez la console d'administration.
    2. Recherchez le serveur d'applications dont le bean enterprise cible est déployé et configurez-le pour qu'il utilise l'authentification par certificat client SSL.
      S'il s'agit d'une installation de base, effectuez les opérations suivantes :
      1. Cliquez sur Sécurité > Sécurité globale. Sous RMI/IIOP security, cliquez sur Communications entrantes CSIv2. Sélectionnez Prise en charge pour l'authentification de base et l'authentification par certificat client. Conservez les autres options par défaut.
      2. Cliquez sur OK.
      3. Cliquez sur Sécurité > Sécurité globale. Sous Sécurité RMI/IIOP, cliquez sur Transport des communications entrantes CSIv2 et vérifiez que l'optionSSL pris en charge est sélectionnée.
      S'il s'agit d'un paramètre WebSphere Application Server, Network Deployment, procédez comme suit :
      1. Cliquez sur Serveurs > Serveurs d'applications > nom_serveur_où_réside_l'EJB.
      2. Sous Sécurité, cliquez sur Sécurité du serveur.
      3. Sélectionnez l'option La sécurité RMI/IIOP de ce serveur se substitue aux paramètres de cellule.
      4. Dans le menu Propriétés supplémentaires, cliquez sur Communications entrantes CSIv2.
      5. Sélectionnez Prise en charge pour l'authentification de base et l'authentification par certificat client. Conservez les autres options par défaut.
      6. Cliquez sur Serveurs > Serveurs d'applications > nom_serveur_où_réside_l'EJB.
      7. Sous Sécurité, cliquez sur Sécurité du serveur.
      8. Dans le menu Propriétés supplémentaires, cliquez sur Communications entrantes CSIv2.
      9. Vérifiez que l'option SSL pris en charge est sélectionnée.

      Pour des détails, voir Configuration des communications entrantes CSIv2 et Configuration des protocoles de transport des communications entrantes.

    3. Redémarrez le serveur d'applications.

      WebSphere Application Server est prêt à utiliser un client de sécurité CORBA C++, ainsi qu'un serveur et un client authentifiés mutuellement par le biais du protocole SSL dans la couche de transport.

  4. Configurez le client CORBA C++ afin qu'il utilise un certificat pour effectuer l'authentification mutuelle.
    Les utilisateurs du client sont habitués à utiliser des fichiers de propriétés dans leurs applications car ils permettent de spécifier facilement les paramètres de configuration. La liste suivante répertorie les paramètres de sécurité C++ importants :
    Tableau 2. Propriétés de sécurité C++.

    Ce tableau répertorie les paramètres de sécurité C++ importants.

    Paramètre de sécurité C++ Description
    com.ibm.CORBA.bootstrapHostName=ricebella.austin.ibm.com Indique le nom d'hôte cible.
    com.ibm.CORBA.securityEnabled=yes Active la sécurité.
    com.ibm.CSI.performTLClientAuthenticationSupported=yes Garantit que le client prend en charge l'authentification mutuelle par certificat.
    com.ibm.ssl.keyFile=C:/ricebella/etc/DummyKeyRingFile.KDB Indique le fichier de base de données de clés à utiliser.
    com.ibm.ssl.keyPassword=WebAS Indique le mot de passe permettant d'ouvrir le fichier de la base de données de clés. WebSphere Application Server prend en charge un utilitaire appelé PasswordEncode4cpp pour coder le mot de passe.
    com.ibm.CORBA.translationEnabled=1 Active la conversion valueType.
    Pour utiliser des fichiers de propriétés dans un client C++ en cours d'exécution, une variable d'environnement WASPROPS, est utilisée pour indiquer où se trouve un fichier de propriétés ou une liste de fichiers de propriétés.

    Pour obtenir la totalité de l'ensemble des propriétés de client C++, consultez le modèle de fichier de propriétés scclient.props, fourni avec le produit dans le répertoire racine_serveur_app/profiles/nom_profil/etc.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_interoperatec
Nom du fichier : tsec_interoperatec.html