[AIX Solaris HP-UX Linux Windows][IBM i]

例 3: クライアント証明書認証および RunAs システムの構成

この例では、S1 上のセキュアなエンタープライズ Bean にアクセスしているピュアな Java™ クライアント C を表しています。

このタスクについて

C は、Secure Sockets Layer (SSL) クライアント証明書を使用して S1 に対して認証を行います。S1 は、証明書内の識別名 (DN) の共通名をローカル・レジストリー内のユーザーにマップします。この場合のユーザーは bob です。S1 上のエンタープライズ Bean コードは、S2 上の別のエンタープライズ Bean にアクセスします。RunAs モードが system であるため、 呼び出し資格認定は、アウトバウンド要求の server1 として設定されます。

C は、Secure Sockets Layer (SSL) クライアント証明書を使用して S1 に対して認証を行います。 S1 は、証明書内の識別名 (DN) の共通名をローカル・レジストリー内のユーザーにマップします。 この場合のユーザーは bob です。 S1 上のエンタープライズ Bean コードは、S2 上の別のエンタープライズ Bean にアクセスします。 RunAs モードが system であるため、 呼び出しクレデンシャルは、アウトバウンド要求の server1 として設定されます。

手順

  1. トランスポート層認証 (SSL クライアント証明書) 用にクライアント C を構成します。
    1. クライアントが sas.client.props ファイルを指すようにします。

      [AIX Solaris HP-UX Linux Windows]com.ibm.CORBA.ConfigURL=file:/C:/was/properties/sas.client.props プロパティーを使用します。 これ以降のすべての構成には、このファイル内でのプロパティーの設定が関係します。

      [IBM i]com.ibm.CORBA.ConfigURL=file:/profile_root/properties/sas.client.props プロパティーを使用します。 profile_root 変数は、操作対象となる特定のプロファイルです。 これ以降のすべての構成には、このファイル内でのプロパティーの設定が関係します。

    2. SSL を使用可能にします。

      この場合、SSL はサポートされますが必須ではありません。com.ibm.CSI.performTransportAssocSSLTLSSupported=true, com.ibm.CSI.performTransportAssocSSLTLSRequired=false

    3. メッセージ層でクライアント認証を使用不可にします。 com.ibm.CSI.performClientAuthenticationRequired=false, com.ibm.CSI.performClientAuthenticationSupported=false
    4. トランスポート層でクライアント認証を使用可能にします。 これはサポートされていますが、必須ではありません。com.ibm.CSI.performTLClientAuthenticationRequired=false, com.ibm.CSI.performTLClientAuthenticationSupported=true
  2. S1 サーバーを構成します。 管理コンソールで、S1 を、 クライアント証明書認証付きの SSL をサポートする着信接続用に構成します。 S1 サーバーは、メッセージ層クライアント認証をサポートする発信要求用に構成されます。
    1. S1 を着信接続用に構成します。
      1. ID アサーションを使用不可にします。
      2. ユーザー ID とパスワード認証を使用不可にします。
      3. SSL を使用可能にします。
      4. SSL クライアント証明書認証を使用可能にします。
    2. S1 を発信接続用に構成します。
      1. ID アサーションを使用不可にします。
      2. ユーザー ID とパスワード認証を使用不可にします。
      3. SSL を使用可能にします。
      4. SSL クライアント証明書認証を使用可能にします。
  3. S2 サーバーを構成します。

    管理コンソールで、S2 サーバーを、SSL 経由でメッセージ層認証をサポートする着信要求用に構成します。 発信要求用の構成は、このシナリオには関係ありません。

    1. ID アサーションを使用不可にします。
    2. ユーザー ID とパスワード認証を使用可能にします。
    3. SSL を使用可能にします。
    4. SSL クライアント認証を使用不可にします。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_scenario3
ファイル名:tsec_scenario3.html